Haben Sie den Reifegrad der Sicherheit in Ihrem Unternehmen überschätzt?
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Angesichts des anhaltenden Fachkräftemangels und der Flut an Code, die geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieses One-Pagers herunter.
HerunterladenSecure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.
Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.
Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen.
Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.
Nachhaltige Cybersicherheitsreife ist ein Prozess.
Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre.
Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie.
Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären.
Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden.
Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit
Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.
Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.
Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden.
Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.
Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Entwicklergesteuerte Sicherheit im großen Maßstab durch globale Tournaments
Unsere Plattform ermöglicht es Ihnen, ein Community-zentriertes Cybersicherheitsnetzwerk mit ansprechenden Programmierwettbewerben und tournaments zu fördern, das reale Schwachstellen und sichere Programmierpraktiken aufzeigt.
Trust Agent in Aktion
Der SCW Trust Agent gibt Ihnen die Werkzeuge an die Hand, die Sie benötigen, um sicheren Code schneller zu liefern, und stellt sicher, dass die Entwickler über das Wissen und die Fähigkeiten verfügen, um bewährte Sicherheitspraktiken in der spezifischen Programmiersprache ihrer Code-Commits zu implementieren.
Ressourcen für den Einstieg
Coders Conquer Security: Teilen und Lernen - Cross-Site Scripting (XSS)
Cross-Site-Scripting (XSS) nutzt das Vertrauen von Browsern und die Unwissenheit der Benutzer aus, um Daten zu stehlen, Konten zu übernehmen und Websites zu verunstalten; es ist eine Schwachstelle, die sehr schnell sehr hässlich werden kann. Lassen Sie uns einen Blick darauf werfen, wie XSS funktioniert, welchen Schaden es anrichten kann und wie man es verhindern kann.
Coders Conquer Security: Teilen und Lernen - Cross-Site Scripting (XSS)
Cross-Site-Scripting (XSS) nutzt das Vertrauen von Browsern und die Unwissenheit der Benutzer aus, um Daten zu stehlen, Konten zu übernehmen und Websites zu verunstalten; es ist eine Schwachstelle, die sehr schnell sehr hässlich werden kann. Lassen Sie uns einen Blick darauf werfen, wie XSS funktioniert, welchen Schaden es anrichten kann und wie man es verhindern kann.
Wie DigitalOcean die Software-Sicherheitsverschuldung reduzierte und die Grenzen der Produktivität verschob
Secure Code Warrior hat DigitalOcean dabei geholfen, von Anfang an hochwertigen Code zu erstellen und zu veröffentlichen und so die digitale Innovation und Modernisierung mit sicherheitsbewussten Entwicklern voranzutreiben.