Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Sicherheitsteams haben Mühe, mit der Flut neuer Innovationen in der heutigen Cloud-gesteuerten DevOps-Welt Schritt zu halten. Daher ist es nur logisch, dass sie auch nicht mit den unzähligen Möglichkeiten Schritt halten können, mit denen Angreifer die Schwachstellen ausnutzen, die sich bei der ständigen Generierung von so viel Code zwangsläufig ergeben.
Doch trotz der zunehmenden Zahl bedeutender Sicherheitsverletzungen - von der Datenschutzverletzung bei Equifax und dem Angriff auf die Lieferkette von SolarWinds bis hin zu weiteren Vorfällen in den letzten Jahren, wie den erfolgreichen Angriffen auf Change Healthcare, AT&T und andere - konzentrieren sich viele Unternehmen weiterhin auf einen reaktiven Sicherheitsansatz. Sie setzen den Großteil ihrer Sicherheitsressourcen darauf ein, Schwachstellen zu finden und zu beheben und auf Vorfälle zu reagieren, sobald sie auftreten. Dieser Ansatz mag in einer anderen Zeit angemessen gewesen sein, aber die rasante Entwicklung von Software, technologischen Möglichkeiten und IT-Infrastrukturen überfordert die unterbesetzten und überlasteten Sicherheitsteams, da sie nicht Schritt halten können.
Um zu vermeiden, dass sie ständig benachteiligt werden, müssen sie aufhören, Sicherheitsbedrohungen nachzujagen, die sich für sie zu schnell entwickeln, oder zu warten, bis das Pferd der Datenpanne aus dem Stall ist. Stattdessen sollten sie dem Problem zuvorkommen, indem sie einen präventiven und nicht einen reaktiven Ansatz verfolgen. Die Verbesserung der Sicherheit sowohl von Legacy-Anwendungen als auch von neuen Anwendungen erfordert einen Secure-by-Design-Ansatz, der durch effektive Entwicklerschulungen unterstützt wird, um sicherzustellen, dass zu Beginn des Softwareentwicklungszyklus (SDLC) bewährte Sicherheitspraktiken angewendet und Schwachstellen behoben werden, bevor sie in die Produktion gelangen.
Bislang war dies leichter gesagt als getan.
Sichere Codierer sind Mangelware
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat versucht, mit ihrer Secure-by-Design-Initiative, die sichere Kodierung zusammen mit anderen bewährten Praktiken - von der Multi-Faktor-Authentifizierung (MFA) bis hin zur Reduzierung von Schwachstellen - fördert, die Prävention als Schlüsselpolitik voranzutreiben und Organisationen dazu zu ermutigen, das Secure-by-Design-Versprechen abzulegen. Andere Länder, darunter Australien, Kanada, Deutschland und Großbritannien, haben ähnliche Programme gestartet. Unsere Recherchen haben jedoch ergeben, dass sich bisher nur sehr wenige Unternehmen daran beteiligt haben.
Wenn wir alle Entwickler auf Secure Code Warrior's Learning Platform mit denen der SCW-Konkurrenten, die in der Secure-by-Design-Ader arbeiten, kombinieren, gibt es zwischen 500.000 und 1 Million Entwickler, die diesen Ansatz verfolgen. Nach der großzügigsten Schätzung sind das etwa 3,5 % der Gesamtzahl der Entwickler weltweit, die bis Ende 2024 voraussichtlich 28,7 Millionen erreichen wird. Das sind viele Entwickler, die mehr Code produzieren als je zuvor, vor allem angesichts der Tatsache, dass generative Programme für künstliche Intelligenz das Entwicklungstempo erheblich beschleunigen, und nur sehr wenige lernen, wie man mit sicherem Code beginnt.
Software-Ingenieure werden in der Regel nicht in Cybersicherheit unterrichtet, weil das traditionelle Modell vorsieht, dass Entwickler und Sicherheitsexperten als getrennte Einheiten arbeiten, wobei sich die Sicherheitsteams erst nach der Erstellung der Software um Sicherheitsfragen kümmern. Doch Sicherheitsexperten sind in der heutigen Umgebung deutlich in der Minderheit. Der jüngste Bericht zum Building Security in Maturity Model (BSIMM14) zeigt, dass auf 100 Entwickler weltweit im Durchschnitt 3,87 AppSec-Experten kommen. Weniger als vier ausgebildete Spezialisten, die versuchen, den Output von 100 Entwicklern zu sichern, die mit halsbrecherischer Geschwindigkeit arbeiten, sind kein Rezept für sicheren Code.
Die Vernachlässigung der Anwendungssicherheit wird auch deutlich, wenn man ihre Marktgröße mit anderen Sicherheitsbereichen vergleicht. Die Komponenten, aus denen sich ein Secure-by-Design-Ansatz zusammensetzt, fallen in den Markt für Anwendungssicherheit, der von 6,08 Milliarden US-Dollar im Jahr 2023 auf 17,51 Milliarden US-Dollar im Jahr 2031 anwachsen soll. Das sieht nach einem rasanten Wachstum aus, verblasst aber im Vergleich zu den Ausgaben für die Netzwerksicherheit, die von 23,57 Milliarden Dollar im Jahr 2023 auf 67,33 Milliarden Dollar im Jahr 2032 steigen sollen, oder für die Sicherheit der Betriebstechnologie, die von 18,03 Milliarden Dollar im Jahr 2023 auf 57,51 Milliarden Dollar im Jahr 2031 ansteigen soll.
In Anbetracht der wachsenden Bedeutung von sicherem Code und sicheren Anwendungen ist dieser Bereich unterfinanziert. Wenn Unternehmen mehr in die Anwendungssicherheit und einen Secure-by-Design-Ansatz investieren, können sie möglicherweise in anderen Sicherheitsbereichen sparen.
Es gibt noch eine Reihe anderer Faktoren, die dazu beitragen, dass präventive Sicherheit schwieriger zu implementieren und daher auch schwieriger an Führungskräfte zu verkaufen ist. Zum einen sind Unternehmen, die schon lange bestehen, wie z. B. im Finanzdienstleistungssektor, mit alten Altsystemen belastet, von denen einige noch aus der Mitte des letzten Jahrhunderts stammen, als COBOL die Programmiersprache der Wahl war.
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Aufbau einer Kultur der Prävention
Der Übergang zu einem präventiven Sicherheitskonzept mag nur langsam vonstatten gehen, aber der Druck zur Einführung von Secure-by-Design-Verfahren wird nicht nachlassen, denn die dringende Notwendigkeit dafür ist in der heutigen Cyber-Bedrohungslandschaft ungebrochen. Die Automobilindustrie würde in die Pfanne gehauen, wenn sie in mehr Krankenwagen und Sanitäter investieren würde, anstatt die Autos sicherer zu machen, doch viele Unternehmen folgen diesem Modell, wenn es um Cybersicherheit geht.
Unternehmen müssen einen präventiven, proaktiven Ansatz zur Risikominderung verfolgen. Sie sollten Programme entwickeln, um Entwickler für das Schreiben von sicherem Code und die Korrektur von Fehlern (z. B. durch KI-Assistenten oder Code von Drittanbietern) frühzeitig im SDLC zu schulen. Diese Programme sollten agile, interaktive Schulungsprogramme umfassen, die sich den Zeitplänen der Entwickler anpassen und auf ihre Arbeitsumgebung und die von ihnen verwendeten Programmiersprachen zugeschnitten werden können. Upskilling sollte praktische Schulungen beinhalten, die sich mit realen Problemen befassen.
Wichtig ist, dass es ein Mittel zur Messung der Fortschritte gibt, um zu gewährleisten, dass bewährte Sicherheitspraktiken zu einem wesentlichen Bestandteil der täglichen Routine geworden sind. Ein Tool wie der Trust Score von SCW nutzt Benchmarks, um den Fortschritt sowohl intern als auch im Vergleich zu Branchenstandards zu messen und gleichzeitig Bereiche zu identifizieren, die verbessert werden müssen.
Ein "Secure-by-Design"-Ansatz wäre ganzheitlich und würde eine auf Sicherheit ausgerichtete Denkweise innerhalb des Unternehmens widerspiegeln, bei der Sicherheit eine geschäftliche Priorität darstellt. Reaktions- und Wiederherstellungsmaßnahmen sind zweifellos wichtige Bestandteile der allgemeinen Sicherheitsvorkehrungen eines Unternehmens. Durch die Konzentration auf die Vorbeugung können Unternehmen jedoch große Fortschritte bei der Risikominderung machen und vielleicht die Art von größeren Sicherheitsverletzungen vermeiden, die die Lebensfähigkeit eines Unternehmens gefährden können.
Erfahren Sie mehr darüber, wie Secure Code Warrior Sie bei der Umsetzung einer realisierbaren Secure-by-Design-Initiative unterstützen kann.
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Sicherheitsteams haben Mühe, mit der Flut neuer Innovationen in der heutigen Cloud-gesteuerten DevOps-Welt Schritt zu halten. Daher ist es nur logisch, dass sie auch nicht mit den unzähligen Möglichkeiten Schritt halten können, mit denen Angreifer die Schwachstellen ausnutzen, die sich bei der ständigen Generierung von so viel Code zwangsläufig ergeben.
Doch trotz der zunehmenden Zahl bedeutender Sicherheitsverletzungen - von der Datenschutzverletzung bei Equifax und dem Angriff auf die Lieferkette von SolarWinds bis hin zu weiteren Vorfällen in den letzten Jahren, wie den erfolgreichen Angriffen auf Change Healthcare, AT&T und andere - konzentrieren sich viele Unternehmen weiterhin auf einen reaktiven Sicherheitsansatz. Sie setzen den Großteil ihrer Sicherheitsressourcen darauf ein, Schwachstellen zu finden und zu beheben und auf Vorfälle zu reagieren, sobald sie auftreten. Dieser Ansatz mag in einer anderen Zeit angemessen gewesen sein, aber die rasante Entwicklung von Software, technologischen Möglichkeiten und IT-Infrastrukturen überfordert die unterbesetzten und überlasteten Sicherheitsteams, da sie nicht Schritt halten können.
Um zu vermeiden, dass sie ständig benachteiligt werden, müssen sie aufhören, Sicherheitsbedrohungen nachzujagen, die sich für sie zu schnell entwickeln, oder zu warten, bis das Pferd der Datenpanne aus dem Stall ist. Stattdessen sollten sie dem Problem zuvorkommen, indem sie einen präventiven und nicht einen reaktiven Ansatz verfolgen. Die Verbesserung der Sicherheit sowohl von Legacy-Anwendungen als auch von neuen Anwendungen erfordert einen Secure-by-Design-Ansatz, der durch effektive Entwicklerschulungen unterstützt wird, um sicherzustellen, dass zu Beginn des Softwareentwicklungszyklus (SDLC) bewährte Sicherheitspraktiken angewendet und Schwachstellen behoben werden, bevor sie in die Produktion gelangen.
Bislang war dies leichter gesagt als getan.
Sichere Codierer sind Mangelware
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat versucht, mit ihrer Secure-by-Design-Initiative, die sichere Kodierung zusammen mit anderen bewährten Praktiken - von der Multi-Faktor-Authentifizierung (MFA) bis hin zur Reduzierung von Schwachstellen - fördert, die Prävention als Schlüsselpolitik voranzutreiben und Organisationen dazu zu ermutigen, das Secure-by-Design-Versprechen abzulegen. Andere Länder, darunter Australien, Kanada, Deutschland und Großbritannien, haben ähnliche Programme gestartet. Unsere Recherchen haben jedoch ergeben, dass sich bisher nur sehr wenige Unternehmen daran beteiligt haben.
Wenn wir alle Entwickler auf Secure Code Warrior's Learning Platform mit denen der SCW-Konkurrenten, die in der Secure-by-Design-Ader arbeiten, kombinieren, gibt es zwischen 500.000 und 1 Million Entwickler, die diesen Ansatz verfolgen. Nach der großzügigsten Schätzung sind das etwa 3,5 % der Gesamtzahl der Entwickler weltweit, die bis Ende 2024 voraussichtlich 28,7 Millionen erreichen wird. Das sind viele Entwickler, die mehr Code produzieren als je zuvor, vor allem angesichts der Tatsache, dass generative Programme für künstliche Intelligenz das Entwicklungstempo erheblich beschleunigen, und nur sehr wenige lernen, wie man mit sicherem Code beginnt.
Software-Ingenieure werden in der Regel nicht in Cybersicherheit unterrichtet, weil das traditionelle Modell vorsieht, dass Entwickler und Sicherheitsexperten als getrennte Einheiten arbeiten, wobei sich die Sicherheitsteams erst nach der Erstellung der Software um Sicherheitsfragen kümmern. Doch Sicherheitsexperten sind in der heutigen Umgebung deutlich in der Minderheit. Der jüngste Bericht zum Building Security in Maturity Model (BSIMM14) zeigt, dass auf 100 Entwickler weltweit im Durchschnitt 3,87 AppSec-Experten kommen. Weniger als vier ausgebildete Spezialisten, die versuchen, den Output von 100 Entwicklern zu sichern, die mit halsbrecherischer Geschwindigkeit arbeiten, sind kein Rezept für sicheren Code.
Die Vernachlässigung der Anwendungssicherheit wird auch deutlich, wenn man ihre Marktgröße mit anderen Sicherheitsbereichen vergleicht. Die Komponenten, aus denen sich ein Secure-by-Design-Ansatz zusammensetzt, fallen in den Markt für Anwendungssicherheit, der von 6,08 Milliarden US-Dollar im Jahr 2023 auf 17,51 Milliarden US-Dollar im Jahr 2031 anwachsen soll. Das sieht nach einem rasanten Wachstum aus, verblasst aber im Vergleich zu den Ausgaben für die Netzwerksicherheit, die von 23,57 Milliarden Dollar im Jahr 2023 auf 67,33 Milliarden Dollar im Jahr 2032 steigen sollen, oder für die Sicherheit der Betriebstechnologie, die von 18,03 Milliarden Dollar im Jahr 2023 auf 57,51 Milliarden Dollar im Jahr 2031 ansteigen soll.
In Anbetracht der wachsenden Bedeutung von sicherem Code und sicheren Anwendungen ist dieser Bereich unterfinanziert. Wenn Unternehmen mehr in die Anwendungssicherheit und einen Secure-by-Design-Ansatz investieren, können sie möglicherweise in anderen Sicherheitsbereichen sparen.
Es gibt noch eine Reihe anderer Faktoren, die dazu beitragen, dass präventive Sicherheit schwieriger zu implementieren und daher auch schwieriger an Führungskräfte zu verkaufen ist. Zum einen sind Unternehmen, die schon lange bestehen, wie z. B. im Finanzdienstleistungssektor, mit alten Altsystemen belastet, von denen einige noch aus der Mitte des letzten Jahrhunderts stammen, als COBOL die Programmiersprache der Wahl war.
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Aufbau einer Kultur der Prävention
Der Übergang zu einem präventiven Sicherheitskonzept mag nur langsam vonstatten gehen, aber der Druck zur Einführung von Secure-by-Design-Verfahren wird nicht nachlassen, denn die dringende Notwendigkeit dafür ist in der heutigen Cyber-Bedrohungslandschaft ungebrochen. Die Automobilindustrie würde in die Pfanne gehauen, wenn sie in mehr Krankenwagen und Sanitäter investieren würde, anstatt die Autos sicherer zu machen, doch viele Unternehmen folgen diesem Modell, wenn es um Cybersicherheit geht.
Unternehmen müssen einen präventiven, proaktiven Ansatz zur Risikominderung verfolgen. Sie sollten Programme entwickeln, um Entwickler für das Schreiben von sicherem Code und die Korrektur von Fehlern (z. B. durch KI-Assistenten oder Code von Drittanbietern) frühzeitig im SDLC zu schulen. Diese Programme sollten agile, interaktive Schulungsprogramme umfassen, die sich den Zeitplänen der Entwickler anpassen und auf ihre Arbeitsumgebung und die von ihnen verwendeten Programmiersprachen zugeschnitten werden können. Upskilling sollte praktische Schulungen beinhalten, die sich mit realen Problemen befassen.
Wichtig ist, dass es ein Mittel zur Messung der Fortschritte gibt, um zu gewährleisten, dass bewährte Sicherheitspraktiken zu einem wesentlichen Bestandteil der täglichen Routine geworden sind. Ein Tool wie der Trust Score von SCW nutzt Benchmarks, um den Fortschritt sowohl intern als auch im Vergleich zu Branchenstandards zu messen und gleichzeitig Bereiche zu identifizieren, die verbessert werden müssen.
Ein "Secure-by-Design"-Ansatz wäre ganzheitlich und würde eine auf Sicherheit ausgerichtete Denkweise innerhalb des Unternehmens widerspiegeln, bei der Sicherheit eine geschäftliche Priorität darstellt. Reaktions- und Wiederherstellungsmaßnahmen sind zweifellos wichtige Bestandteile der allgemeinen Sicherheitsvorkehrungen eines Unternehmens. Durch die Konzentration auf die Vorbeugung können Unternehmen jedoch große Fortschritte bei der Risikominderung machen und vielleicht die Art von größeren Sicherheitsverletzungen vermeiden, die die Lebensfähigkeit eines Unternehmens gefährden können.
Erfahren Sie mehr darüber, wie Secure Code Warrior Sie bei der Umsetzung einer realisierbaren Secure-by-Design-Initiative unterstützen kann.
Sicherheitsteams haben Mühe, mit der Flut neuer Innovationen in der heutigen Cloud-gesteuerten DevOps-Welt Schritt zu halten. Daher ist es nur logisch, dass sie auch nicht mit den unzähligen Möglichkeiten Schritt halten können, mit denen Angreifer die Schwachstellen ausnutzen, die sich bei der ständigen Generierung von so viel Code zwangsläufig ergeben.
Doch trotz der zunehmenden Zahl bedeutender Sicherheitsverletzungen - von der Datenschutzverletzung bei Equifax und dem Angriff auf die Lieferkette von SolarWinds bis hin zu weiteren Vorfällen in den letzten Jahren, wie den erfolgreichen Angriffen auf Change Healthcare, AT&T und andere - konzentrieren sich viele Unternehmen weiterhin auf einen reaktiven Sicherheitsansatz. Sie setzen den Großteil ihrer Sicherheitsressourcen darauf ein, Schwachstellen zu finden und zu beheben und auf Vorfälle zu reagieren, sobald sie auftreten. Dieser Ansatz mag in einer anderen Zeit angemessen gewesen sein, aber die rasante Entwicklung von Software, technologischen Möglichkeiten und IT-Infrastrukturen überfordert die unterbesetzten und überlasteten Sicherheitsteams, da sie nicht Schritt halten können.
Um zu vermeiden, dass sie ständig benachteiligt werden, müssen sie aufhören, Sicherheitsbedrohungen nachzujagen, die sich für sie zu schnell entwickeln, oder zu warten, bis das Pferd der Datenpanne aus dem Stall ist. Stattdessen sollten sie dem Problem zuvorkommen, indem sie einen präventiven und nicht einen reaktiven Ansatz verfolgen. Die Verbesserung der Sicherheit sowohl von Legacy-Anwendungen als auch von neuen Anwendungen erfordert einen Secure-by-Design-Ansatz, der durch effektive Entwicklerschulungen unterstützt wird, um sicherzustellen, dass zu Beginn des Softwareentwicklungszyklus (SDLC) bewährte Sicherheitspraktiken angewendet und Schwachstellen behoben werden, bevor sie in die Produktion gelangen.
Bislang war dies leichter gesagt als getan.
Sichere Codierer sind Mangelware
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat versucht, mit ihrer Secure-by-Design-Initiative, die sichere Kodierung zusammen mit anderen bewährten Praktiken - von der Multi-Faktor-Authentifizierung (MFA) bis hin zur Reduzierung von Schwachstellen - fördert, die Prävention als Schlüsselpolitik voranzutreiben und Organisationen dazu zu ermutigen, das Secure-by-Design-Versprechen abzulegen. Andere Länder, darunter Australien, Kanada, Deutschland und Großbritannien, haben ähnliche Programme gestartet. Unsere Recherchen haben jedoch ergeben, dass sich bisher nur sehr wenige Unternehmen daran beteiligt haben.
Wenn wir alle Entwickler auf Secure Code Warrior's Learning Platform mit denen der SCW-Konkurrenten, die in der Secure-by-Design-Ader arbeiten, kombinieren, gibt es zwischen 500.000 und 1 Million Entwickler, die diesen Ansatz verfolgen. Nach der großzügigsten Schätzung sind das etwa 3,5 % der Gesamtzahl der Entwickler weltweit, die bis Ende 2024 voraussichtlich 28,7 Millionen erreichen wird. Das sind viele Entwickler, die mehr Code produzieren als je zuvor, vor allem angesichts der Tatsache, dass generative Programme für künstliche Intelligenz das Entwicklungstempo erheblich beschleunigen, und nur sehr wenige lernen, wie man mit sicherem Code beginnt.
Software-Ingenieure werden in der Regel nicht in Cybersicherheit unterrichtet, weil das traditionelle Modell vorsieht, dass Entwickler und Sicherheitsexperten als getrennte Einheiten arbeiten, wobei sich die Sicherheitsteams erst nach der Erstellung der Software um Sicherheitsfragen kümmern. Doch Sicherheitsexperten sind in der heutigen Umgebung deutlich in der Minderheit. Der jüngste Bericht zum Building Security in Maturity Model (BSIMM14) zeigt, dass auf 100 Entwickler weltweit im Durchschnitt 3,87 AppSec-Experten kommen. Weniger als vier ausgebildete Spezialisten, die versuchen, den Output von 100 Entwicklern zu sichern, die mit halsbrecherischer Geschwindigkeit arbeiten, sind kein Rezept für sicheren Code.
Die Vernachlässigung der Anwendungssicherheit wird auch deutlich, wenn man ihre Marktgröße mit anderen Sicherheitsbereichen vergleicht. Die Komponenten, aus denen sich ein Secure-by-Design-Ansatz zusammensetzt, fallen in den Markt für Anwendungssicherheit, der von 6,08 Milliarden US-Dollar im Jahr 2023 auf 17,51 Milliarden US-Dollar im Jahr 2031 anwachsen soll. Das sieht nach einem rasanten Wachstum aus, verblasst aber im Vergleich zu den Ausgaben für die Netzwerksicherheit, die von 23,57 Milliarden Dollar im Jahr 2023 auf 67,33 Milliarden Dollar im Jahr 2032 steigen sollen, oder für die Sicherheit der Betriebstechnologie, die von 18,03 Milliarden Dollar im Jahr 2023 auf 57,51 Milliarden Dollar im Jahr 2031 ansteigen soll.
In Anbetracht der wachsenden Bedeutung von sicherem Code und sicheren Anwendungen ist dieser Bereich unterfinanziert. Wenn Unternehmen mehr in die Anwendungssicherheit und einen Secure-by-Design-Ansatz investieren, können sie möglicherweise in anderen Sicherheitsbereichen sparen.
Es gibt noch eine Reihe anderer Faktoren, die dazu beitragen, dass präventive Sicherheit schwieriger zu implementieren und daher auch schwieriger an Führungskräfte zu verkaufen ist. Zum einen sind Unternehmen, die schon lange bestehen, wie z. B. im Finanzdienstleistungssektor, mit alten Altsystemen belastet, von denen einige noch aus der Mitte des letzten Jahrhunderts stammen, als COBOL die Programmiersprache der Wahl war.
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Aufbau einer Kultur der Prävention
Der Übergang zu einem präventiven Sicherheitskonzept mag nur langsam vonstatten gehen, aber der Druck zur Einführung von Secure-by-Design-Verfahren wird nicht nachlassen, denn die dringende Notwendigkeit dafür ist in der heutigen Cyber-Bedrohungslandschaft ungebrochen. Die Automobilindustrie würde in die Pfanne gehauen, wenn sie in mehr Krankenwagen und Sanitäter investieren würde, anstatt die Autos sicherer zu machen, doch viele Unternehmen folgen diesem Modell, wenn es um Cybersicherheit geht.
Unternehmen müssen einen präventiven, proaktiven Ansatz zur Risikominderung verfolgen. Sie sollten Programme entwickeln, um Entwickler für das Schreiben von sicherem Code und die Korrektur von Fehlern (z. B. durch KI-Assistenten oder Code von Drittanbietern) frühzeitig im SDLC zu schulen. Diese Programme sollten agile, interaktive Schulungsprogramme umfassen, die sich den Zeitplänen der Entwickler anpassen und auf ihre Arbeitsumgebung und die von ihnen verwendeten Programmiersprachen zugeschnitten werden können. Upskilling sollte praktische Schulungen beinhalten, die sich mit realen Problemen befassen.
Wichtig ist, dass es ein Mittel zur Messung der Fortschritte gibt, um zu gewährleisten, dass bewährte Sicherheitspraktiken zu einem wesentlichen Bestandteil der täglichen Routine geworden sind. Ein Tool wie der Trust Score von SCW nutzt Benchmarks, um den Fortschritt sowohl intern als auch im Vergleich zu Branchenstandards zu messen und gleichzeitig Bereiche zu identifizieren, die verbessert werden müssen.
Ein "Secure-by-Design"-Ansatz wäre ganzheitlich und würde eine auf Sicherheit ausgerichtete Denkweise innerhalb des Unternehmens widerspiegeln, bei der Sicherheit eine geschäftliche Priorität darstellt. Reaktions- und Wiederherstellungsmaßnahmen sind zweifellos wichtige Bestandteile der allgemeinen Sicherheitsvorkehrungen eines Unternehmens. Durch die Konzentration auf die Vorbeugung können Unternehmen jedoch große Fortschritte bei der Risikominderung machen und vielleicht die Art von größeren Sicherheitsverletzungen vermeiden, die die Lebensfähigkeit eines Unternehmens gefährden können.
Erfahren Sie mehr darüber, wie Secure Code Warrior Sie bei der Umsetzung einer realisierbaren Secure-by-Design-Initiative unterstützen kann.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Sicherheitsteams haben Mühe, mit der Flut neuer Innovationen in der heutigen Cloud-gesteuerten DevOps-Welt Schritt zu halten. Daher ist es nur logisch, dass sie auch nicht mit den unzähligen Möglichkeiten Schritt halten können, mit denen Angreifer die Schwachstellen ausnutzen, die sich bei der ständigen Generierung von so viel Code zwangsläufig ergeben.
Doch trotz der zunehmenden Zahl bedeutender Sicherheitsverletzungen - von der Datenschutzverletzung bei Equifax und dem Angriff auf die Lieferkette von SolarWinds bis hin zu weiteren Vorfällen in den letzten Jahren, wie den erfolgreichen Angriffen auf Change Healthcare, AT&T und andere - konzentrieren sich viele Unternehmen weiterhin auf einen reaktiven Sicherheitsansatz. Sie setzen den Großteil ihrer Sicherheitsressourcen darauf ein, Schwachstellen zu finden und zu beheben und auf Vorfälle zu reagieren, sobald sie auftreten. Dieser Ansatz mag in einer anderen Zeit angemessen gewesen sein, aber die rasante Entwicklung von Software, technologischen Möglichkeiten und IT-Infrastrukturen überfordert die unterbesetzten und überlasteten Sicherheitsteams, da sie nicht Schritt halten können.
Um zu vermeiden, dass sie ständig benachteiligt werden, müssen sie aufhören, Sicherheitsbedrohungen nachzujagen, die sich für sie zu schnell entwickeln, oder zu warten, bis das Pferd der Datenpanne aus dem Stall ist. Stattdessen sollten sie dem Problem zuvorkommen, indem sie einen präventiven und nicht einen reaktiven Ansatz verfolgen. Die Verbesserung der Sicherheit sowohl von Legacy-Anwendungen als auch von neuen Anwendungen erfordert einen Secure-by-Design-Ansatz, der durch effektive Entwicklerschulungen unterstützt wird, um sicherzustellen, dass zu Beginn des Softwareentwicklungszyklus (SDLC) bewährte Sicherheitspraktiken angewendet und Schwachstellen behoben werden, bevor sie in die Produktion gelangen.
Bislang war dies leichter gesagt als getan.
Sichere Codierer sind Mangelware
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat versucht, mit ihrer Secure-by-Design-Initiative, die sichere Kodierung zusammen mit anderen bewährten Praktiken - von der Multi-Faktor-Authentifizierung (MFA) bis hin zur Reduzierung von Schwachstellen - fördert, die Prävention als Schlüsselpolitik voranzutreiben und Organisationen dazu zu ermutigen, das Secure-by-Design-Versprechen abzulegen. Andere Länder, darunter Australien, Kanada, Deutschland und Großbritannien, haben ähnliche Programme gestartet. Unsere Recherchen haben jedoch ergeben, dass sich bisher nur sehr wenige Unternehmen daran beteiligt haben.
Wenn wir alle Entwickler auf Secure Code Warrior's Learning Platform mit denen der SCW-Konkurrenten, die in der Secure-by-Design-Ader arbeiten, kombinieren, gibt es zwischen 500.000 und 1 Million Entwickler, die diesen Ansatz verfolgen. Nach der großzügigsten Schätzung sind das etwa 3,5 % der Gesamtzahl der Entwickler weltweit, die bis Ende 2024 voraussichtlich 28,7 Millionen erreichen wird. Das sind viele Entwickler, die mehr Code produzieren als je zuvor, vor allem angesichts der Tatsache, dass generative Programme für künstliche Intelligenz das Entwicklungstempo erheblich beschleunigen, und nur sehr wenige lernen, wie man mit sicherem Code beginnt.
Software-Ingenieure werden in der Regel nicht in Cybersicherheit unterrichtet, weil das traditionelle Modell vorsieht, dass Entwickler und Sicherheitsexperten als getrennte Einheiten arbeiten, wobei sich die Sicherheitsteams erst nach der Erstellung der Software um Sicherheitsfragen kümmern. Doch Sicherheitsexperten sind in der heutigen Umgebung deutlich in der Minderheit. Der jüngste Bericht zum Building Security in Maturity Model (BSIMM14) zeigt, dass auf 100 Entwickler weltweit im Durchschnitt 3,87 AppSec-Experten kommen. Weniger als vier ausgebildete Spezialisten, die versuchen, den Output von 100 Entwicklern zu sichern, die mit halsbrecherischer Geschwindigkeit arbeiten, sind kein Rezept für sicheren Code.
Die Vernachlässigung der Anwendungssicherheit wird auch deutlich, wenn man ihre Marktgröße mit anderen Sicherheitsbereichen vergleicht. Die Komponenten, aus denen sich ein Secure-by-Design-Ansatz zusammensetzt, fallen in den Markt für Anwendungssicherheit, der von 6,08 Milliarden US-Dollar im Jahr 2023 auf 17,51 Milliarden US-Dollar im Jahr 2031 anwachsen soll. Das sieht nach einem rasanten Wachstum aus, verblasst aber im Vergleich zu den Ausgaben für die Netzwerksicherheit, die von 23,57 Milliarden Dollar im Jahr 2023 auf 67,33 Milliarden Dollar im Jahr 2032 steigen sollen, oder für die Sicherheit der Betriebstechnologie, die von 18,03 Milliarden Dollar im Jahr 2023 auf 57,51 Milliarden Dollar im Jahr 2031 ansteigen soll.
In Anbetracht der wachsenden Bedeutung von sicherem Code und sicheren Anwendungen ist dieser Bereich unterfinanziert. Wenn Unternehmen mehr in die Anwendungssicherheit und einen Secure-by-Design-Ansatz investieren, können sie möglicherweise in anderen Sicherheitsbereichen sparen.
Es gibt noch eine Reihe anderer Faktoren, die dazu beitragen, dass präventive Sicherheit schwieriger zu implementieren und daher auch schwieriger an Führungskräfte zu verkaufen ist. Zum einen sind Unternehmen, die schon lange bestehen, wie z. B. im Finanzdienstleistungssektor, mit alten Altsystemen belastet, von denen einige noch aus der Mitte des letzten Jahrhunderts stammen, als COBOL die Programmiersprache der Wahl war.
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Aufbau einer Kultur der Prävention
Der Übergang zu einem präventiven Sicherheitskonzept mag nur langsam vonstatten gehen, aber der Druck zur Einführung von Secure-by-Design-Verfahren wird nicht nachlassen, denn die dringende Notwendigkeit dafür ist in der heutigen Cyber-Bedrohungslandschaft ungebrochen. Die Automobilindustrie würde in die Pfanne gehauen, wenn sie in mehr Krankenwagen und Sanitäter investieren würde, anstatt die Autos sicherer zu machen, doch viele Unternehmen folgen diesem Modell, wenn es um Cybersicherheit geht.
Unternehmen müssen einen präventiven, proaktiven Ansatz zur Risikominderung verfolgen. Sie sollten Programme entwickeln, um Entwickler für das Schreiben von sicherem Code und die Korrektur von Fehlern (z. B. durch KI-Assistenten oder Code von Drittanbietern) frühzeitig im SDLC zu schulen. Diese Programme sollten agile, interaktive Schulungsprogramme umfassen, die sich den Zeitplänen der Entwickler anpassen und auf ihre Arbeitsumgebung und die von ihnen verwendeten Programmiersprachen zugeschnitten werden können. Upskilling sollte praktische Schulungen beinhalten, die sich mit realen Problemen befassen.
Wichtig ist, dass es ein Mittel zur Messung der Fortschritte gibt, um zu gewährleisten, dass bewährte Sicherheitspraktiken zu einem wesentlichen Bestandteil der täglichen Routine geworden sind. Ein Tool wie der Trust Score von SCW nutzt Benchmarks, um den Fortschritt sowohl intern als auch im Vergleich zu Branchenstandards zu messen und gleichzeitig Bereiche zu identifizieren, die verbessert werden müssen.
Ein "Secure-by-Design"-Ansatz wäre ganzheitlich und würde eine auf Sicherheit ausgerichtete Denkweise innerhalb des Unternehmens widerspiegeln, bei der Sicherheit eine geschäftliche Priorität darstellt. Reaktions- und Wiederherstellungsmaßnahmen sind zweifellos wichtige Bestandteile der allgemeinen Sicherheitsvorkehrungen eines Unternehmens. Durch die Konzentration auf die Vorbeugung können Unternehmen jedoch große Fortschritte bei der Risikominderung machen und vielleicht die Art von größeren Sicherheitsverletzungen vermeiden, die die Lebensfähigkeit eines Unternehmens gefährden können.
Erfahren Sie mehr darüber, wie Secure Code Warrior Sie bei der Umsetzung einer realisierbaren Secure-by-Design-Initiative unterstützen kann.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Vertiefung: Navigieren durch die kritische CUPS-Schwachstelle in GNU-Linux-Systemen
Entdecken Sie die neuesten Sicherheitsprobleme, mit denen Linux-Benutzer konfrontiert sind, indem wir die jüngsten hochgradigen Sicherheitslücken im Common UNIX Printing System (CUPS) untersuchen. Erfahren Sie, wie diese Probleme zu einer möglichen Remote Code Execution (RCE) führen können und was Sie tun können, um Ihre Systeme zu schützen.
Coders Conquer Security: Teilen und Lernen - Cross-Site Scripting (XSS)
Cross-Site-Scripting (XSS) nutzt das Vertrauen von Browsern und die Unwissenheit der Benutzer aus, um Daten zu stehlen, Konten zu übernehmen und Websites zu verunstalten; es ist eine Schwachstelle, die sehr schnell sehr hässlich werden kann. Lassen Sie uns einen Blick darauf werfen, wie XSS funktioniert, welchen Schaden es anrichten kann und wie man es verhindern kann.