Blog

Haben Sie den Reifegrad der Sicherheit in Ihrem Unternehmen überschätzt?

Matias Madou, Ph.D.
Veröffentlicht Nov 10, 2023

Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.


Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.

Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen. 

Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.

Nachhaltige Cybersicherheitsreife ist ein Prozess.

Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre. 

Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie. 

Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären. 

Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden. 

Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit

Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.

Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.

Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden. 

Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.

Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.

Mondprogression auf schwarzem Hintergrund.
Mondprogression auf schwarzem Hintergrund.
Ressource anzeigen
Ressource anzeigen

Angesichts des anhaltenden Fachkräftemangels und der Flut an Code, die geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.

Interessiert an mehr?

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Matias Madou, Ph.D.
Veröffentlicht Nov 10, 2023

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Weitergeben:
Mondprogression auf schwarzem Hintergrund.
Mondprogression auf schwarzem Hintergrund.

Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.


Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.

Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen. 

Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.

Nachhaltige Cybersicherheitsreife ist ein Prozess.

Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre. 

Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie. 

Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären. 

Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden. 

Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit

Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.

Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.

Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden. 

Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.

Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.

Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.
Mondprogression auf schwarzem Hintergrund.

Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.


Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.

Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen. 

Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.

Nachhaltige Cybersicherheitsreife ist ein Prozess.

Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre. 

Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie. 

Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären. 

Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden. 

Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit

Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.

Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.

Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden. 

Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.

Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.

Interessiert an mehr?

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieses One-Pagers herunter.

Herunterladen

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Matias Madou, Ph.D.
Veröffentlicht Nov 10, 2023

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Weitergeben:

Eine Version dieses Artikels erschien in Dunkles Lesen. Er wurde hier aktualisiert und syndiziert.


Da die meisten Unternehmen die Ebbe und Flut von Wachstum, Innovation und digitaler Transformation durchlaufen, ist es nur natürlich, dass einige Bereiche bei der Vergrößerung eines Unternehmens noch nicht abgeschlossen sind. Dies gilt häufig für das Cybersicherheitsprogramm eines Unternehmens, zumal Sicherheitsverantwortliche darum kämpfen, neuen Bedrohungen, Schwachstellen und technologischen Entwicklungen, die das Risiko erhöhen, immer einen Schritt voraus zu sein.

Angesichts des anhaltenden Fachkräftemangels und der Flut von Code, der geschrieben wird, um den weltweiten Softwarebedarf zu decken, geraten viele Unternehmen mit ihrer Cybersicherheitsstrategie und der bestehenden Infrastruktur ins Hintertreffen. Und da die Branche scheinbar auf einen werkzeugbasierten Ansatz fixiert ist, wird die Leistung qualifizierter Mitarbeiter in einem funktionierenden Verteidigungsprogramm oft übersehen. 

Es ist an der Zeit, dass wir einen ehrlichen Blick auf unsere allgemeine Cybersicherheitsreife werfen und die möglichen Quick Wins, die direkt vor uns liegen, bewerten.

Nachhaltige Cybersicherheitsreife ist ein Prozess.

Die Öffentlichkeit geht leicht davon aus, dass jedes Unternehmen über ein robustes Cybersicherheitsprogramm verfügt und dass der Schutz nur eine Frage der Auswahl der richtigen Software und ihrer Aktivierung ist, um Bedrohungsakteure in ihren Bahnen zu stoppen. Angesichts der Tatsache, dass das Jahr 2022 eines der schlimmsten Jahre in Bezug auf Cybervorfälle war - unter anderem wurde die gesamte Regierung von Costa Rica als Lösegeld er presst -, wünschen sich viele Sicherheitsexperten, dass es so einfach wäre. 

Während viele Branchen - vor allem im Finanzsektor - auf die Einhaltung von Vorschriften angewiesen und an immer komplexere regulatorische Rahmenbedingungen gebunden sind, die strenge Sicherheitsmaßnahmen erfordern, mangelt es den meisten Unternehmen in Wirklichkeit an Cyber-Resilienz. Mehr als die Hälfte der großen Unternehmen weltweit ist nicht in der Lage, Cyberangriffe effektiv zu stoppen, noch finden sie ausgenutzte Schwachstellen schnell und beheben sie. 

Selbst Unternehmen, die als fortschrittlich gelten und über ein definiertes, ausgereiftes Programm verfügen, das ein Best-Practice-Dreiergespann aus Mitarbeitern, Prozessen und Technologien umfasst, können nur schwer mit den schnelllebigen Anforderungen der Bedrohungslandschaft Schritt halten. Ein kritischer Bereich, in dem viele Unternehmen Defizite aufweisen, ist das rollenbasierte Sicherheitsbewusstsein, insbesondere für das Entwicklungsteam. Zwar muss jeder Mitarbeiter eines Unternehmens wissen, welche Rolle er bei der Verringerung der Angriffsfläche spielt, aber diejenigen, die sich tagtäglich mit dem Code beschäftigen, könnten das Ruder bei einem wirklich transformativen Sicherheitsansatz in die Hand nehmen... wenn sie nur entsprechend geschult wären. 

Ein ganzheitliches, defensives Sicherheitsprogramm erfordert eine kontinuierliche Verbesserung, und es muss sorgfältig darauf geachtet werden, ein solides Fundament zu legen. Wenn diese Grundlagen überwiegend auf Tools basieren, sind die Chancen gut, dass der Reifegrad niedriger ist, als die Sicherheitsverantwortlichen annehmen. Eine Studie des Ponemon Institute hat ergeben, dass 53 % der Unternehmen nicht davon überzeugt sind, dass ihre Sicherheitstechnologien Verstöße wirksam verhindern können. Da menschliches Versagen eine der Hauptursachen für erfolgreiche Cyberangriffe auf große und kleine Unternehmen ist, ist es ein Spiel mit dem Feuer, wenn Entwickler nicht in die strategische Verbesserung der Sicherheit einbezogen werden. 

Machen Sie Entwickler zur treibenden Kraft für hervorragende Software-Sicherheit

Die unangenehme Wahrheit im Zusammenhang mit Cyberangriffen ist, dass Angreifer in fast jedem Fall einen deutlichen Vorteil gegenüber dem Zielunternehmen haben, unabhängig davon, wo es sich auf seinem Weg zur Sicherheitsreife befindet. Sie haben die Zeit, die Tools und die Motivation, akribisch nach Schwachstellen zu suchen, die sie ausnutzen können, und widmen sich voll und ganz dem Ziel, die Schwachstellen zu durchbrechen und in die Hände der Angreifer zu gelangen.

Unternehmen hingegen müssen Geschäfts- und Kundenbedürfnisse unter einen Hut bringen, und obwohl sie sich das immense Risiko eines aufsehenerregenden Cyberangriffs nicht leisten können, ist es nicht praktikabel, den Geschäftsbetrieb zu verlangsamen, um eine Fülle von Sicherheitskontrollen unterzubringen, die am Ende die Leistung behindern könnten. Hier sind sicherheitskompetente Entwickler ein entscheidender Faktor für den Erfolg der Cyberabwehr.

Es ist zwar seit langem bekannt, dass Entwickler traditionell nicht in der Lage sind, die Verantwortung für die Sicherheit sinnvoll mitzutragen, aber das kann und muss sich zum Besseren wenden. Unternehmen können praktikable Weiterbildungsmöglichkeiten für die Entwickler schaffen, aber sie müssen Schulungsoptionen auswählen, die relevante Kursinhalte auf eine Weise vermitteln, die in ihrer Welt Sinn macht. Zumindest sollte es in den Sprachen und Frameworks vermittelt werden, die sie aktiv nutzen, und die Schwachstellen ansprechen, auf die sie in ihrer Codebasis am ehesten stoßen werden. 

Wenn courses mit Blick auf den Arbeitsablauf des Entwicklers strukturiert ist, ist die Wahrscheinlichkeit weitaus größer, dass die schlechten Codierungsmuster, die häufige Schwachstellen und Fehlkonfigurationen verursachen, durch gute, sichere Muster ersetzt werden können, die die Softwarequalität im Laufe der Zeit erheblich verbessern. Qualitativ minderwertige Software hat die Vereinigten Staaten allein in diesem Jahr 2,41 Billionen Dollar gekostet, und dies kann nur dadurch behoben werden, dass der Fehlerkreislauf durchbrochen wird, der die riskanten technischen Schulden aufrechterhält.

Es bedarf eines unternehmensweiten Engagements für ein positiveres, ganzheitliches Sicherheitsprogramm, das die Macht der Menschen nutzt, die notwendig ist, um bei von Menschen verursachten Problemen etwas zu bewirken. Und wenn es wichtig ist, aus den Schlagzeilen von morgen herauszukommen, dann ist es die Mühe auf jeden Fall wert.

Inhaltsübersicht

Ressource anzeigen
Interessiert an mehr?

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge