Warum SQL-Injection das Schädling der Anwendungssicherheit ist (und wie CISOs SQL-Injection vollständig ausmerzen können)
Es gibt eine bekannte Theorie, dass Kakerlaken grundsätzlich alles überleben können. Selbst eine nukleare Explosion. Diese Theorie trifft zwar nur bis zu einem gewissen Grad zu, aber aufgrund ihrer einfachen Körperzusammensetzung sind sie für ihre Größe sehr widerstandsfähig und unter den meisten Bedingungen schwer auszurotten.
Ich habe lange darüber nachgedacht... Wenn es in der digitalen Welt etwas gibt, das mit Kakerlaken vergleichbar ist, dann ist es zweifellos die Schwachstelle der SQL-Injection (SQLi) im Code.Diese Schwachstelle ist seit über 20 Jahren bekannt, doch Unternehmen werden immer wieder Opfer dieser Angriffe. Die weitreichenden Folgen waren ebenso wie die kostspieligen Angriffe auf bestimmte Ziele das Ergebnis von SQL-Injektionen. Nach dem Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten veröffentlicht wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva hat ergeben, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen weltweit die größte Bedrohung. OWASP Top 10. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass dieselbe Schwachstelle noch immer in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir kennen den Mechanismus und wissen, wie man ihn verhindert. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch viel Raum für Verbesserungen.
Der Beracode-Bericht zur Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthüllte eine alarmierende Statistik. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Dies ist ein seit fünf Jahren bestehendes Problem, und fast ein Drittel der neu gescannten Anwendungen verwendete SQL-Injection.Dies ist ein Beweis für das Ausmaß des Problems. Wir lernen offenbar nicht aus unseren Fehlern, und CISOs scheinen Schwierigkeiten zu haben, ausreichend Sicherheitspersonal zu finden. In der Regel ist ein Verhältnis von 1:100 zwischen Anwendungssicherheitsspezialisten und Entwicklern unzureichend.
Warum wird Software-Sicherheit in lebenserhaltenden Geräten eingesetzt?
Es ist allgemein bekannt, dass es an Sicherheitsexperten mangelt, aber es ist auch offensichtlich, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und dass es keine Einrichtungen gibt, um Schwachstellen von vornherein zu vermeiden. Derselbe Bericht von Veracode hat ergeben, dass von allen Entwicklungsschwachstellen nur für 14,4 % Abhilfemaßnahmen dokumentiert sind. Das bedeutet, dass die meisten Schwachstellen ohne Abhilfemaßnahmen für die Entwicklung eingereicht wurden.Weniger als ein Drittel der Schwachstellen wurde innerhalb der ersten 90 Tage geschlossen, während 42 % der Schwachstellen nicht innerhalb der Entwicklungsphase geschlossen wurden.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe dabei festgestellt, dass viele Unternehmen (abgesehen von den als Fehlalarme bezeichneten Katastrophen) mit der Anzahl der entdeckten, nicht behebbaren Schwachstellen unzufrieden sind, sodass sie die Scans komplett einstellen und auf das Beste hoffen.
Warum verursachen Anwendungssicherheitsexperten solche Situationen?
Das ist richtig. Die AppSec-Verantwortlichen sind sich der Probleme im Code sehr bewusst. Letztendlich ist dies eine ihrer Kernkompetenzen, die sie zu einer äußerst wertvollen Ressource für das Team macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise findet der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code korrigieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen haben Entwickler aufgrund der strengen Anforderungen an die Bereitstellung von Funktionen keine Zeit, um das Problem zu beheben, und verfügen auch nicht über die geeigneten Tools, um dabei zu helfen. Die AppSec-Experten selbst können zwar Schwachstellen identifizieren, verfügen jedoch in vielen Fällen nicht über die erforderlichen Fähigkeiten oder Zugriffsrechte, um diese sofort zu beheben.
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。Software weist über 700 Schwachstellen auf, die ein einzelner Mensch unmöglich alle abwehren kann. Aus diesem Grund halten sich die meisten Unternehmen strikt an die OWASP Top 10. Währenddessen entwickeln Entwickler weiterhin Funktionen und integrieren damit auch weiterhin Schwachstellen in den von ihnen geschriebenen Code.
Was ist die Lösung?
Die einfache Tatsache ist, dass Entwicklern keine Tools und Schulungen zur Verfügung gestellt werden, um sicheres Codieren erfolgreich umzusetzen. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern ausreichende Sicherheitskenntnisse zu vermitteln. Außerdem ist es eine traurige Tatsache, dass die meisten Universitäten und Praktika Junior-Entwickler nicht darauf vorbereiten, sicher zu codieren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Entwickler müssen Zeit in Schulungen investieren, um sicheres Programmieren zu lernen. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es an talentierten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch nie Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Aktuelle Schlagzeilen vom Weltwirtschaftsforum: „Ohne Sicherheit gibt es keine digitale Wirtschaft“, lautet die Botschaft, und in den begleitenden Inhalten wird betont, dass Sicherheit den Kern jeder Strategie zur digitalen Transformation bilden muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, Innovationen voranzutreiben und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit hat nicht nur eine defensive Funktion, sondern verschafft Unternehmen auch einen strategischen Wachstumsvorteil.“
Durch die Verbesserung der Fähigkeiten und Ergebnisse im Bereich sicheres Codieren können Organisationen einen starken Cyber-Schutz erhalten und besseren, schnelleren Code erstellen. Entwickler müssen keine Sicherheitsexperten sein, aberaber um an vorderster Front gegen Cyberangriffe zu kämpfen, benötigen sie aktive und praktische Befugnisse. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind äußerst intelligente Menschen, kreative Problemlöser und in der Regel sehr daran interessiert, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken mit einer geeigneten Fachausbildung und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie das Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Es gibt eine bekannte Theorie, dass Kakerlaken grundsätzlich alles überleben können. Selbst eine nukleare Explosion.
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
Es gibt eine bekannte Theorie, dass Kakerlaken grundsätzlich alles überleben können. Selbst eine nukleare Explosion. Diese Theorie trifft zwar nur bis zu einem gewissen Grad zu, aber aufgrund ihrer einfachen Körperzusammensetzung sind sie für ihre Größe sehr widerstandsfähig und unter den meisten Bedingungen schwer auszurotten.
Ich habe lange darüber nachgedacht... Wenn es in der digitalen Welt etwas gibt, das mit Kakerlaken vergleichbar ist, dann ist es zweifellos die Schwachstelle der SQL-Injection (SQLi) im Code.Diese Schwachstelle ist seit über 20 Jahren bekannt, doch Unternehmen werden immer wieder Opfer dieser Angriffe. Die weitreichenden Folgen waren ebenso wie die kostspieligen Angriffe auf bestimmte Ziele das Ergebnis von SQL-Injektionen. Nach dem Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten veröffentlicht wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva hat ergeben, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen weltweit die größte Bedrohung. OWASP Top 10. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass dieselbe Schwachstelle noch immer in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir kennen den Mechanismus und wissen, wie man ihn verhindert. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch viel Raum für Verbesserungen.
Der Beracode-Bericht zur Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthüllte eine alarmierende Statistik. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Dies ist ein seit fünf Jahren bestehendes Problem, und fast ein Drittel der neu gescannten Anwendungen verwendete SQL-Injection.Dies ist ein Beweis für das Ausmaß des Problems. Wir lernen offenbar nicht aus unseren Fehlern, und CISOs scheinen Schwierigkeiten zu haben, ausreichend Sicherheitspersonal zu finden. In der Regel ist ein Verhältnis von 1:100 zwischen Anwendungssicherheitsspezialisten und Entwicklern unzureichend.
Warum wird Software-Sicherheit in lebenserhaltenden Geräten eingesetzt?
Es ist allgemein bekannt, dass es an Sicherheitsexperten mangelt, aber es ist auch offensichtlich, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und dass es keine Einrichtungen gibt, um Schwachstellen von vornherein zu vermeiden. Derselbe Bericht von Veracode hat ergeben, dass von allen Entwicklungsschwachstellen nur für 14,4 % Abhilfemaßnahmen dokumentiert sind. Das bedeutet, dass die meisten Schwachstellen ohne Abhilfemaßnahmen für die Entwicklung eingereicht wurden.Weniger als ein Drittel der Schwachstellen wurde innerhalb der ersten 90 Tage geschlossen, während 42 % der Schwachstellen nicht innerhalb der Entwicklungsphase geschlossen wurden.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe dabei festgestellt, dass viele Unternehmen (abgesehen von den als Fehlalarme bezeichneten Katastrophen) mit der Anzahl der entdeckten, nicht behebbaren Schwachstellen unzufrieden sind, sodass sie die Scans komplett einstellen und auf das Beste hoffen.
Warum verursachen Anwendungssicherheitsexperten solche Situationen?
Das ist richtig. Die AppSec-Verantwortlichen sind sich der Probleme im Code sehr bewusst. Letztendlich ist dies eine ihrer Kernkompetenzen, die sie zu einer äußerst wertvollen Ressource für das Team macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise findet der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code korrigieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen haben Entwickler aufgrund der strengen Anforderungen an die Bereitstellung von Funktionen keine Zeit, um das Problem zu beheben, und verfügen auch nicht über die geeigneten Tools, um dabei zu helfen. Die AppSec-Experten selbst können zwar Schwachstellen identifizieren, verfügen jedoch in vielen Fällen nicht über die erforderlichen Fähigkeiten oder Zugriffsrechte, um diese sofort zu beheben.
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。Software weist über 700 Schwachstellen auf, die ein einzelner Mensch unmöglich alle abwehren kann. Aus diesem Grund halten sich die meisten Unternehmen strikt an die OWASP Top 10. Währenddessen entwickeln Entwickler weiterhin Funktionen und integrieren damit auch weiterhin Schwachstellen in den von ihnen geschriebenen Code.
Was ist die Lösung?
Die einfache Tatsache ist, dass Entwicklern keine Tools und Schulungen zur Verfügung gestellt werden, um sicheres Codieren erfolgreich umzusetzen. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern ausreichende Sicherheitskenntnisse zu vermitteln. Außerdem ist es eine traurige Tatsache, dass die meisten Universitäten und Praktika Junior-Entwickler nicht darauf vorbereiten, sicher zu codieren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Entwickler müssen Zeit in Schulungen investieren, um sicheres Programmieren zu lernen. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es an talentierten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch nie Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Aktuelle Schlagzeilen vom Weltwirtschaftsforum: „Ohne Sicherheit gibt es keine digitale Wirtschaft“, lautet die Botschaft, und in den begleitenden Inhalten wird betont, dass Sicherheit den Kern jeder Strategie zur digitalen Transformation bilden muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, Innovationen voranzutreiben und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit hat nicht nur eine defensive Funktion, sondern verschafft Unternehmen auch einen strategischen Wachstumsvorteil.“
Durch die Verbesserung der Fähigkeiten und Ergebnisse im Bereich sicheres Codieren können Organisationen einen starken Cyber-Schutz erhalten und besseren, schnelleren Code erstellen. Entwickler müssen keine Sicherheitsexperten sein, aberaber um an vorderster Front gegen Cyberangriffe zu kämpfen, benötigen sie aktive und praktische Befugnisse. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind äußerst intelligente Menschen, kreative Problemlöser und in der Regel sehr daran interessiert, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken mit einer geeigneten Fachausbildung und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie das Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Es gibt eine bekannte Theorie, dass Kakerlaken grundsätzlich alles überleben können. Selbst eine nukleare Explosion. Diese Theorie trifft zwar nur bis zu einem gewissen Grad zu, aber aufgrund ihrer einfachen Körperzusammensetzung sind sie für ihre Größe sehr widerstandsfähig und unter den meisten Bedingungen schwer auszurotten.
Ich habe lange darüber nachgedacht... Wenn es in der digitalen Welt etwas gibt, das mit Kakerlaken vergleichbar ist, dann ist es zweifellos die Schwachstelle der SQL-Injection (SQLi) im Code.Diese Schwachstelle ist seit über 20 Jahren bekannt, doch Unternehmen werden immer wieder Opfer dieser Angriffe. Die weitreichenden Folgen waren ebenso wie die kostspieligen Angriffe auf bestimmte Ziele das Ergebnis von SQL-Injektionen. Nach dem Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten veröffentlicht wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva hat ergeben, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen weltweit die größte Bedrohung. OWASP Top 10. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass dieselbe Schwachstelle noch immer in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir kennen den Mechanismus und wissen, wie man ihn verhindert. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch viel Raum für Verbesserungen.
Der Beracode-Bericht zur Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthüllte eine alarmierende Statistik. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Dies ist ein seit fünf Jahren bestehendes Problem, und fast ein Drittel der neu gescannten Anwendungen verwendete SQL-Injection.Dies ist ein Beweis für das Ausmaß des Problems. Wir lernen offenbar nicht aus unseren Fehlern, und CISOs scheinen Schwierigkeiten zu haben, ausreichend Sicherheitspersonal zu finden. In der Regel ist ein Verhältnis von 1:100 zwischen Anwendungssicherheitsspezialisten und Entwicklern unzureichend.
Warum wird Software-Sicherheit in lebenserhaltenden Geräten eingesetzt?
Es ist allgemein bekannt, dass es an Sicherheitsexperten mangelt, aber es ist auch offensichtlich, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und dass es keine Einrichtungen gibt, um Schwachstellen von vornherein zu vermeiden. Derselbe Bericht von Veracode hat ergeben, dass von allen Entwicklungsschwachstellen nur für 14,4 % Abhilfemaßnahmen dokumentiert sind. Das bedeutet, dass die meisten Schwachstellen ohne Abhilfemaßnahmen für die Entwicklung eingereicht wurden.Weniger als ein Drittel der Schwachstellen wurde innerhalb der ersten 90 Tage geschlossen, während 42 % der Schwachstellen nicht innerhalb der Entwicklungsphase geschlossen wurden.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe dabei festgestellt, dass viele Unternehmen (abgesehen von den als Fehlalarme bezeichneten Katastrophen) mit der Anzahl der entdeckten, nicht behebbaren Schwachstellen unzufrieden sind, sodass sie die Scans komplett einstellen und auf das Beste hoffen.
Warum verursachen Anwendungssicherheitsexperten solche Situationen?
Das ist richtig. Die AppSec-Verantwortlichen sind sich der Probleme im Code sehr bewusst. Letztendlich ist dies eine ihrer Kernkompetenzen, die sie zu einer äußerst wertvollen Ressource für das Team macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise findet der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code korrigieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen haben Entwickler aufgrund der strengen Anforderungen an die Bereitstellung von Funktionen keine Zeit, um das Problem zu beheben, und verfügen auch nicht über die geeigneten Tools, um dabei zu helfen. Die AppSec-Experten selbst können zwar Schwachstellen identifizieren, verfügen jedoch in vielen Fällen nicht über die erforderlichen Fähigkeiten oder Zugriffsrechte, um diese sofort zu beheben.
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。Software weist über 700 Schwachstellen auf, die ein einzelner Mensch unmöglich alle abwehren kann. Aus diesem Grund halten sich die meisten Unternehmen strikt an die OWASP Top 10. Währenddessen entwickeln Entwickler weiterhin Funktionen und integrieren damit auch weiterhin Schwachstellen in den von ihnen geschriebenen Code.
Was ist die Lösung?
Die einfache Tatsache ist, dass Entwicklern keine Tools und Schulungen zur Verfügung gestellt werden, um sicheres Codieren erfolgreich umzusetzen. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern ausreichende Sicherheitskenntnisse zu vermitteln. Außerdem ist es eine traurige Tatsache, dass die meisten Universitäten und Praktika Junior-Entwickler nicht darauf vorbereiten, sicher zu codieren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Entwickler müssen Zeit in Schulungen investieren, um sicheres Programmieren zu lernen. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es an talentierten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch nie Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Aktuelle Schlagzeilen vom Weltwirtschaftsforum: „Ohne Sicherheit gibt es keine digitale Wirtschaft“, lautet die Botschaft, und in den begleitenden Inhalten wird betont, dass Sicherheit den Kern jeder Strategie zur digitalen Transformation bilden muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, Innovationen voranzutreiben und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit hat nicht nur eine defensive Funktion, sondern verschafft Unternehmen auch einen strategischen Wachstumsvorteil.“
Durch die Verbesserung der Fähigkeiten und Ergebnisse im Bereich sicheres Codieren können Organisationen einen starken Cyber-Schutz erhalten und besseren, schnelleren Code erstellen. Entwickler müssen keine Sicherheitsexperten sein, aberaber um an vorderster Front gegen Cyberangriffe zu kämpfen, benötigen sie aktive und praktische Befugnisse. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind äußerst intelligente Menschen, kreative Problemlöser und in der Regel sehr daran interessiert, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken mit einer geeigneten Fachausbildung und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie das Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
Es gibt eine bekannte Theorie, dass Kakerlaken grundsätzlich alles überleben können. Selbst eine nukleare Explosion. Diese Theorie trifft zwar nur bis zu einem gewissen Grad zu, aber aufgrund ihrer einfachen Körperzusammensetzung sind sie für ihre Größe sehr widerstandsfähig und unter den meisten Bedingungen schwer auszurotten.
Ich habe lange darüber nachgedacht... Wenn es in der digitalen Welt etwas gibt, das mit Kakerlaken vergleichbar ist, dann ist es zweifellos die Schwachstelle der SQL-Injection (SQLi) im Code.Diese Schwachstelle ist seit über 20 Jahren bekannt, doch Unternehmen werden immer wieder Opfer dieser Angriffe. Die weitreichenden Folgen waren ebenso wie die kostspieligen Angriffe auf bestimmte Ziele das Ergebnis von SQL-Injektionen. Nach dem Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten veröffentlicht wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva hat ergeben, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen weltweit die größte Bedrohung. OWASP Top 10. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass dieselbe Schwachstelle noch immer in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir kennen den Mechanismus und wissen, wie man ihn verhindert. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch viel Raum für Verbesserungen.
Der Beracode-Bericht zur Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthüllte eine alarmierende Statistik. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Dies ist ein seit fünf Jahren bestehendes Problem, und fast ein Drittel der neu gescannten Anwendungen verwendete SQL-Injection.Dies ist ein Beweis für das Ausmaß des Problems. Wir lernen offenbar nicht aus unseren Fehlern, und CISOs scheinen Schwierigkeiten zu haben, ausreichend Sicherheitspersonal zu finden. In der Regel ist ein Verhältnis von 1:100 zwischen Anwendungssicherheitsspezialisten und Entwicklern unzureichend.
Warum wird Software-Sicherheit in lebenserhaltenden Geräten eingesetzt?
Es ist allgemein bekannt, dass es an Sicherheitsexperten mangelt, aber es ist auch offensichtlich, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und dass es keine Einrichtungen gibt, um Schwachstellen von vornherein zu vermeiden. Derselbe Bericht von Veracode hat ergeben, dass von allen Entwicklungsschwachstellen nur für 14,4 % Abhilfemaßnahmen dokumentiert sind. Das bedeutet, dass die meisten Schwachstellen ohne Abhilfemaßnahmen für die Entwicklung eingereicht wurden.Weniger als ein Drittel der Schwachstellen wurde innerhalb der ersten 90 Tage geschlossen, während 42 % der Schwachstellen nicht innerhalb der Entwicklungsphase geschlossen wurden.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe dabei festgestellt, dass viele Unternehmen (abgesehen von den als Fehlalarme bezeichneten Katastrophen) mit der Anzahl der entdeckten, nicht behebbaren Schwachstellen unzufrieden sind, sodass sie die Scans komplett einstellen und auf das Beste hoffen.
Warum verursachen Anwendungssicherheitsexperten solche Situationen?
Das ist richtig. Die AppSec-Verantwortlichen sind sich der Probleme im Code sehr bewusst. Letztendlich ist dies eine ihrer Kernkompetenzen, die sie zu einer äußerst wertvollen Ressource für das Team macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise findet der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code korrigieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen haben Entwickler aufgrund der strengen Anforderungen an die Bereitstellung von Funktionen keine Zeit, um das Problem zu beheben, und verfügen auch nicht über die geeigneten Tools, um dabei zu helfen. Die AppSec-Experten selbst können zwar Schwachstellen identifizieren, verfügen jedoch in vielen Fällen nicht über die erforderlichen Fähigkeiten oder Zugriffsrechte, um diese sofort zu beheben.
また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。Software weist über 700 Schwachstellen auf, die ein einzelner Mensch unmöglich alle abwehren kann. Aus diesem Grund halten sich die meisten Unternehmen strikt an die OWASP Top 10. Währenddessen entwickeln Entwickler weiterhin Funktionen und integrieren damit auch weiterhin Schwachstellen in den von ihnen geschriebenen Code.
Was ist die Lösung?
Die einfache Tatsache ist, dass Entwicklern keine Tools und Schulungen zur Verfügung gestellt werden, um sicheres Codieren erfolgreich umzusetzen. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern ausreichende Sicherheitskenntnisse zu vermitteln. Außerdem ist es eine traurige Tatsache, dass die meisten Universitäten und Praktika Junior-Entwickler nicht darauf vorbereiten, sicher zu codieren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
Entwickler müssen Zeit in Schulungen investieren, um sicheres Programmieren zu lernen. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es an talentierten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch nie Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Aktuelle Schlagzeilen vom Weltwirtschaftsforum: „Ohne Sicherheit gibt es keine digitale Wirtschaft“, lautet die Botschaft, und in den begleitenden Inhalten wird betont, dass Sicherheit den Kern jeder Strategie zur digitalen Transformation bilden muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, Innovationen voranzutreiben und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit hat nicht nur eine defensive Funktion, sondern verschafft Unternehmen auch einen strategischen Wachstumsvorteil.“
Durch die Verbesserung der Fähigkeiten und Ergebnisse im Bereich sicheres Codieren können Organisationen einen starken Cyber-Schutz erhalten und besseren, schnelleren Code erstellen. Entwickler müssen keine Sicherheitsexperten sein, aberaber um an vorderster Front gegen Cyberangriffe zu kämpfen, benötigen sie aktive und praktische Befugnisse. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind äußerst intelligente Menschen, kreative Problemlöser und in der Regel sehr daran interessiert, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken mit einer geeigneten Fachausbildung und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie das Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.
目次
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
