Cyberschwachstellen in der Lieferkette der Regierung lüften
Eine Version dieses Artikels erschien in TechCrunch .. Er wurde aktualisiert und hier syndiziert.
Als ob wir im Jahr ohne Namen nicht schon genug Störungen gehabt hätten, begann das Jahr 2021 für die US-Regierung mit einem ohrenbetäubenden Knall, und zwar in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der Vorfall bei SolarWinds war ein verheerender, ausgeklügelter Angriff eines nationalen Staates, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sie dazu veranlasste, ihre Endpunkte zu sichern. Praktisch jeder Endnutzer der SolarWinds-Software wurde kompromittiert, und der Vorfall machte überdeutlich, wie wichtig Cybersicherheit und Schutz in Software-Lieferketten sind.
Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software erstellt, was Milliarden von Codezeilen pro Jahr entspricht, und diese Zahl steigt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, weiter an. Die Zahl der Entwickler weltweit wird bis 2024 auf fast 29 Millionen anschwellen, und derzeit gibt es keine formale Zertifizierung, die ihre Fähigkeit zur sicheren Programmierung bewertet und bescheinigt. Das soll nicht heißen, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitsschwächen in die Software eingeschleust werden, der wir unsere Daten anvertrauen.
Entwickler werden danach beurteilt, ob sie in der Lage sind, Funktionen zu erstellen und Code so schnell wie möglich zu liefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber das ändert sich allmählich, da immer mehr Unternehmen das Potenzial erkennen, das sie haben, um häufige Sicherheitsfehler in der frühesten Phase der Softwareentwicklung zu verhindern. Erkenntnis und Umsetzung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungsprogrammen courses jeglicher Kontext zu sicheren Kodierungspraktiken fehlt, liegt es oft am Arbeitsplatz des Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und die Weitergabe von Wissen selten oder irrelevant sind, dann wird dies wahrscheinlich unwirksam sein. Und so bleibt der Kreislauf der wiederkehrenden Schwachstellen aufgrund mangelnder Kompetenzentwicklung ungebrochen.
Natürlich ist es nicht die Aufgabe des durchschnittlichen Softwareentwicklers, die Cybersecurity-Probleme der Welt zu lösen; schließlich stellen Unternehmen nicht ohne Grund diese sehr teuren Sicherheitsexperten ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich eine Rolle dabei spielen, die Belastung zu verringern.
Doch was bedeutet das für uns - und für die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln - im Hinblick auf die Verhinderung eines verheerenden Cyberangriffs? Es wird zumindest eine Änderung des Status quo bei der Softwarebeschaffung erforderlich sein.
Die Fallstricke, die einer sicheren Software-Lieferkette im Wege stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider auch auf die Softwareversorgung zu. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verstärkten Best Practices für die Sicherheit, Investitionen in die Weiterbildung von Entwicklern und dem Übergang zu einer funktionalen DevSecOps-Umgebung (d. h. jeder ist mitverantwortlich dafür, dass die Software so sicher wie möglich hergestellt wird) an den Start gegangen ist; wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicherlich sollte das Sicherheitsteam dazu beitragen, die Sicherheit von Drittanbieter-Ergänzungen zum Tech-Stack zu bewerten, aber Entscheidungen können auf der Grundlage eines geschäftlichen Bedarfs getroffen werden, wobei die Auswahl an Lösungen gering ist. An diesem Punkt kann es sich um eine Vertrauensfrage handeln. Ist dem Anbieter die Sicherheit genauso wichtig wie Ihrem Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, wie nur Sie sie verstehen können, sowie die Werte, die Sie schützen müssen?
Transparenz ist ein wichtiger Faktor bei der Beurteilung der Sicherheit von Software-Ergänzungen des Anbieters. Sind die Anbieter offen mit ihren eigenen Sicherheitspraktiken umgegangen? Sie sollten stolz auf ihren Ansatz sein, Daten sicher zu halten, und dies sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgendwo veröffentlicht werden oder keine Informationen verfügbar sind, ist die Wahrscheinlichkeit groß, dass die Sicherheit nicht im Vordergrund steht. Der Anbieter sollte in der Lage sein, technische Fragen zu beantworten, und unabhängige Zertifizierungen wie ISO27001 und SOC2 können ebenfalls nicht schaden. Wenn Sie nicht in der Lage sind, "unter die Haube" zu schauen und im Rahmen Ihrer eigenen internen Sorgfaltspflicht und Sicherheitspraktiken nach Schwachstellen zu suchen, sollten Sie die Sache vergessen.
Da die Nachfrage eine derartig schnelle Umsetzung von Softwareanforderungen vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme eingefügt wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Abnehmer auf der Höhe der Zeit sein, und beide sollten ihre Entwickler vor Ort haben, um häufige Sicherheitsfehler und Schwachstellen zu finden, bevor sie ausgeliefert werden. Es könnten Hunderte - oder Tausende - von Abhängigkeiten gefährdet sein, wenn ein neuer Zusatz zum bestehenden Spinnennetz der technischen Lösungen hinzugefügt wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Was ist also die Lösung? Alles intern von Grund auf neu programmieren? Wenn wir uns im Jahr 1998 befänden, würde das vielleicht Sinn machen. Aber so wie wir heute nicht mehr "Jeeves" fragen, wo die nächste Autowaschanlage ist, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch kein Patentrezept, aber es gibt Lösungen
Für Käufer sollte die Sicherheit assessment der Anbietersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikominderungsplans sein. Stellen Sie Fragen zu den Zertifizierungen, Praktiken und der Sicherheitsreputation der Entwickler.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen darauf vorbereitet sein zu zeigen, dass die Sicherheit an erster Stelle steht, und sollten sich auf die Weiterbildung von Mitarbeitern konzentrieren. Sicherheitskompetente Entwickler sind sehr gefragt, und mit den richtigen Werkzeugen und der richtigen Unterstützung können sie aus Ihrem bestehenden Team aufgebaut und in die Lage versetzt werden, Angriffe auf gängige Schwachstellen abzuwehren. Aber geben Sie ihnen nicht einfach irgendeine Schulung. Geben Sie ihnen Zeit, sich mit Sicherheitswerkzeugen zurechtzufinden, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es ihnen so einfach wie möglich, und beobachten Sie, wie sich die lästigen Bugs im Code, der das Unternehmen antreibt, langsam ausdünnen.
Die Quintessenz ist, dass jedes Softwarerisiko sich sofort verschlimmert, wenn es Teil der Lieferkette ist und alle Benutzer und alle Systeme betrifft, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder wenn es sowohl dem Anbieter als auch dem Unternehmen an Sicherheitsprogrammen mangelt -, dann werden verheerende, weitreichende Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden - und das ist ein kritisches Problem für alle.
Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in TechCrunch .. Er wurde aktualisiert und hier syndiziert.
Als ob wir im Jahr ohne Namen nicht schon genug Störungen gehabt hätten, begann das Jahr 2021 für die US-Regierung mit einem ohrenbetäubenden Knall, und zwar in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der Vorfall bei SolarWinds war ein verheerender, ausgeklügelter Angriff eines nationalen Staates, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sie dazu veranlasste, ihre Endpunkte zu sichern. Praktisch jeder Endnutzer der SolarWinds-Software wurde kompromittiert, und der Vorfall machte überdeutlich, wie wichtig Cybersicherheit und Schutz in Software-Lieferketten sind.
Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software erstellt, was Milliarden von Codezeilen pro Jahr entspricht, und diese Zahl steigt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, weiter an. Die Zahl der Entwickler weltweit wird bis 2024 auf fast 29 Millionen anschwellen, und derzeit gibt es keine formale Zertifizierung, die ihre Fähigkeit zur sicheren Programmierung bewertet und bescheinigt. Das soll nicht heißen, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitsschwächen in die Software eingeschleust werden, der wir unsere Daten anvertrauen.
Entwickler werden danach beurteilt, ob sie in der Lage sind, Funktionen zu erstellen und Code so schnell wie möglich zu liefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber das ändert sich allmählich, da immer mehr Unternehmen das Potenzial erkennen, das sie haben, um häufige Sicherheitsfehler in der frühesten Phase der Softwareentwicklung zu verhindern. Erkenntnis und Umsetzung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungsprogrammen courses jeglicher Kontext zu sicheren Kodierungspraktiken fehlt, liegt es oft am Arbeitsplatz des Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und die Weitergabe von Wissen selten oder irrelevant sind, dann wird dies wahrscheinlich unwirksam sein. Und so bleibt der Kreislauf der wiederkehrenden Schwachstellen aufgrund mangelnder Kompetenzentwicklung ungebrochen.
Natürlich ist es nicht die Aufgabe des durchschnittlichen Softwareentwicklers, die Cybersecurity-Probleme der Welt zu lösen; schließlich stellen Unternehmen nicht ohne Grund diese sehr teuren Sicherheitsexperten ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich eine Rolle dabei spielen, die Belastung zu verringern.
Doch was bedeutet das für uns - und für die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln - im Hinblick auf die Verhinderung eines verheerenden Cyberangriffs? Es wird zumindest eine Änderung des Status quo bei der Softwarebeschaffung erforderlich sein.
Die Fallstricke, die einer sicheren Software-Lieferkette im Wege stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider auch auf die Softwareversorgung zu. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verstärkten Best Practices für die Sicherheit, Investitionen in die Weiterbildung von Entwicklern und dem Übergang zu einer funktionalen DevSecOps-Umgebung (d. h. jeder ist mitverantwortlich dafür, dass die Software so sicher wie möglich hergestellt wird) an den Start gegangen ist; wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicherlich sollte das Sicherheitsteam dazu beitragen, die Sicherheit von Drittanbieter-Ergänzungen zum Tech-Stack zu bewerten, aber Entscheidungen können auf der Grundlage eines geschäftlichen Bedarfs getroffen werden, wobei die Auswahl an Lösungen gering ist. An diesem Punkt kann es sich um eine Vertrauensfrage handeln. Ist dem Anbieter die Sicherheit genauso wichtig wie Ihrem Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, wie nur Sie sie verstehen können, sowie die Werte, die Sie schützen müssen?
Transparenz ist ein wichtiger Faktor bei der Beurteilung der Sicherheit von Software-Ergänzungen des Anbieters. Sind die Anbieter offen mit ihren eigenen Sicherheitspraktiken umgegangen? Sie sollten stolz auf ihren Ansatz sein, Daten sicher zu halten, und dies sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgendwo veröffentlicht werden oder keine Informationen verfügbar sind, ist die Wahrscheinlichkeit groß, dass die Sicherheit nicht im Vordergrund steht. Der Anbieter sollte in der Lage sein, technische Fragen zu beantworten, und unabhängige Zertifizierungen wie ISO27001 und SOC2 können ebenfalls nicht schaden. Wenn Sie nicht in der Lage sind, "unter die Haube" zu schauen und im Rahmen Ihrer eigenen internen Sorgfaltspflicht und Sicherheitspraktiken nach Schwachstellen zu suchen, sollten Sie die Sache vergessen.
Da die Nachfrage eine derartig schnelle Umsetzung von Softwareanforderungen vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme eingefügt wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Abnehmer auf der Höhe der Zeit sein, und beide sollten ihre Entwickler vor Ort haben, um häufige Sicherheitsfehler und Schwachstellen zu finden, bevor sie ausgeliefert werden. Es könnten Hunderte - oder Tausende - von Abhängigkeiten gefährdet sein, wenn ein neuer Zusatz zum bestehenden Spinnennetz der technischen Lösungen hinzugefügt wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Was ist also die Lösung? Alles intern von Grund auf neu programmieren? Wenn wir uns im Jahr 1998 befänden, würde das vielleicht Sinn machen. Aber so wie wir heute nicht mehr "Jeeves" fragen, wo die nächste Autowaschanlage ist, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch kein Patentrezept, aber es gibt Lösungen
Für Käufer sollte die Sicherheit assessment der Anbietersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikominderungsplans sein. Stellen Sie Fragen zu den Zertifizierungen, Praktiken und der Sicherheitsreputation der Entwickler.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen darauf vorbereitet sein zu zeigen, dass die Sicherheit an erster Stelle steht, und sollten sich auf die Weiterbildung von Mitarbeitern konzentrieren. Sicherheitskompetente Entwickler sind sehr gefragt, und mit den richtigen Werkzeugen und der richtigen Unterstützung können sie aus Ihrem bestehenden Team aufgebaut und in die Lage versetzt werden, Angriffe auf gängige Schwachstellen abzuwehren. Aber geben Sie ihnen nicht einfach irgendeine Schulung. Geben Sie ihnen Zeit, sich mit Sicherheitswerkzeugen zurechtzufinden, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es ihnen so einfach wie möglich, und beobachten Sie, wie sich die lästigen Bugs im Code, der das Unternehmen antreibt, langsam ausdünnen.
Die Quintessenz ist, dass jedes Softwarerisiko sich sofort verschlimmert, wenn es Teil der Lieferkette ist und alle Benutzer und alle Systeme betrifft, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder wenn es sowohl dem Anbieter als auch dem Unternehmen an Sicherheitsprogrammen mangelt -, dann werden verheerende, weitreichende Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden - und das ist ein kritisches Problem für alle.
Eine Version dieses Artikels erschien in TechCrunch .. Er wurde aktualisiert und hier syndiziert.
Als ob wir im Jahr ohne Namen nicht schon genug Störungen gehabt hätten, begann das Jahr 2021 für die US-Regierung mit einem ohrenbetäubenden Knall, und zwar in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der Vorfall bei SolarWinds war ein verheerender, ausgeklügelter Angriff eines nationalen Staates, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sie dazu veranlasste, ihre Endpunkte zu sichern. Praktisch jeder Endnutzer der SolarWinds-Software wurde kompromittiert, und der Vorfall machte überdeutlich, wie wichtig Cybersicherheit und Schutz in Software-Lieferketten sind.
Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software erstellt, was Milliarden von Codezeilen pro Jahr entspricht, und diese Zahl steigt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, weiter an. Die Zahl der Entwickler weltweit wird bis 2024 auf fast 29 Millionen anschwellen, und derzeit gibt es keine formale Zertifizierung, die ihre Fähigkeit zur sicheren Programmierung bewertet und bescheinigt. Das soll nicht heißen, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitsschwächen in die Software eingeschleust werden, der wir unsere Daten anvertrauen.
Entwickler werden danach beurteilt, ob sie in der Lage sind, Funktionen zu erstellen und Code so schnell wie möglich zu liefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber das ändert sich allmählich, da immer mehr Unternehmen das Potenzial erkennen, das sie haben, um häufige Sicherheitsfehler in der frühesten Phase der Softwareentwicklung zu verhindern. Erkenntnis und Umsetzung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungsprogrammen courses jeglicher Kontext zu sicheren Kodierungspraktiken fehlt, liegt es oft am Arbeitsplatz des Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und die Weitergabe von Wissen selten oder irrelevant sind, dann wird dies wahrscheinlich unwirksam sein. Und so bleibt der Kreislauf der wiederkehrenden Schwachstellen aufgrund mangelnder Kompetenzentwicklung ungebrochen.
Natürlich ist es nicht die Aufgabe des durchschnittlichen Softwareentwicklers, die Cybersecurity-Probleme der Welt zu lösen; schließlich stellen Unternehmen nicht ohne Grund diese sehr teuren Sicherheitsexperten ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich eine Rolle dabei spielen, die Belastung zu verringern.
Doch was bedeutet das für uns - und für die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln - im Hinblick auf die Verhinderung eines verheerenden Cyberangriffs? Es wird zumindest eine Änderung des Status quo bei der Softwarebeschaffung erforderlich sein.
Die Fallstricke, die einer sicheren Software-Lieferkette im Wege stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider auch auf die Softwareversorgung zu. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verstärkten Best Practices für die Sicherheit, Investitionen in die Weiterbildung von Entwicklern und dem Übergang zu einer funktionalen DevSecOps-Umgebung (d. h. jeder ist mitverantwortlich dafür, dass die Software so sicher wie möglich hergestellt wird) an den Start gegangen ist; wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicherlich sollte das Sicherheitsteam dazu beitragen, die Sicherheit von Drittanbieter-Ergänzungen zum Tech-Stack zu bewerten, aber Entscheidungen können auf der Grundlage eines geschäftlichen Bedarfs getroffen werden, wobei die Auswahl an Lösungen gering ist. An diesem Punkt kann es sich um eine Vertrauensfrage handeln. Ist dem Anbieter die Sicherheit genauso wichtig wie Ihrem Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, wie nur Sie sie verstehen können, sowie die Werte, die Sie schützen müssen?
Transparenz ist ein wichtiger Faktor bei der Beurteilung der Sicherheit von Software-Ergänzungen des Anbieters. Sind die Anbieter offen mit ihren eigenen Sicherheitspraktiken umgegangen? Sie sollten stolz auf ihren Ansatz sein, Daten sicher zu halten, und dies sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgendwo veröffentlicht werden oder keine Informationen verfügbar sind, ist die Wahrscheinlichkeit groß, dass die Sicherheit nicht im Vordergrund steht. Der Anbieter sollte in der Lage sein, technische Fragen zu beantworten, und unabhängige Zertifizierungen wie ISO27001 und SOC2 können ebenfalls nicht schaden. Wenn Sie nicht in der Lage sind, "unter die Haube" zu schauen und im Rahmen Ihrer eigenen internen Sorgfaltspflicht und Sicherheitspraktiken nach Schwachstellen zu suchen, sollten Sie die Sache vergessen.
Da die Nachfrage eine derartig schnelle Umsetzung von Softwareanforderungen vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme eingefügt wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Abnehmer auf der Höhe der Zeit sein, und beide sollten ihre Entwickler vor Ort haben, um häufige Sicherheitsfehler und Schwachstellen zu finden, bevor sie ausgeliefert werden. Es könnten Hunderte - oder Tausende - von Abhängigkeiten gefährdet sein, wenn ein neuer Zusatz zum bestehenden Spinnennetz der technischen Lösungen hinzugefügt wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Was ist also die Lösung? Alles intern von Grund auf neu programmieren? Wenn wir uns im Jahr 1998 befänden, würde das vielleicht Sinn machen. Aber so wie wir heute nicht mehr "Jeeves" fragen, wo die nächste Autowaschanlage ist, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch kein Patentrezept, aber es gibt Lösungen
Für Käufer sollte die Sicherheit assessment der Anbietersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikominderungsplans sein. Stellen Sie Fragen zu den Zertifizierungen, Praktiken und der Sicherheitsreputation der Entwickler.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen darauf vorbereitet sein zu zeigen, dass die Sicherheit an erster Stelle steht, und sollten sich auf die Weiterbildung von Mitarbeitern konzentrieren. Sicherheitskompetente Entwickler sind sehr gefragt, und mit den richtigen Werkzeugen und der richtigen Unterstützung können sie aus Ihrem bestehenden Team aufgebaut und in die Lage versetzt werden, Angriffe auf gängige Schwachstellen abzuwehren. Aber geben Sie ihnen nicht einfach irgendeine Schulung. Geben Sie ihnen Zeit, sich mit Sicherheitswerkzeugen zurechtzufinden, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es ihnen so einfach wie möglich, und beobachten Sie, wie sich die lästigen Bugs im Code, der das Unternehmen antreibt, langsam ausdünnen.
Die Quintessenz ist, dass jedes Softwarerisiko sich sofort verschlimmert, wenn es Teil der Lieferkette ist und alle Benutzer und alle Systeme betrifft, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder wenn es sowohl dem Anbieter als auch dem Unternehmen an Sicherheitsprogrammen mangelt -, dann werden verheerende, weitreichende Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden - und das ist ein kritisches Problem für alle.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in TechCrunch .. Er wurde aktualisiert und hier syndiziert.
Als ob wir im Jahr ohne Namen nicht schon genug Störungen gehabt hätten, begann das Jahr 2021 für die US-Regierung mit einem ohrenbetäubenden Knall, und zwar in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der Vorfall bei SolarWinds war ein verheerender, ausgeklügelter Angriff eines nationalen Staates, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sie dazu veranlasste, ihre Endpunkte zu sichern. Praktisch jeder Endnutzer der SolarWinds-Software wurde kompromittiert, und der Vorfall machte überdeutlich, wie wichtig Cybersicherheit und Schutz in Software-Lieferketten sind.
Es liegt auf der Hand, dass Cybersicherheit wichtig ist, aber was bedeutet sie eigentlich im Zusammenhang mit Lieferketten?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software erstellt, was Milliarden von Codezeilen pro Jahr entspricht, und diese Zahl steigt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, weiter an. Die Zahl der Entwickler weltweit wird bis 2024 auf fast 29 Millionen anschwellen, und derzeit gibt es keine formale Zertifizierung, die ihre Fähigkeit zur sicheren Programmierung bewertet und bescheinigt. Das soll nicht heißen, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitsschwächen in die Software eingeschleust werden, der wir unsere Daten anvertrauen.
Entwickler werden danach beurteilt, ob sie in der Lage sind, Funktionen zu erstellen und Code so schnell wie möglich zu liefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber das ändert sich allmählich, da immer mehr Unternehmen das Potenzial erkennen, das sie haben, um häufige Sicherheitsfehler in der frühesten Phase der Softwareentwicklung zu verhindern. Erkenntnis und Umsetzung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungsprogrammen courses jeglicher Kontext zu sicheren Kodierungspraktiken fehlt, liegt es oft am Arbeitsplatz des Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und die Weitergabe von Wissen selten oder irrelevant sind, dann wird dies wahrscheinlich unwirksam sein. Und so bleibt der Kreislauf der wiederkehrenden Schwachstellen aufgrund mangelnder Kompetenzentwicklung ungebrochen.
Natürlich ist es nicht die Aufgabe des durchschnittlichen Softwareentwicklers, die Cybersecurity-Probleme der Welt zu lösen; schließlich stellen Unternehmen nicht ohne Grund diese sehr teuren Sicherheitsexperten ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich eine Rolle dabei spielen, die Belastung zu verringern.
Doch was bedeutet das für uns - und für die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln - im Hinblick auf die Verhinderung eines verheerenden Cyberangriffs? Es wird zumindest eine Änderung des Status quo bei der Softwarebeschaffung erforderlich sein.
Die Fallstricke, die einer sicheren Software-Lieferkette im Wege stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider auch auf die Softwareversorgung zu. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verstärkten Best Practices für die Sicherheit, Investitionen in die Weiterbildung von Entwicklern und dem Übergang zu einer funktionalen DevSecOps-Umgebung (d. h. jeder ist mitverantwortlich dafür, dass die Software so sicher wie möglich hergestellt wird) an den Start gegangen ist; wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicherlich sollte das Sicherheitsteam dazu beitragen, die Sicherheit von Drittanbieter-Ergänzungen zum Tech-Stack zu bewerten, aber Entscheidungen können auf der Grundlage eines geschäftlichen Bedarfs getroffen werden, wobei die Auswahl an Lösungen gering ist. An diesem Punkt kann es sich um eine Vertrauensfrage handeln. Ist dem Anbieter die Sicherheit genauso wichtig wie Ihrem Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, wie nur Sie sie verstehen können, sowie die Werte, die Sie schützen müssen?
Transparenz ist ein wichtiger Faktor bei der Beurteilung der Sicherheit von Software-Ergänzungen des Anbieters. Sind die Anbieter offen mit ihren eigenen Sicherheitspraktiken umgegangen? Sie sollten stolz auf ihren Ansatz sein, Daten sicher zu halten, und dies sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgendwo veröffentlicht werden oder keine Informationen verfügbar sind, ist die Wahrscheinlichkeit groß, dass die Sicherheit nicht im Vordergrund steht. Der Anbieter sollte in der Lage sein, technische Fragen zu beantworten, und unabhängige Zertifizierungen wie ISO27001 und SOC2 können ebenfalls nicht schaden. Wenn Sie nicht in der Lage sind, "unter die Haube" zu schauen und im Rahmen Ihrer eigenen internen Sorgfaltspflicht und Sicherheitspraktiken nach Schwachstellen zu suchen, sollten Sie die Sache vergessen.
Da die Nachfrage eine derartig schnelle Umsetzung von Softwareanforderungen vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme eingefügt wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Abnehmer auf der Höhe der Zeit sein, und beide sollten ihre Entwickler vor Ort haben, um häufige Sicherheitsfehler und Schwachstellen zu finden, bevor sie ausgeliefert werden. Es könnten Hunderte - oder Tausende - von Abhängigkeiten gefährdet sein, wenn ein neuer Zusatz zum bestehenden Spinnennetz der technischen Lösungen hinzugefügt wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Was ist also die Lösung? Alles intern von Grund auf neu programmieren? Wenn wir uns im Jahr 1998 befänden, würde das vielleicht Sinn machen. Aber so wie wir heute nicht mehr "Jeeves" fragen, wo die nächste Autowaschanlage ist, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch kein Patentrezept, aber es gibt Lösungen
Für Käufer sollte die Sicherheit assessment der Anbietersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikominderungsplans sein. Stellen Sie Fragen zu den Zertifizierungen, Praktiken und der Sicherheitsreputation der Entwickler.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen darauf vorbereitet sein zu zeigen, dass die Sicherheit an erster Stelle steht, und sollten sich auf die Weiterbildung von Mitarbeitern konzentrieren. Sicherheitskompetente Entwickler sind sehr gefragt, und mit den richtigen Werkzeugen und der richtigen Unterstützung können sie aus Ihrem bestehenden Team aufgebaut und in die Lage versetzt werden, Angriffe auf gängige Schwachstellen abzuwehren. Aber geben Sie ihnen nicht einfach irgendeine Schulung. Geben Sie ihnen Zeit, sich mit Sicherheitswerkzeugen zurechtzufinden, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es ihnen so einfach wie möglich, und beobachten Sie, wie sich die lästigen Bugs im Code, der das Unternehmen antreibt, langsam ausdünnen.
Die Quintessenz ist, dass jedes Softwarerisiko sich sofort verschlimmert, wenn es Teil der Lieferkette ist und alle Benutzer und alle Systeme betrifft, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder wenn es sowohl dem Anbieter als auch dem Unternehmen an Sicherheitsprogrammen mangelt -, dann werden verheerende, weitreichende Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden - und das ist ein kritisches Problem für alle.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
