Die gefährlichsten Softwarefehler des Jahres 2019: Weitere Beweise dafür, dass sich die Geschichte wiederholt
Dieser Artikel wurde ursprünglich veröffentlicht in. Informationssicherheit Buzz, wurde von mehreren anderen Shops übernommen. Hier wurde er für die Syndizierung aktualisiert.
Ende letzten Jahres veröffentlichte die beeindruckende Community von MITRE eine Liste der 25 gefährlichsten Softwarefehler (CWE), die 2019 weltweit Auswirkungen hatten. Diese Liste basiert nicht auf Meinungen, sondern ist das Ergebnis einer vielschichtigen Analyse, die sich auf die Arbeit von Organisationen wie dem NIST stützt. NISThat nicht nurallgemeine Schwachstellen- und Expositionsdaten (CVE) veröffentlicht, sondern auch eine Bewertung vorgenommen, um die „wichtigsten” Fehler zu ermitteln, basierend auf deren Schweregrad, Ausnutzbarkeit und Prävalenz in aktueller Software. Es handelt sich dabei nicht um eine Liste, die man positiv bewerten kann. Das steht fest.
Im Gegensatz zu den meisten Jahresrückblicken tauchen jedoch viele der Teilnehmer auf dieser Liste bereits seit längerem auf. Wenn es sich bei dieser Liste um die Billboard Hot 100 handeln würde, wäre sie vergleichbar mit der Liste von Britney Spears.„Baby One More Time” und „BackstreetBoys” erscheinen seit ihrer Erstveröffentlichung jedes Jahr.Und warum habe ich diese Songs ausgewählt? Nun, ich bin jetzt ungefähr zwanzig Jahre alt (kommt Ihnen das noch alt vor?), und obwohl sie vor Jahrzehnten entdeckt wurden, ähneln sie sehr den gefährlichen Softwarefehlern, die uns bis 2020 noch immer plagen.
なぜ古いバグが依然として危険なのですか?どのように修正すべきか分かりません。
Derzeit ist der sechste Eintrag in der MITRE-Liste besser bekannt als CWE-89SQL-Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele Menschen ihre wichtigsten Fragen noch an Zibes statt an Google richteten.Obwohl die Korrektur bald bekannt wurde, ist diese Methode auch 2019 noch eine der am häufigsten verwendeten Hacking-Techniken. Akamai Internet Status Report von Akamai war SQLi in zwei Dritteln der Fälle der Übeltäter. Alle Angriffe auf Webanwendungen
Was die Komplexität angeht, ist SQL-Injection weit entfernt von genialen Ausnutzungen. Es handelt sich um eine einfache Lösung für Webentwickler, und wir sollten ohne zu zögern lernen, wie wir verhindern können, dass diese Schwachstelle wertvolle Daten für Angreifer zugänglich macht... Das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Vor 20 Jahren mag dies noch einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger als normal angesehen werden.
Entwickler arbeiten meist mit defekten Systemen.
Es ist allzu leicht, still zu sitzen und den Entwickler zu beschuldigen, der „falschen“ Code geliefert hat. Tatsächlich unterscheiden sich die Prioritäten dieser Entwickler erheblich von denen des Sicherheitsteams. In der Regel wird das Entwicklerteam angewiesen, so schnell wie möglich schöne und funktionale Software zu erstellen. Aufgrund der unendlichen Nachfrage der Gesellschaft nach Software ist das Entwicklerteam bereits stark erweitert, und Sicherheit ist kein vorrangiges Anliegen. Ist das nicht letztendlich der Grund, warum es AppSec-Experten gibt? Softwareentwickler sind es gewohnt, sich eher distanziert mit dem Thema Sicherheit auseinanderzusetzen. Sie werden nur dann um ihre Meinung gebeten, wenn Probleme auftreten, die zu Verzögerungen bei der Arbeit führen können.
AppSec-Experten hingegen sind es leid, jahrzehntealte Fehler zu beheben, die bei allen Scans und manuellen Codeüberprüfungen immer wieder auftauchen. Diese Experten sind teuer und rar, und es ist weitaus besser, Zeit in komplexe Sicherheitslücken zu investieren, als immer wieder bekannte Bugs zu beseitigen.
Diese Teams haben eine Kultur, in der Verantwortung stillschweigend weitergereicht wird, aber beide Teams haben (oder sollten) dasselbe Ziel verfolgen: Software-Sicherheit. Entwickler arbeiten in einem Umfeld, in dem sie kaum Erfolg beim sicheren Programmieren haben können. In der Hochschulausbildung werden selten bewährte Verfahren für die Sicherheit vermittelt, und praktische Schulungen sind oft zu selten oder völlig wirkungslos. Es mangelt deutlich an Sicherheitsbewusstsein und einer intensiven, themenbezogenen Ausbildung. Das Ergebnis sind astronomische Kosten für die Behebung alter Fehler im committeten Code und die drohende Gefahr von Datenverletzungen, die den Ruf schädigen.
Der menschliche Faktor, auch bekannt als „Warum können all diese Tools die Daten nicht sicherer machen?“
Ein weiteres häufig auftretendes Problem besteht darin, dass vor der Veröffentlichung von Software enorme Mengen an Sicherheitswerkzeugen eingesetzt werden, um Probleme zu finden, anstatt sich auf die Ausbildung zu konzentrieren. Array-Anwendungsprüfungs- und Schutzwerkzeuge (Fast/Dust/Raz/Toast) können zwar bei der Entwicklung von Sicherheitssoftware durchaus hilfreich sein, haben jedoch ihre eigenen Probleme. Eine vollständige Abhängigkeit von diesen Lösungen garantiert keine Sicherheit. Die Gründe dafür sind folgende:
- Es gibt kein „einziges“ Tool, mit dem alle Schwachstellen in allen Anwendungsfällen aller Frameworks überprüft werden können.
- Insbesondere kann die Geschwindigkeit bei gleichzeitiger Ausführung sowohl statischer als auch dynamischer Code-Analysen langsam sein.
- Falschmeldungen sind nach wie vor ein Problem. In solchen Fällen kommt es häufig zu Produktionsunterbrechungen, und es sind unnötige manuelle Codeüberprüfungen erforderlich, um die Warnungen zu identifizieren.
- Die Erwartung, dass diese Tools Probleme lösen werden, führt zu einer falschen Sicherheitswahrnehmung, beispielsweise indem die Priorität von sicherem Programmieren herabgesetzt wird.
Diese Tools werden sicherlich Sicherheitslücken finden, die gepatcht werden können. Aber können sie wirklich alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und Angreifer können schon durch eine einzige offene Tür eindringen und Ihnen den Tag verderben.
Glücklicherweise erkennen viele Organisationen, dass menschliche Faktoren eine Rolle spielen. Software-Schwachstellen. Die meisten Entwickler haben keine ausreichende Ausbildung in sicherem Programmieren und verfügen über ein geringes Sicherheitsbewusstsein. Sie befinden sich jedoch in einer frühen Phase des Softwareentwicklungszyklus und sind daher am besten in der Lage, Schwachstellen in bereits festgeschriebenem Code zu verhindern. Wenn sie von Anfang an sicher programmieren, können sie an vorderster Front dazu beitragen, zerstörerische Cyberangriffe abzuwehren, die jedes Jahr Schäden in Milliardenhöhe verursachen.
Entwickler sollten die Möglichkeit erhalten, erfolgreich zu sein, indem sie ihre Sprache sprechen, sich mit ihrer Arbeit identifizieren und durch Schulungen ein aktives Interesse an Sicherheit entwickeln können. Bugfreier Code sollte mit Stolz erfüllt sein. Genauso wie man den Respekt seiner Kollegen verdient, wenn man etwas Funktionales und Großartiges schafft.
Die neuesten Sicherheitsprogramme müssen oberste Priorität im Geschäftsleben haben.
Das Entwicklungsteam kann mit Bootstrap kein positives Sicherheitsbewusstsein im gesamten Unternehmen fördern. Um Sicherheit von Anfang an in den Softwareentwicklungsprozess zu integrieren, sind die richtigen Tools, Kenntnisse und Unterstützung erforderlich.
Wenn die Liste von MITRE immer noch zu viele alte Sicherheitslücken enthält, sind die bisherigen Schulungsmethoden offensichtlich nicht wirksam. Versuchen Sie also etwas Neues. Suchen Sie nach Schulungslösungen wie den folgenden.
- Sie können es selbst ausprobieren. Entwickler mögen es, „durch Ausprobieren zu lernen“, anstatt sich Videos anzusehen, in denen darüber geredet wird.
- Relevanz: Wenn Sie täglich Java verwenden, sollten Sie nicht mit C# trainieren.
- Interessantes und einfaches Lernen ist leicht verständlich und ermöglicht es Entwicklern, auf der Grundlage ihres bisherigen Wissens weiter voranzukommen.
- Messbar. Kreuzen Sie nicht einfach das Kästchen an und fahren Sie fort. Überprüfen Sie, ob die Schulung wirksam ist, und erstellen Sie einen Plan für Verbesserungen.
- Das ist interessant. Sehen Sie sich an, wie Sie neben der Förderung einer positiven Sicherheitskultur auch das Sicherheitsbewusstsein stärken und dadurch ein einheitliches Teamumfeld schaffen können.
Sicherheit muss für alle Mitglieder einer Organisation oberste Priorität haben, und der CISO muss seine Bemühungen um mehr Datensicherheit auf allen Ebenen sichtbar und transparent gestalten. Ich meine, wer möchte schon immer wieder dieselben alten Lieder hören? Es ist an der Zeit, ernsthaft darüber nachzudenken, wie man alte Fehler ein für alle Mal beseitigen kann.
Ende letzten Jahres veröffentlichte die großartige Community von MITRE eine Liste der 25 gefährlichsten Softwarefehler (CWE), die 2019 weltweit Auswirkungen hatten. Und die meisten davon waren keine Überraschung.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht in. Informationssicherheit Buzz, wurde von mehreren anderen Shops übernommen. Hier wurde er für die Syndizierung aktualisiert.
Ende letzten Jahres veröffentlichte die beeindruckende Community von MITRE eine Liste der 25 gefährlichsten Softwarefehler (CWE), die 2019 weltweit Auswirkungen hatten. Diese Liste basiert nicht auf Meinungen, sondern ist das Ergebnis einer vielschichtigen Analyse, die sich auf die Arbeit von Organisationen wie dem NIST stützt. NISThat nicht nurallgemeine Schwachstellen- und Expositionsdaten (CVE) veröffentlicht, sondern auch eine Bewertung vorgenommen, um die „wichtigsten” Fehler zu ermitteln, basierend auf deren Schweregrad, Ausnutzbarkeit und Prävalenz in aktueller Software. Es handelt sich dabei nicht um eine Liste, die man positiv bewerten kann. Das steht fest.
Im Gegensatz zu den meisten Jahresrückblicken tauchen jedoch viele der Teilnehmer auf dieser Liste bereits seit längerem auf. Wenn es sich bei dieser Liste um die Billboard Hot 100 handeln würde, wäre sie vergleichbar mit der Liste von Britney Spears.„Baby One More Time” und „BackstreetBoys” erscheinen seit ihrer Erstveröffentlichung jedes Jahr.Und warum habe ich diese Songs ausgewählt? Nun, ich bin jetzt ungefähr zwanzig Jahre alt (kommt Ihnen das noch alt vor?), und obwohl sie vor Jahrzehnten entdeckt wurden, ähneln sie sehr den gefährlichen Softwarefehlern, die uns bis 2020 noch immer plagen.
なぜ古いバグが依然として危険なのですか?どのように修正すべきか分かりません。
Derzeit ist der sechste Eintrag in der MITRE-Liste besser bekannt als CWE-89SQL-Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele Menschen ihre wichtigsten Fragen noch an Zibes statt an Google richteten.Obwohl die Korrektur bald bekannt wurde, ist diese Methode auch 2019 noch eine der am häufigsten verwendeten Hacking-Techniken. Akamai Internet Status Report von Akamai war SQLi in zwei Dritteln der Fälle der Übeltäter. Alle Angriffe auf Webanwendungen
Was die Komplexität angeht, ist SQL-Injection weit entfernt von genialen Ausnutzungen. Es handelt sich um eine einfache Lösung für Webentwickler, und wir sollten ohne zu zögern lernen, wie wir verhindern können, dass diese Schwachstelle wertvolle Daten für Angreifer zugänglich macht... Das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Vor 20 Jahren mag dies noch einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger als normal angesehen werden.
Entwickler arbeiten meist mit defekten Systemen.
Es ist allzu leicht, still zu sitzen und den Entwickler zu beschuldigen, der „falschen“ Code geliefert hat. Tatsächlich unterscheiden sich die Prioritäten dieser Entwickler erheblich von denen des Sicherheitsteams. In der Regel wird das Entwicklerteam angewiesen, so schnell wie möglich schöne und funktionale Software zu erstellen. Aufgrund der unendlichen Nachfrage der Gesellschaft nach Software ist das Entwicklerteam bereits stark erweitert, und Sicherheit ist kein vorrangiges Anliegen. Ist das nicht letztendlich der Grund, warum es AppSec-Experten gibt? Softwareentwickler sind es gewohnt, sich eher distanziert mit dem Thema Sicherheit auseinanderzusetzen. Sie werden nur dann um ihre Meinung gebeten, wenn Probleme auftreten, die zu Verzögerungen bei der Arbeit führen können.
AppSec-Experten hingegen sind es leid, jahrzehntealte Fehler zu beheben, die bei allen Scans und manuellen Codeüberprüfungen immer wieder auftauchen. Diese Experten sind teuer und rar, und es ist weitaus besser, Zeit in komplexe Sicherheitslücken zu investieren, als immer wieder bekannte Bugs zu beseitigen.
Diese Teams haben eine Kultur, in der Verantwortung stillschweigend weitergereicht wird, aber beide Teams haben (oder sollten) dasselbe Ziel verfolgen: Software-Sicherheit. Entwickler arbeiten in einem Umfeld, in dem sie kaum Erfolg beim sicheren Programmieren haben können. In der Hochschulausbildung werden selten bewährte Verfahren für die Sicherheit vermittelt, und praktische Schulungen sind oft zu selten oder völlig wirkungslos. Es mangelt deutlich an Sicherheitsbewusstsein und einer intensiven, themenbezogenen Ausbildung. Das Ergebnis sind astronomische Kosten für die Behebung alter Fehler im committeten Code und die drohende Gefahr von Datenverletzungen, die den Ruf schädigen.
Der menschliche Faktor, auch bekannt als „Warum können all diese Tools die Daten nicht sicherer machen?“
Ein weiteres häufig auftretendes Problem besteht darin, dass vor der Veröffentlichung von Software enorme Mengen an Sicherheitswerkzeugen eingesetzt werden, um Probleme zu finden, anstatt sich auf die Ausbildung zu konzentrieren. Array-Anwendungsprüfungs- und Schutzwerkzeuge (Fast/Dust/Raz/Toast) können zwar bei der Entwicklung von Sicherheitssoftware durchaus hilfreich sein, haben jedoch ihre eigenen Probleme. Eine vollständige Abhängigkeit von diesen Lösungen garantiert keine Sicherheit. Die Gründe dafür sind folgende:
- Es gibt kein „einziges“ Tool, mit dem alle Schwachstellen in allen Anwendungsfällen aller Frameworks überprüft werden können.
- Insbesondere kann die Geschwindigkeit bei gleichzeitiger Ausführung sowohl statischer als auch dynamischer Code-Analysen langsam sein.
- Falschmeldungen sind nach wie vor ein Problem. In solchen Fällen kommt es häufig zu Produktionsunterbrechungen, und es sind unnötige manuelle Codeüberprüfungen erforderlich, um die Warnungen zu identifizieren.
- Die Erwartung, dass diese Tools Probleme lösen werden, führt zu einer falschen Sicherheitswahrnehmung, beispielsweise indem die Priorität von sicherem Programmieren herabgesetzt wird.
Diese Tools werden sicherlich Sicherheitslücken finden, die gepatcht werden können. Aber können sie wirklich alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und Angreifer können schon durch eine einzige offene Tür eindringen und Ihnen den Tag verderben.
Glücklicherweise erkennen viele Organisationen, dass menschliche Faktoren eine Rolle spielen. Software-Schwachstellen. Die meisten Entwickler haben keine ausreichende Ausbildung in sicherem Programmieren und verfügen über ein geringes Sicherheitsbewusstsein. Sie befinden sich jedoch in einer frühen Phase des Softwareentwicklungszyklus und sind daher am besten in der Lage, Schwachstellen in bereits festgeschriebenem Code zu verhindern. Wenn sie von Anfang an sicher programmieren, können sie an vorderster Front dazu beitragen, zerstörerische Cyberangriffe abzuwehren, die jedes Jahr Schäden in Milliardenhöhe verursachen.
Entwickler sollten die Möglichkeit erhalten, erfolgreich zu sein, indem sie ihre Sprache sprechen, sich mit ihrer Arbeit identifizieren und durch Schulungen ein aktives Interesse an Sicherheit entwickeln können. Bugfreier Code sollte mit Stolz erfüllt sein. Genauso wie man den Respekt seiner Kollegen verdient, wenn man etwas Funktionales und Großartiges schafft.
Die neuesten Sicherheitsprogramme müssen oberste Priorität im Geschäftsleben haben.
Das Entwicklungsteam kann mit Bootstrap kein positives Sicherheitsbewusstsein im gesamten Unternehmen fördern. Um Sicherheit von Anfang an in den Softwareentwicklungsprozess zu integrieren, sind die richtigen Tools, Kenntnisse und Unterstützung erforderlich.
Wenn die Liste von MITRE immer noch zu viele alte Sicherheitslücken enthält, sind die bisherigen Schulungsmethoden offensichtlich nicht wirksam. Versuchen Sie also etwas Neues. Suchen Sie nach Schulungslösungen wie den folgenden.
- Sie können es selbst ausprobieren. Entwickler mögen es, „durch Ausprobieren zu lernen“, anstatt sich Videos anzusehen, in denen darüber geredet wird.
- Relevanz: Wenn Sie täglich Java verwenden, sollten Sie nicht mit C# trainieren.
- Interessantes und einfaches Lernen ist leicht verständlich und ermöglicht es Entwicklern, auf der Grundlage ihres bisherigen Wissens weiter voranzukommen.
- Messbar. Kreuzen Sie nicht einfach das Kästchen an und fahren Sie fort. Überprüfen Sie, ob die Schulung wirksam ist, und erstellen Sie einen Plan für Verbesserungen.
- Das ist interessant. Sehen Sie sich an, wie Sie neben der Förderung einer positiven Sicherheitskultur auch das Sicherheitsbewusstsein stärken und dadurch ein einheitliches Teamumfeld schaffen können.
Sicherheit muss für alle Mitglieder einer Organisation oberste Priorität haben, und der CISO muss seine Bemühungen um mehr Datensicherheit auf allen Ebenen sichtbar und transparent gestalten. Ich meine, wer möchte schon immer wieder dieselben alten Lieder hören? Es ist an der Zeit, ernsthaft darüber nachzudenken, wie man alte Fehler ein für alle Mal beseitigen kann.
Dieser Artikel wurde ursprünglich veröffentlicht in. Informationssicherheit Buzz, wurde von mehreren anderen Shops übernommen. Hier wurde er für die Syndizierung aktualisiert.
Ende letzten Jahres veröffentlichte die beeindruckende Community von MITRE eine Liste der 25 gefährlichsten Softwarefehler (CWE), die 2019 weltweit Auswirkungen hatten. Diese Liste basiert nicht auf Meinungen, sondern ist das Ergebnis einer vielschichtigen Analyse, die sich auf die Arbeit von Organisationen wie dem NIST stützt. NISThat nicht nurallgemeine Schwachstellen- und Expositionsdaten (CVE) veröffentlicht, sondern auch eine Bewertung vorgenommen, um die „wichtigsten” Fehler zu ermitteln, basierend auf deren Schweregrad, Ausnutzbarkeit und Prävalenz in aktueller Software. Es handelt sich dabei nicht um eine Liste, die man positiv bewerten kann. Das steht fest.
Im Gegensatz zu den meisten Jahresrückblicken tauchen jedoch viele der Teilnehmer auf dieser Liste bereits seit längerem auf. Wenn es sich bei dieser Liste um die Billboard Hot 100 handeln würde, wäre sie vergleichbar mit der Liste von Britney Spears.„Baby One More Time” und „BackstreetBoys” erscheinen seit ihrer Erstveröffentlichung jedes Jahr.Und warum habe ich diese Songs ausgewählt? Nun, ich bin jetzt ungefähr zwanzig Jahre alt (kommt Ihnen das noch alt vor?), und obwohl sie vor Jahrzehnten entdeckt wurden, ähneln sie sehr den gefährlichen Softwarefehlern, die uns bis 2020 noch immer plagen.
なぜ古いバグが依然として危険なのですか?どのように修正すべきか分かりません。
Derzeit ist der sechste Eintrag in der MITRE-Liste besser bekannt als CWE-89SQL-Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele Menschen ihre wichtigsten Fragen noch an Zibes statt an Google richteten.Obwohl die Korrektur bald bekannt wurde, ist diese Methode auch 2019 noch eine der am häufigsten verwendeten Hacking-Techniken. Akamai Internet Status Report von Akamai war SQLi in zwei Dritteln der Fälle der Übeltäter. Alle Angriffe auf Webanwendungen
Was die Komplexität angeht, ist SQL-Injection weit entfernt von genialen Ausnutzungen. Es handelt sich um eine einfache Lösung für Webentwickler, und wir sollten ohne zu zögern lernen, wie wir verhindern können, dass diese Schwachstelle wertvolle Daten für Angreifer zugänglich macht... Das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Vor 20 Jahren mag dies noch einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger als normal angesehen werden.
Entwickler arbeiten meist mit defekten Systemen.
Es ist allzu leicht, still zu sitzen und den Entwickler zu beschuldigen, der „falschen“ Code geliefert hat. Tatsächlich unterscheiden sich die Prioritäten dieser Entwickler erheblich von denen des Sicherheitsteams. In der Regel wird das Entwicklerteam angewiesen, so schnell wie möglich schöne und funktionale Software zu erstellen. Aufgrund der unendlichen Nachfrage der Gesellschaft nach Software ist das Entwicklerteam bereits stark erweitert, und Sicherheit ist kein vorrangiges Anliegen. Ist das nicht letztendlich der Grund, warum es AppSec-Experten gibt? Softwareentwickler sind es gewohnt, sich eher distanziert mit dem Thema Sicherheit auseinanderzusetzen. Sie werden nur dann um ihre Meinung gebeten, wenn Probleme auftreten, die zu Verzögerungen bei der Arbeit führen können.
AppSec-Experten hingegen sind es leid, jahrzehntealte Fehler zu beheben, die bei allen Scans und manuellen Codeüberprüfungen immer wieder auftauchen. Diese Experten sind teuer und rar, und es ist weitaus besser, Zeit in komplexe Sicherheitslücken zu investieren, als immer wieder bekannte Bugs zu beseitigen.
Diese Teams haben eine Kultur, in der Verantwortung stillschweigend weitergereicht wird, aber beide Teams haben (oder sollten) dasselbe Ziel verfolgen: Software-Sicherheit. Entwickler arbeiten in einem Umfeld, in dem sie kaum Erfolg beim sicheren Programmieren haben können. In der Hochschulausbildung werden selten bewährte Verfahren für die Sicherheit vermittelt, und praktische Schulungen sind oft zu selten oder völlig wirkungslos. Es mangelt deutlich an Sicherheitsbewusstsein und einer intensiven, themenbezogenen Ausbildung. Das Ergebnis sind astronomische Kosten für die Behebung alter Fehler im committeten Code und die drohende Gefahr von Datenverletzungen, die den Ruf schädigen.
Der menschliche Faktor, auch bekannt als „Warum können all diese Tools die Daten nicht sicherer machen?“
Ein weiteres häufig auftretendes Problem besteht darin, dass vor der Veröffentlichung von Software enorme Mengen an Sicherheitswerkzeugen eingesetzt werden, um Probleme zu finden, anstatt sich auf die Ausbildung zu konzentrieren. Array-Anwendungsprüfungs- und Schutzwerkzeuge (Fast/Dust/Raz/Toast) können zwar bei der Entwicklung von Sicherheitssoftware durchaus hilfreich sein, haben jedoch ihre eigenen Probleme. Eine vollständige Abhängigkeit von diesen Lösungen garantiert keine Sicherheit. Die Gründe dafür sind folgende:
- Es gibt kein „einziges“ Tool, mit dem alle Schwachstellen in allen Anwendungsfällen aller Frameworks überprüft werden können.
- Insbesondere kann die Geschwindigkeit bei gleichzeitiger Ausführung sowohl statischer als auch dynamischer Code-Analysen langsam sein.
- Falschmeldungen sind nach wie vor ein Problem. In solchen Fällen kommt es häufig zu Produktionsunterbrechungen, und es sind unnötige manuelle Codeüberprüfungen erforderlich, um die Warnungen zu identifizieren.
- Die Erwartung, dass diese Tools Probleme lösen werden, führt zu einer falschen Sicherheitswahrnehmung, beispielsweise indem die Priorität von sicherem Programmieren herabgesetzt wird.
Diese Tools werden sicherlich Sicherheitslücken finden, die gepatcht werden können. Aber können sie wirklich alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und Angreifer können schon durch eine einzige offene Tür eindringen und Ihnen den Tag verderben.
Glücklicherweise erkennen viele Organisationen, dass menschliche Faktoren eine Rolle spielen. Software-Schwachstellen. Die meisten Entwickler haben keine ausreichende Ausbildung in sicherem Programmieren und verfügen über ein geringes Sicherheitsbewusstsein. Sie befinden sich jedoch in einer frühen Phase des Softwareentwicklungszyklus und sind daher am besten in der Lage, Schwachstellen in bereits festgeschriebenem Code zu verhindern. Wenn sie von Anfang an sicher programmieren, können sie an vorderster Front dazu beitragen, zerstörerische Cyberangriffe abzuwehren, die jedes Jahr Schäden in Milliardenhöhe verursachen.
Entwickler sollten die Möglichkeit erhalten, erfolgreich zu sein, indem sie ihre Sprache sprechen, sich mit ihrer Arbeit identifizieren und durch Schulungen ein aktives Interesse an Sicherheit entwickeln können. Bugfreier Code sollte mit Stolz erfüllt sein. Genauso wie man den Respekt seiner Kollegen verdient, wenn man etwas Funktionales und Großartiges schafft.
Die neuesten Sicherheitsprogramme müssen oberste Priorität im Geschäftsleben haben.
Das Entwicklungsteam kann mit Bootstrap kein positives Sicherheitsbewusstsein im gesamten Unternehmen fördern. Um Sicherheit von Anfang an in den Softwareentwicklungsprozess zu integrieren, sind die richtigen Tools, Kenntnisse und Unterstützung erforderlich.
Wenn die Liste von MITRE immer noch zu viele alte Sicherheitslücken enthält, sind die bisherigen Schulungsmethoden offensichtlich nicht wirksam. Versuchen Sie also etwas Neues. Suchen Sie nach Schulungslösungen wie den folgenden.
- Sie können es selbst ausprobieren. Entwickler mögen es, „durch Ausprobieren zu lernen“, anstatt sich Videos anzusehen, in denen darüber geredet wird.
- Relevanz: Wenn Sie täglich Java verwenden, sollten Sie nicht mit C# trainieren.
- Interessantes und einfaches Lernen ist leicht verständlich und ermöglicht es Entwicklern, auf der Grundlage ihres bisherigen Wissens weiter voranzukommen.
- Messbar. Kreuzen Sie nicht einfach das Kästchen an und fahren Sie fort. Überprüfen Sie, ob die Schulung wirksam ist, und erstellen Sie einen Plan für Verbesserungen.
- Das ist interessant. Sehen Sie sich an, wie Sie neben der Förderung einer positiven Sicherheitskultur auch das Sicherheitsbewusstsein stärken und dadurch ein einheitliches Teamumfeld schaffen können.
Sicherheit muss für alle Mitglieder einer Organisation oberste Priorität haben, und der CISO muss seine Bemühungen um mehr Datensicherheit auf allen Ebenen sichtbar und transparent gestalten. Ich meine, wer möchte schon immer wieder dieselben alten Lieder hören? Es ist an der Zeit, ernsthaft darüber nachzudenken, wie man alte Fehler ein für alle Mal beseitigen kann.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel wurde ursprünglich veröffentlicht in. Informationssicherheit Buzz, wurde von mehreren anderen Shops übernommen. Hier wurde er für die Syndizierung aktualisiert.
Ende letzten Jahres veröffentlichte die beeindruckende Community von MITRE eine Liste der 25 gefährlichsten Softwarefehler (CWE), die 2019 weltweit Auswirkungen hatten. Diese Liste basiert nicht auf Meinungen, sondern ist das Ergebnis einer vielschichtigen Analyse, die sich auf die Arbeit von Organisationen wie dem NIST stützt. NISThat nicht nurallgemeine Schwachstellen- und Expositionsdaten (CVE) veröffentlicht, sondern auch eine Bewertung vorgenommen, um die „wichtigsten” Fehler zu ermitteln, basierend auf deren Schweregrad, Ausnutzbarkeit und Prävalenz in aktueller Software. Es handelt sich dabei nicht um eine Liste, die man positiv bewerten kann. Das steht fest.
Im Gegensatz zu den meisten Jahresrückblicken tauchen jedoch viele der Teilnehmer auf dieser Liste bereits seit längerem auf. Wenn es sich bei dieser Liste um die Billboard Hot 100 handeln würde, wäre sie vergleichbar mit der Liste von Britney Spears.„Baby One More Time” und „BackstreetBoys” erscheinen seit ihrer Erstveröffentlichung jedes Jahr.Und warum habe ich diese Songs ausgewählt? Nun, ich bin jetzt ungefähr zwanzig Jahre alt (kommt Ihnen das noch alt vor?), und obwohl sie vor Jahrzehnten entdeckt wurden, ähneln sie sehr den gefährlichen Softwarefehlern, die uns bis 2020 noch immer plagen.
なぜ古いバグが依然として危険なのですか?どのように修正すべきか分かりません。
Derzeit ist der sechste Eintrag in der MITRE-Liste besser bekannt als CWE-89SQL-Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele Menschen ihre wichtigsten Fragen noch an Zibes statt an Google richteten.Obwohl die Korrektur bald bekannt wurde, ist diese Methode auch 2019 noch eine der am häufigsten verwendeten Hacking-Techniken. Akamai Internet Status Report von Akamai war SQLi in zwei Dritteln der Fälle der Übeltäter. Alle Angriffe auf Webanwendungen
Was die Komplexität angeht, ist SQL-Injection weit entfernt von genialen Ausnutzungen. Es handelt sich um eine einfache Lösung für Webentwickler, und wir sollten ohne zu zögern lernen, wie wir verhindern können, dass diese Schwachstelle wertvolle Daten für Angreifer zugänglich macht... Das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Vor 20 Jahren mag dies noch einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger als normal angesehen werden.
Entwickler arbeiten meist mit defekten Systemen.
Es ist allzu leicht, still zu sitzen und den Entwickler zu beschuldigen, der „falschen“ Code geliefert hat. Tatsächlich unterscheiden sich die Prioritäten dieser Entwickler erheblich von denen des Sicherheitsteams. In der Regel wird das Entwicklerteam angewiesen, so schnell wie möglich schöne und funktionale Software zu erstellen. Aufgrund der unendlichen Nachfrage der Gesellschaft nach Software ist das Entwicklerteam bereits stark erweitert, und Sicherheit ist kein vorrangiges Anliegen. Ist das nicht letztendlich der Grund, warum es AppSec-Experten gibt? Softwareentwickler sind es gewohnt, sich eher distanziert mit dem Thema Sicherheit auseinanderzusetzen. Sie werden nur dann um ihre Meinung gebeten, wenn Probleme auftreten, die zu Verzögerungen bei der Arbeit führen können.
AppSec-Experten hingegen sind es leid, jahrzehntealte Fehler zu beheben, die bei allen Scans und manuellen Codeüberprüfungen immer wieder auftauchen. Diese Experten sind teuer und rar, und es ist weitaus besser, Zeit in komplexe Sicherheitslücken zu investieren, als immer wieder bekannte Bugs zu beseitigen.
Diese Teams haben eine Kultur, in der Verantwortung stillschweigend weitergereicht wird, aber beide Teams haben (oder sollten) dasselbe Ziel verfolgen: Software-Sicherheit. Entwickler arbeiten in einem Umfeld, in dem sie kaum Erfolg beim sicheren Programmieren haben können. In der Hochschulausbildung werden selten bewährte Verfahren für die Sicherheit vermittelt, und praktische Schulungen sind oft zu selten oder völlig wirkungslos. Es mangelt deutlich an Sicherheitsbewusstsein und einer intensiven, themenbezogenen Ausbildung. Das Ergebnis sind astronomische Kosten für die Behebung alter Fehler im committeten Code und die drohende Gefahr von Datenverletzungen, die den Ruf schädigen.
Der menschliche Faktor, auch bekannt als „Warum können all diese Tools die Daten nicht sicherer machen?“
Ein weiteres häufig auftretendes Problem besteht darin, dass vor der Veröffentlichung von Software enorme Mengen an Sicherheitswerkzeugen eingesetzt werden, um Probleme zu finden, anstatt sich auf die Ausbildung zu konzentrieren. Array-Anwendungsprüfungs- und Schutzwerkzeuge (Fast/Dust/Raz/Toast) können zwar bei der Entwicklung von Sicherheitssoftware durchaus hilfreich sein, haben jedoch ihre eigenen Probleme. Eine vollständige Abhängigkeit von diesen Lösungen garantiert keine Sicherheit. Die Gründe dafür sind folgende:
- Es gibt kein „einziges“ Tool, mit dem alle Schwachstellen in allen Anwendungsfällen aller Frameworks überprüft werden können.
- Insbesondere kann die Geschwindigkeit bei gleichzeitiger Ausführung sowohl statischer als auch dynamischer Code-Analysen langsam sein.
- Falschmeldungen sind nach wie vor ein Problem. In solchen Fällen kommt es häufig zu Produktionsunterbrechungen, und es sind unnötige manuelle Codeüberprüfungen erforderlich, um die Warnungen zu identifizieren.
- Die Erwartung, dass diese Tools Probleme lösen werden, führt zu einer falschen Sicherheitswahrnehmung, beispielsweise indem die Priorität von sicherem Programmieren herabgesetzt wird.
Diese Tools werden sicherlich Sicherheitslücken finden, die gepatcht werden können. Aber können sie wirklich alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und Angreifer können schon durch eine einzige offene Tür eindringen und Ihnen den Tag verderben.
Glücklicherweise erkennen viele Organisationen, dass menschliche Faktoren eine Rolle spielen. Software-Schwachstellen. Die meisten Entwickler haben keine ausreichende Ausbildung in sicherem Programmieren und verfügen über ein geringes Sicherheitsbewusstsein. Sie befinden sich jedoch in einer frühen Phase des Softwareentwicklungszyklus und sind daher am besten in der Lage, Schwachstellen in bereits festgeschriebenem Code zu verhindern. Wenn sie von Anfang an sicher programmieren, können sie an vorderster Front dazu beitragen, zerstörerische Cyberangriffe abzuwehren, die jedes Jahr Schäden in Milliardenhöhe verursachen.
Entwickler sollten die Möglichkeit erhalten, erfolgreich zu sein, indem sie ihre Sprache sprechen, sich mit ihrer Arbeit identifizieren und durch Schulungen ein aktives Interesse an Sicherheit entwickeln können. Bugfreier Code sollte mit Stolz erfüllt sein. Genauso wie man den Respekt seiner Kollegen verdient, wenn man etwas Funktionales und Großartiges schafft.
Die neuesten Sicherheitsprogramme müssen oberste Priorität im Geschäftsleben haben.
Das Entwicklungsteam kann mit Bootstrap kein positives Sicherheitsbewusstsein im gesamten Unternehmen fördern. Um Sicherheit von Anfang an in den Softwareentwicklungsprozess zu integrieren, sind die richtigen Tools, Kenntnisse und Unterstützung erforderlich.
Wenn die Liste von MITRE immer noch zu viele alte Sicherheitslücken enthält, sind die bisherigen Schulungsmethoden offensichtlich nicht wirksam. Versuchen Sie also etwas Neues. Suchen Sie nach Schulungslösungen wie den folgenden.
- Sie können es selbst ausprobieren. Entwickler mögen es, „durch Ausprobieren zu lernen“, anstatt sich Videos anzusehen, in denen darüber geredet wird.
- Relevanz: Wenn Sie täglich Java verwenden, sollten Sie nicht mit C# trainieren.
- Interessantes und einfaches Lernen ist leicht verständlich und ermöglicht es Entwicklern, auf der Grundlage ihres bisherigen Wissens weiter voranzukommen.
- Messbar. Kreuzen Sie nicht einfach das Kästchen an und fahren Sie fort. Überprüfen Sie, ob die Schulung wirksam ist, und erstellen Sie einen Plan für Verbesserungen.
- Das ist interessant. Sehen Sie sich an, wie Sie neben der Förderung einer positiven Sicherheitskultur auch das Sicherheitsbewusstsein stärken und dadurch ein einheitliches Teamumfeld schaffen können.
Sicherheit muss für alle Mitglieder einer Organisation oberste Priorität haben, und der CISO muss seine Bemühungen um mehr Datensicherheit auf allen Ebenen sichtbar und transparent gestalten. Ich meine, wer möchte schon immer wieder dieselben alten Lieder hören? Es ist an der Zeit, ernsthaft darüber nachzudenken, wie man alte Fehler ein für alle Mal beseitigen kann.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
