Eine Version dieses Artikels erschien ursprünglich in Dunkles Lesen . Er wurde für die Syndikation hier aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die brisanten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber angesichts von mehr als fünf Milliarden gestohlenen sensiblen Datensätzen im Jahr 2019 dachte ich mir, dass es genauer wäre, vorherzusagen, was in der Cybersicherheit im Jahr 2020 oder sogar in der absehbaren Zukunft nicht passieren wird.
Ich habe mich mit meinem Mitbegründer Matias Madou zusammengesetzt und wir haben bei der Zusammenstellung dieser Liste ein wenig gelacht. Die Liste ist eher als lockerer Ausblick gedacht, aber sie regt zum Nachdenken über den langen Weg an, der vor jeder Organisation liegt, um sie gegen bösartige Cyberangriffe zu schützen.
Schauen wir nun in unsere Kristallkugel und verraten unsere Vorhersagen. Wir werden nicht sehen:
SQL-Injections aus aller Software ausgemerzt Ich glaube, jeder Sicherheitsexperte auf dem Planeten hat auf den Tag gewartet, an dem er nicht mehr dazu verdammt ist, SQL-Injection-Bugs zu identifizieren, ad nauseam.
Traurigerweise warten wir seit mehr als zwanzig Jahren auf diesen Tag, und wir werden noch mindestens einen weiteren warten. Es ist die Schwachstelle, die wie eine Kakerlake bisher jede Taktik überlebt hat, um sie endgültig auszurotten.
Das ist gelinde gesagt frustrierend, da die Abhilfe schon seit ziemlich genau so langer Zeit bekannt ist. Die Priorisierung von Sicherheits-Best-Practices in jeder Phase der Software-Entwicklung (vor allem von Anfang an) ist jedoch nach wie vor zu gering und angesichts der enormen Zunahme der Code-Produktion seit der Entdeckung von SQL-Injection sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injection führen können? Nehmen Sie die Herausforderung hier an).
Entwickler und AppSec werden beste Freunde Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen, oder sind sie zu einem Leben der Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet: Ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie in einer Projektumgebung aufeinandertreffen, stehen sie auf entgegengesetzten Seiten und prallen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat schöne, funktionale Funktionen gebaut (was seine oberste Priorität ist), die auseinandergerissen werden, wenn Sicherheitslücken entdeckt werden. Der Software-Sicherheitsguru hat sein Baby in der Tat als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was oft die Bereitstellung verzögert.
In unserem aktuellen Zustand wird dies nicht behoben werden, bis Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Erstellung von sicherer Software. Das wird nicht als Standardprozess im Jahr 2020 passieren (und bei vielen Unternehmen noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich in Sachen Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten; einem, der Sicherheitsziele von Anfang an einschließt.
Ein Überangebot an Sicherheitsexperten Im Jahr 2020, 2025, 2030... ist es fast garantiert, dass wir weltweit unterbesetzt sein werden, wenn es um Sicherheitskompetenz geht.
Einem Bericht des ISC(2) zufolge sind derzeit rund 2,93 Millionen Stellen im Bereich Cybersicherheit unbesetzt. Dies wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, in den nächsten Jahren zu unserer Rettung zu marschieren.
In der unmittelbaren Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehende Belegschaft weiterzubilden. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich mit bekannten, alten Sicherheitslücken (siehe Punkt 1 oben). Wenn wir dafür sorgen, dass sie keine kostbare Zeit und Mühe darauf verwenden müssen, diese allgemeinen Probleme zu beheben, haben sie mehr Bandbreite, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (im Moment umfassen diese wahrscheinlich Probleme mit APIs sowie die Erstellung von Tools, die in Entwicklungspipelines passen).
Weniger Code wird produziert Die Welt wird in einem atemberaubenden Tempo digitalisiert, und die gesellschaftliche Nachfrage wird nicht nachlassen. Jedes Jahr werden ca. 111 Milliarden Codezeilen geschrieben, und diese Zahl wird immer größer und beängstigender werden (für die ohnehin schon überforderten AppSec-Teams). Ein erhöhtes Codevolumen führt unweigerlich zu einer Zunahme potenzieller Sicherheitslücken, sodass alle Überlegungen, dass 2020 ein langsameres Jahr für die Softwareproduktion und Sicherheitsverletzungen sein wird, ungefähr so realistisch sind wie ein Einhornrennen beim Grand National.
Reduzierung der gestohlenen Datensätze Wie gesagt, mehr Code bedeutet mehr Schwachstellen, und das bietet mehr Möglichkeiten für Angreifer, einen Weg zu finden, Daten zu stehlen.
Mindestens 5,3 Milliarden Datensätze wurden 2019 weltweit gestohlen , und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nah dran sein.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den Vereinigten Staaten im Jahresvergleich an:
Quelle: Statista Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einer kleinen Ebbe und Flut zwischen den Jahren zu erkennen. Dies ist interessant, aber ein wichtiger Faktor, der hervorgehoben werden sollte, ist, dass 2009 ein starker Rückgang der gemeldeten Verstöße im Vergleich zu 2008 zu verzeichnen war. Die Anzahl der gestohlenen Datensätze stieg jedoch trotz weniger Verstöße deutlich an.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen und der Anzahl der gestohlenen Datensätze wider, mit einem enormen Höhepunkt im Jahr 2017. Die Anzahl der Angriffe ging 2018 tendenziell zurück, vielleicht aufgrund strengerer Sicherheitsmaßnahmen, aber die Anzahl der erlangten Datensätze war so hoch wie nie zuvor. Cyberangriffe werden immer ausgefeilter und umfangreicher und werden in absehbarer Zeit nicht verschwinden. Und weltweit werden wir im Jahr 2020 wahrscheinlich keinen Rückgang erleben, da die Unternehmen schnell mehr Software produzieren als je zuvor. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere und häufigere videobasierte Sicherheitsschulungen Wenn es eine Sache gibt, die Entwickler lieben, dann ist es, sich stundenlang Computer Based Training (CBT) Videos anzusehen. Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die sich allgemeinen Sicherheitsschulungsvideos widmet.
Äh, nö. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt der Einstieg in das Thema Sicherheit oft über eine Schulung zur Einhaltung von Vorschriften am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und die Ausbildung am Arbeitsplatz kann die allererste Begegnung mit Software-Sicherheit sein. Und es überrascht nicht, dass sie das oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen - und damit Schulungen nützlich sind - müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen - oder ein endloser Strom von langweiligen Videos - sind nicht der Weg zum Herzen eines Entwicklers und werden Schwachstellen nicht reduzieren.
Wenn Sie wollen, dass die Entwickler-Kohorte eine Chance hat, eine sicherheitsbewusste Verteidigungskraft gegen häufige Schwachstellen zu werden, lassen Sie sie mit echten Code-Beispielen arbeiten - die Art, mit der sie bei ihren täglichen Aufgaben zu tun haben. Machen Sie das Lernen mundgerecht, leicht ausbaufähig, und schaffen Sie Anreize, die Spaß machen. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und echte Fähigkeiten und Lösungen im gesamten Unternehmen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen inneren Sicherheits-Champion und verbreitet die Vorteile von sicherem Coding weit und breit.
Null Todesfälle durch einen cybersicherheitsrelevanten Vorfall Okay, das ist eindeutig kein Grund zum Lachen. Ich habe schon oft gesagt, dass die Welt sich einfach nicht um Cybersicherheit kümmern wird, bis Menschen durch einen Cyberangriff sterben.
Das Problem ist, dass dies bereits geschehen ist, und es blieb weitgehend unbemerkt.
Cyberangriffe auf US-Krankenhäuser wurden mit einem Anstieg der Todesfälle durch Herzinfarkt im Jahr 2019 in Verbindung gebracht. Natürlich verursachten die Angreifer keine tödlichen kardialen Ereignisse bei Patienten, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die kritische Versorgung.
Diese Studie der University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 eine Datenpanne erlebt hatten. In den Krankenhäusern, die von einem Sicherheitsvorfall betroffen waren, dauerte es im Durchschnitt 2,7 Minuten länger, bis ein EKG bei Verdacht auf Herzinfarkt durchgeführt wurde; wahrscheinlich aufgrund von Verfahrensänderungen, neu implementierten Sicherheitsmaßnahmen und IT-Support-Problemen, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und in diesen Krankenhäusern gab es im Durchschnitt 36 zusätzliche Todesfälle pro 10.000 Herzinfarkte pro Jahr.
Das ist schockierend, und leider denke ich, dass es noch schlimmer wird, bevor es besser wird. Dies sollte eine deutliche Erinnerung daran sein, dass wir alle mehr tun müssen, um die Softwaresicherheit zu verbessern und sie in jedem Unternehmen in den Vordergrund zu stellen.
Weniger Stockbilder von "vermummten Hackern" Wenn man "Hacker" in eine Bildersuche eingibt, stößt man unweigerlich auf Tausende von Bildern einer vermummten, gesichtslosen Gestalt, die auf einem Laptop herumtippt, oder auf eine ähnliche Gestalt mit einer Guy-Fawkes-Maske.
Dieses klischeehafte Bild eines Hackers ist wirklich ermüdend und, nun ja, es lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädels in der Sicherheitsbranche, und die negativen Assoziationen rund um das "Hacker"-Image erweisen allen einen schlechten Dienst. Ob sich das in nächster Zeit ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Für den Moment ist es wichtig, sich daran zu erinnern, dass Sicherheit nicht beängstigend sein muss .