사이버 보안 산업 분석: 우리가 수정해야 할 또 다른 반복되는 취약점
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
우리는 현대 사이버 보안이라는 끊임없는 맹공격에 맞서기 위한 현실적인 조언도, 가장 빠른 해결책도 얻지 못하고 있습니다.물론 각 보안 침해는 저마다 다르며, 취약한 소프트웨어에서 악용될 수 있는 공격 벡터도 무수히 많습니다.실행 가능한 일반적인 조언은 제한적이지만 시간이 지날수록 모범 사례 접근 방식에는 더 많은 결함이 있는 것으로 보입니다.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe zur Netzsicherheit. Er wurde aktualisiert und hier syndiziert.
Ich habe meine berufliche Laufbahn damit verbracht, Software-Schwachstellen zu finden, zu beheben, zu diskutieren und zu beseitigen, so oder so. Ich weiß, dass einige verbreitete Sicherheitslücken, obwohl sie schon seit den 90er Jahren bekannt sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung schon fast genauso lange bekannt ist. Es fühlt sich wirklich an wie der Murmeltiertag, an dem wir als Branche immer wieder das Gleiche tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein weiteres kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen zur Bekämpfung des unaufhörlichen Ansturms, der die moderne Cybersicherheit ausmacht. Natürlich ist jede Sicherheitsverletzung auf ihre eigene Art und Weise anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Allgemein gültige Ratschläge werden nur begrenzt möglich sein, aber der Best-Practice-Ansatz wird von Stunde zu Stunde unzulänglicher.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen zum Thema Cybersicherheit Lösungen ausgelassen werden, die die eigentliche Ursache für so viele Schwachstellen angehen: den Menschen. Der jüngste Hype Cycle for Application Security von Gartner und The State of Application Security 2021 von Forrester, beides Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz zu gestalten, sind fast ausschließlich auf Tools fokussiert. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie unkontrolliert der durchschnittliche Security-Tech-Stack geworden war, mit CISOs, die Hunderte von Produkten als Teil ihrer Sicherheitsstrategien verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Schwachstellen und mehr Ergänzungen zu wachsenden Tech-Stack-Bestien zu tun.
Sicherheitstools sind ein Muss, aber wir müssen weiter blicken und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Der Automatisierung gehört die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es ist wahr, dass die Automatisierung die menschlichen Elemente ersetzt, die einst in so vielen Branchen vorhanden waren. Das ist ein Zeichen des Fortschritts in einer Welt, die sich in rasantem Tempo digitalisiert. KI und maschinelles Lernen sind aktuelle Themen, die viele Unternehmen zukunftsorientiert machen.
Warum also sollte ein auf den Menschen ausgerichteter Ansatz für die Cybersicherheit etwas anderes sein als eine antiquierte Lösung für ein technologisch fortschreitendes Problem? Die Tatsache, dass im vergangenen Jahr bei Sicherheitsverletzungen Milliarden von Datensätzen gestohlen wurden, darunter die jüngste Facebook-Verletzung , die mehr als eine halbe Milliarde Konten betraf, sollte ein Hinweis darauf sein, dass wir nicht genug tun (oder nicht den richtigen Ansatz wählen), um den Bedrohungsakteuren ernsthaft entgegenzutreten.
Tools für die Cybersicherheit sind eine dringend benötigte Komponente der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten haben die neuesten Tools zur Risikominderung für Unternehmen absolut richtig empfohlen, und das wird sich auch nicht ändern. Da jedoch die Codequalität (und damit auch die Sicherheit) bei dem Umfang der Codeproduktion nur schwer zu handhaben ist, können Tools die Aufgabe nicht allein bewältigen. Bislang gibt es kein einziges Tool, das dies kann:
- Suche nach jeder Schwachstelle, in jeder Sprache: Framework
- Scannen mit Geschwindigkeit
- Minimierung der durch falsch-positive und -negative Ergebnisse verursachten Doppelarbeit
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme - sie beheben sie nicht und empfehlen auch keine Lösungen. Letzteres erfordert Sicherheitsexperten, die dünn gesät und überlastet sind und sich durch den Müll wühlen, um in endlosen Pentest- und Scan-Ergebnissen einen Schatz zu finden.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report bei 95 % aller erfolgreichen Datenschutzverletzungen menschliches Versagen eine Rolle spielt. Fast die Hälfte davon steht in direktem Zusammenhang mit Software-Schwachstellen, von denen viele vermieden werden könnten, wenn in den frühen Phasen des SDLC mehr Wert auf eine sichere Kodierung und ein entsprechendes Bewusstsein gelegt würde. Um dies zu erreichen, ist eine stärkere und relevantere Fokussierung auf die Ausbildung von Entwicklern - neben der Einbindung in ihren Arbeitsablauf - der Schlüssel.
Ob es uns gefällt oder nicht, der Mensch ist tief in den Softwareentwicklungsprozess eingebunden, und die Cybersicherheit ist in erster Linie ein menschliches Problem. Tools sind kein Allheilmittel, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Umgestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Werkzeuge (und zwar viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt, sind schneller und intelligenter geworden, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Verteidigungsmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles unumstößlich.
Der Mensch kann sich immer bemühen, bessere Werkzeuge zu entwickeln, aber die Innovation hält nicht mit den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben, Schritt. Tools werden größtenteils mit Robotern im Hinterkopf entwickelt. Sie können Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu erhöhen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
Tatsächlich weiß mehr als die Hälfte der Unternehmen nicht einmal, ob die Tools für sie funktionieren, noch sind sie zuversichtlich, dass sie eine verheerende Datenpanne vermeiden können. Das ist ein sehr schlechtes Gefühl und führt in einer tool-besessenen Branche, der es an Unterstützung für einen anderen Ansatz mangelt, eher zu einer Verfestigung des Status quo und der darin enthaltenen Probleme.
Wie kann ein Unternehmen einen von Menschen geleiteten Ansatz für die Sicherheit nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie voraus zu sein, und dass es sogar dabei helfen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren, aber wenn wir darauf verzichten, die Hauptursache für anfällige Software anzugehen - nämlich uns Menschen -, werden wir an der Cybersecurity-Schlachtfront immer auf der Verliererseite stehen.
Wenn wir die Zahl der Sicherheitslücken auf Code-Ebene ernsthaft verringern wollen, dann müssen die Entwickler die Grundlagen für eine erfolgreiche Mitverantwortung für die Sicherheit erhalten. Sie brauchen eine relevante, praxisnahe Ausbildung und Weiterbildung sowie funktionale Werkzeuge, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitslösungen zu einer lästigen Pflicht machen. Idealerweise wären einige Tools auf die Entwickler ausgerichtet und würden deren Benutzererfahrung in den Vordergrund stellen.
Bis heute gibt es kein offizielles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von einem Benchmarking und der Entwicklung sicherer Programmierfähigkeiten profitieren, indem es häufige Schwachstellen frühzeitig und häufig beseitigt, bevor der große Tech-Stack in Aktion tritt und alles verlangsamt.
Ein Team von sicherheitsbewussten Entwicklern ist ein verborgener Schatz für jedes Unternehmen, aber wie alles, was wertvoll ist, braucht es Zeit und Mühe, um ein effektives Dreamteam zu bilden. Um Entwickler dafür zu gewinnen, sich für Sicherheit zu interessieren und sichere Kodierung als Grundlage für die Codequalität zu betrachten, bedarf es einer unternehmensweiten Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams auf den positiven Einfluss aufmerksam gemacht werden, den sie bei der Beseitigung allgemeiner Schwachstellen beim Schreiben von Code spielen können, gibt es kein Tool auf der Welt, das da mithalten kann.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
