Analyse der Cybersicherheitsbranche: Eine weitere wiederkehrende Sicherheitslücke, die wir korrigieren müssen
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
