Analyse der Cybersicherheitsindustrie: Eine weitere wiederkehrende Schwachstelle, die wir beheben müssen
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, den die moderne Cybersicherheit darstellt. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.