Ergreifen Sie Zero-Day-Angriffe. Es ist an der Zeit, eine Verteidigungslinie zu planen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. Dies führt in der Regel zu anhaltenden Beschwerden, die nur durch eine Änderung der Sicherheitsmaßnahmen, die mit Fort Knox vergleichbar wären, beendet werden können.
Stell dir vor, in dein Haus wird eingebrochen, weil die Diebe einen Schlüssel angefertigt haben. Sie schleichen herum, kommen und gehen, wie es ihnen gefällt, achten aber darauf, unentdeckt zu bleiben. Dann, eines Tages, bemerkst du zu spät, dass der Schmuck, den du im Gefrierschrank versteckt hast, weg ist, dein Safe leergeräumt und deine persönlichen Dinge geplündert wurden. Dies ist die entsprechende Realität, wenn ein Unternehmen Zero-Day-Cyberangriffe anbietet. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80 % der erfolgreichen Datenschutzverletzungen das Ergebnis von Zero-Day-Exploits waren, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. Der Schaden ist angerichtet und dann ist es ein wahnsinniger Engel, sowohl die Software als auch der Reputationsschaden des Unternehmens. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. Etwa eine Milliarde Geräte sollen von dieser katastrophalen Java-Sicherheitslücke betroffen sein. Es zeichnet sich der schlimmste 0-Tage-Angriff aller Zeiten ab, und wir fangen gerade erst an. Trotz einiger Berichte, wonach Exploits bereits einige Tage vor der Veröffentlichung begonnen haben, lässt eine Präsentation auf der Black Hat Conference im Jahr 2016 vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Script-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lassen Sie uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Globale Regierungen und Verteidigungsbehörden gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen für die Live-Entdeckung von Zero-Day-Exploits, und es sind große Organisationen, Regierungsbehörden und Infrastrukturen, die das größte Risiko darstellen, die auf Schwachstellen getestet werden. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. Anstatt darauf zu warten, dass Ihnen jemand den Schlüssel zu Ihrer Software-Burg auf einem Dark-Web-Marktplatz anbietet, lassen Sie legitime Sicherheitsfans auf Ihre Seite und bieten Sie ihnen relevante Belohnungen für ethische Enthüllungen und mögliche Korrekturen.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies zu tun).
Ihre Werkzeuge könnten eine Belastung für Ihr Sicherheitspersonal darstellen.
Ständige Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abgesehen davon, dass es sich um das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt handelt, sind 53 % der Unternehmen laut einer Studie des Ponemon Institute nicht einmal davon überzeugt, dass sie effektiv arbeiten. Eine weitere Studie ergab, dass nur 17 % der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv” ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten.
Sicherheitslücken auf Codeebene werden häufig von Entwicklern genutzt, und sie benötigen präzise Anweisungen und regelmäßige Schulungen, um sichere Programmierkenntnisse zu erwerben. Sicherheitsentwickler der nächsten Stufe haben jedoch die Möglichkeit, in ihrem Softwareentwicklungsprozess zu lernen und zu üben.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und, wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
Wenn wir zum Log4Shell-Exploit zurückkehren, sehen wir ein Szenario, in dem eine katastrophale Sicherheitslücke von Experten und komplexen Toolsets nicht gefunden wurde. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfasst. Die Entscheidung scheint aus praktischen Gründen eine obskure Funktion gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denken Sie an SQL-Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt worden wäre, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliches Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Entwickler sollten nicht in die Nacht gehen, sondern einen klaren Weg einschlagen, sie machen deutlich, dass sie das Sicherheitsteam für diese wichtige Aufgabe belasten können, ist ideal (und es ist eine großartige Möglichkeit, eine Beziehung zwischen zwei Teams aufzubauen).
Nulltage führen zu N-Tagen
Der nächste Schritt im Prozess mit einem Zero-Day besteht darin, Patches so schnell wie möglich bereitzustellen, in der Hoffnung, dass jeder Nutzer der anfälligen Software diese so schnell wie möglich installiert, und zwar in jedem Fall vor dem Anbieter. Mit Log4Shell könnte Heartbleed in seiner Ausdauer und Leistungsfähigkeit in den Schatten gestellt werden, angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. Der Schaden ist angerichtet und dann ist es ein wahnsinniger Engel, sowohl die Software als auch der Reputationsschaden des Unternehmens. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. Dies führt in der Regel zu anhaltenden Beschwerden, die nur durch eine Änderung der Sicherheitsmaßnahmen, die mit Fort Knox vergleichbar wären, beendet werden können.
Stell dir vor, in dein Haus wird eingebrochen, weil die Diebe einen Schlüssel angefertigt haben. Sie schleichen herum, kommen und gehen, wie es ihnen gefällt, achten aber darauf, unentdeckt zu bleiben. Dann, eines Tages, bemerkst du zu spät, dass der Schmuck, den du im Gefrierschrank versteckt hast, weg ist, dein Safe leergeräumt und deine persönlichen Dinge geplündert wurden. Dies ist die entsprechende Realität, wenn ein Unternehmen Zero-Day-Cyberangriffe anbietet. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80 % der erfolgreichen Datenschutzverletzungen das Ergebnis von Zero-Day-Exploits waren, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. Der Schaden ist angerichtet und dann ist es ein wahnsinniger Engel, sowohl die Software als auch der Reputationsschaden des Unternehmens. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. Etwa eine Milliarde Geräte sollen von dieser katastrophalen Java-Sicherheitslücke betroffen sein. Es zeichnet sich der schlimmste 0-Tage-Angriff aller Zeiten ab, und wir fangen gerade erst an. Trotz einiger Berichte, wonach Exploits bereits einige Tage vor der Veröffentlichung begonnen haben, lässt eine Präsentation auf der Black Hat Conference im Jahr 2016 vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Script-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lassen Sie uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Globale Regierungen und Verteidigungsbehörden gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen für die Live-Entdeckung von Zero-Day-Exploits, und es sind große Organisationen, Regierungsbehörden und Infrastrukturen, die das größte Risiko darstellen, die auf Schwachstellen getestet werden. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. Anstatt darauf zu warten, dass Ihnen jemand den Schlüssel zu Ihrer Software-Burg auf einem Dark-Web-Marktplatz anbietet, lassen Sie legitime Sicherheitsfans auf Ihre Seite und bieten Sie ihnen relevante Belohnungen für ethische Enthüllungen und mögliche Korrekturen.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies zu tun).
Ihre Werkzeuge könnten eine Belastung für Ihr Sicherheitspersonal darstellen.
Ständige Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abgesehen davon, dass es sich um das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt handelt, sind 53 % der Unternehmen laut einer Studie des Ponemon Institute nicht einmal davon überzeugt, dass sie effektiv arbeiten. Eine weitere Studie ergab, dass nur 17 % der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv” ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten.
Sicherheitslücken auf Codeebene werden häufig von Entwicklern genutzt, und sie benötigen präzise Anweisungen und regelmäßige Schulungen, um sichere Programmierkenntnisse zu erwerben. Sicherheitsentwickler der nächsten Stufe haben jedoch die Möglichkeit, in ihrem Softwareentwicklungsprozess zu lernen und zu üben.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und, wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
Wenn wir zum Log4Shell-Exploit zurückkehren, sehen wir ein Szenario, in dem eine katastrophale Sicherheitslücke von Experten und komplexen Toolsets nicht gefunden wurde. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfasst. Die Entscheidung scheint aus praktischen Gründen eine obskure Funktion gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denken Sie an SQL-Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt worden wäre, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliches Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Entwickler sollten nicht in die Nacht gehen, sondern einen klaren Weg einschlagen, sie machen deutlich, dass sie das Sicherheitsteam für diese wichtige Aufgabe belasten können, ist ideal (und es ist eine großartige Möglichkeit, eine Beziehung zwischen zwei Teams aufzubauen).
Nulltage führen zu N-Tagen
Der nächste Schritt im Prozess mit einem Zero-Day besteht darin, Patches so schnell wie möglich bereitzustellen, in der Hoffnung, dass jeder Nutzer der anfälligen Software diese so schnell wie möglich installiert, und zwar in jedem Fall vor dem Anbieter. Mit Log4Shell könnte Heartbleed in seiner Ausdauer und Leistungsfähigkeit in den Schatten gestellt werden, angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. Dies führt in der Regel zu anhaltenden Beschwerden, die nur durch eine Änderung der Sicherheitsmaßnahmen, die mit Fort Knox vergleichbar wären, beendet werden können.
Stell dir vor, in dein Haus wird eingebrochen, weil die Diebe einen Schlüssel angefertigt haben. Sie schleichen herum, kommen und gehen, wie es ihnen gefällt, achten aber darauf, unentdeckt zu bleiben. Dann, eines Tages, bemerkst du zu spät, dass der Schmuck, den du im Gefrierschrank versteckt hast, weg ist, dein Safe leergeräumt und deine persönlichen Dinge geplündert wurden. Dies ist die entsprechende Realität, wenn ein Unternehmen Zero-Day-Cyberangriffe anbietet. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80 % der erfolgreichen Datenschutzverletzungen das Ergebnis von Zero-Day-Exploits waren, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. Der Schaden ist angerichtet und dann ist es ein wahnsinniger Engel, sowohl die Software als auch der Reputationsschaden des Unternehmens. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. Etwa eine Milliarde Geräte sollen von dieser katastrophalen Java-Sicherheitslücke betroffen sein. Es zeichnet sich der schlimmste 0-Tage-Angriff aller Zeiten ab, und wir fangen gerade erst an. Trotz einiger Berichte, wonach Exploits bereits einige Tage vor der Veröffentlichung begonnen haben, lässt eine Präsentation auf der Black Hat Conference im Jahr 2016 vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Script-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lassen Sie uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Globale Regierungen und Verteidigungsbehörden gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen für die Live-Entdeckung von Zero-Day-Exploits, und es sind große Organisationen, Regierungsbehörden und Infrastrukturen, die das größte Risiko darstellen, die auf Schwachstellen getestet werden. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. Anstatt darauf zu warten, dass Ihnen jemand den Schlüssel zu Ihrer Software-Burg auf einem Dark-Web-Marktplatz anbietet, lassen Sie legitime Sicherheitsfans auf Ihre Seite und bieten Sie ihnen relevante Belohnungen für ethische Enthüllungen und mögliche Korrekturen.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies zu tun).
Ihre Werkzeuge könnten eine Belastung für Ihr Sicherheitspersonal darstellen.
Ständige Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abgesehen davon, dass es sich um das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt handelt, sind 53 % der Unternehmen laut einer Studie des Ponemon Institute nicht einmal davon überzeugt, dass sie effektiv arbeiten. Eine weitere Studie ergab, dass nur 17 % der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv” ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten.
Sicherheitslücken auf Codeebene werden häufig von Entwicklern genutzt, und sie benötigen präzise Anweisungen und regelmäßige Schulungen, um sichere Programmierkenntnisse zu erwerben. Sicherheitsentwickler der nächsten Stufe haben jedoch die Möglichkeit, in ihrem Softwareentwicklungsprozess zu lernen und zu üben.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und, wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
Wenn wir zum Log4Shell-Exploit zurückkehren, sehen wir ein Szenario, in dem eine katastrophale Sicherheitslücke von Experten und komplexen Toolsets nicht gefunden wurde. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfasst. Die Entscheidung scheint aus praktischen Gründen eine obskure Funktion gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denken Sie an SQL-Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt worden wäre, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliches Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Entwickler sollten nicht in die Nacht gehen, sondern einen klaren Weg einschlagen, sie machen deutlich, dass sie das Sicherheitsteam für diese wichtige Aufgabe belasten können, ist ideal (und es ist eine großartige Möglichkeit, eine Beziehung zwischen zwei Teams aufzubauen).
Nulltage führen zu N-Tagen
Der nächste Schritt im Prozess mit einem Zero-Day besteht darin, Patches so schnell wie möglich bereitzustellen, in der Hoffnung, dass jeder Nutzer der anfälligen Software diese so schnell wie möglich installiert, und zwar in jedem Fall vor dem Anbieter. Mit Log4Shell könnte Heartbleed in seiner Ausdauer und Leistungsfähigkeit in den Schatten gestellt werden, angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. Dies führt in der Regel zu anhaltenden Beschwerden, die nur durch eine Änderung der Sicherheitsmaßnahmen, die mit Fort Knox vergleichbar wären, beendet werden können.
Stell dir vor, in dein Haus wird eingebrochen, weil die Diebe einen Schlüssel angefertigt haben. Sie schleichen herum, kommen und gehen, wie es ihnen gefällt, achten aber darauf, unentdeckt zu bleiben. Dann, eines Tages, bemerkst du zu spät, dass der Schmuck, den du im Gefrierschrank versteckt hast, weg ist, dein Safe leergeräumt und deine persönlichen Dinge geplündert wurden. Dies ist die entsprechende Realität, wenn ein Unternehmen Zero-Day-Cyberangriffe anbietet. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80 % der erfolgreichen Datenschutzverletzungen das Ergebnis von Zero-Day-Exploits waren, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. Der Schaden ist angerichtet und dann ist es ein wahnsinniger Engel, sowohl die Software als auch der Reputationsschaden des Unternehmens. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. Etwa eine Milliarde Geräte sollen von dieser katastrophalen Java-Sicherheitslücke betroffen sein. Es zeichnet sich der schlimmste 0-Tage-Angriff aller Zeiten ab, und wir fangen gerade erst an. Trotz einiger Berichte, wonach Exploits bereits einige Tage vor der Veröffentlichung begonnen haben, lässt eine Präsentation auf der Black Hat Conference im Jahr 2016 vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Script-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lassen Sie uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Globale Regierungen und Verteidigungsbehörden gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen für die Live-Entdeckung von Zero-Day-Exploits, und es sind große Organisationen, Regierungsbehörden und Infrastrukturen, die das größte Risiko darstellen, die auf Schwachstellen getestet werden. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. Anstatt darauf zu warten, dass Ihnen jemand den Schlüssel zu Ihrer Software-Burg auf einem Dark-Web-Marktplatz anbietet, lassen Sie legitime Sicherheitsfans auf Ihre Seite und bieten Sie ihnen relevante Belohnungen für ethische Enthüllungen und mögliche Korrekturen.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies zu tun).
Ihre Werkzeuge könnten eine Belastung für Ihr Sicherheitspersonal darstellen.
Ständige Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abgesehen davon, dass es sich um das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt handelt, sind 53 % der Unternehmen laut einer Studie des Ponemon Institute nicht einmal davon überzeugt, dass sie effektiv arbeiten. Eine weitere Studie ergab, dass nur 17 % der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv” ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten.
Sicherheitslücken auf Codeebene werden häufig von Entwicklern genutzt, und sie benötigen präzise Anweisungen und regelmäßige Schulungen, um sichere Programmierkenntnisse zu erwerben. Sicherheitsentwickler der nächsten Stufe haben jedoch die Möglichkeit, in ihrem Softwareentwicklungsprozess zu lernen und zu üben.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und, wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
Wenn wir zum Log4Shell-Exploit zurückkehren, sehen wir ein Szenario, in dem eine katastrophale Sicherheitslücke von Experten und komplexen Toolsets nicht gefunden wurde. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfasst. Die Entscheidung scheint aus praktischen Gründen eine obskure Funktion gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denken Sie an SQL-Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt worden wäre, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliches Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, ebenso wie die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Entwickler sollten nicht in die Nacht gehen, sondern einen klaren Weg einschlagen, sie machen deutlich, dass sie das Sicherheitsteam für diese wichtige Aufgabe belasten können, ist ideal (und es ist eine großartige Möglichkeit, eine Beziehung zwischen zwei Teams aufzubauen).
Nulltage führen zu N-Tagen
Der nächste Schritt im Prozess mit einem Zero-Day besteht darin, Patches so schnell wie möglich bereitzustellen, in der Hoffnung, dass jeder Nutzer der anfälligen Software diese so schnell wie möglich installiert, und zwar in jedem Fall vor dem Anbieter. Mit Log4Shell könnte Heartbleed in seiner Ausdauer und Leistungsfähigkeit in den Schatten gestellt werden, angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
