Haben Sie den Reifegrad der Sicherheit in Ihrem Unternehmen überschätzt?
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Angesichts des anhaltenden Fachkräftemangels und der Flut an Code, die geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
