Warum SQL-Injections die Kakerlaken der AppSec-Welt sind (und wie CISOs sie ein für alle Mal ausrotten können)
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können – sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Der weit verbreitete, kostspielige Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie ein Fall von Wahlmanipulation in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu handeln, um ihre Sicherheitspraktiken zu verstärken.
Der Imperva-Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83 % aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung in den OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht verschwinden.
Es erscheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie sie funktioniert, und wir wissen, wie wir sie stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Der Bericht von Veracode zum Stand der Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – ergab „eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllten die OWASP-Top-10-Richtlinie. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4 % aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42 % der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können – sogar eine nukleare Explosion.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können – sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Der weit verbreitete, kostspielige Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie ein Fall von Wahlmanipulation in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu handeln, um ihre Sicherheitspraktiken zu verstärken.
Der Imperva-Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83 % aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung in den OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht verschwinden.
Es erscheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie sie funktioniert, und wir wissen, wie wir sie stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Der Bericht von Veracode zum Stand der Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – ergab „eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllten die OWASP-Top-10-Richtlinie. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4 % aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42 % der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können – sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Der weit verbreitete, kostspielige Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie ein Fall von Wahlmanipulation in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu handeln, um ihre Sicherheitspraktiken zu verstärken.
Der Imperva-Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83 % aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung in den OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht verschwinden.
Es erscheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie sie funktioniert, und wir wissen, wie wir sie stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Der Bericht von Veracode zum Stand der Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – ergab „eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllten die OWASP-Top-10-Richtlinie. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4 % aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42 % der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können – sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Der weit verbreitete, kostspielige Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie ein Fall von Wahlmanipulation in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu handeln, um ihre Sicherheitspraktiken zu verstärken.
Der Imperva-Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83 % aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung in den OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht verschwinden.
Es erscheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie sie funktioniert, und wir wissen, wie wir sie stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Der Bericht von Veracode zum Stand der Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – ergab „eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllten die OWASP-Top-10-Richtlinie. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4 % aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42 % der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
