Haben Sie den Reifegrad der Sicherheit in Ihrem Unternehmen überschätzt?
Haben Sie den Reifegrad der Sicherheit in Ihrem Unternehmen überschätzt?
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Matias Madou, Ph.D.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Haben Sie den Reifegrad der Sicherheit in Ihrem Unternehmen überschätzt?
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
