Warum SQL-Injection das Ungeziefer der AppSec-Welt ist (und wie CISOs es ein für alle Mal ausmerzen können)
Es gibt eine bekannte Theorie, dass Kakerlaken alles überleben können, einschließlich einer nuklearen Explosion. Diese Theorie ist zwar nur bis zu einem gewissen Grad wahr, aber aufgrund ihres einfachen Körperbaus sind sie im Verhältnis zu ihrer Größe sehr robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe darüber nachgedacht ... Wenn es in der digitalen Welt ein Problem gibt, das mit Kakerlaken vergleichbar ist, dann wäre das wohl die SQL-Injection-Sicherheitslücke (SQLi) im Code. Diese Sicherheitslücke ist seit über 20 Jahren bekannt, aber Unternehmen erleiden weiterhin Schäden dadurch. Wie bei den weit verbreiteten, kostspieligen gezielten Angriffen war auch dies eine Folge von SQL-Injection. Nach dem Wahl-Hack, bei dem die Daten von 200.000 Wählern in Illinois offengelegt wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitspraktiken zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva zeigt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA. OWASP Top 10. Relativ einfach, aber nicht ganz ungefährlich.
Es erscheint absurd, dass dieselbe Schwachstelle nach wie vor in einer beträchtlichen Anzahl von Anwendungssicherheitstests auftritt. Wir wissen genau, wie dieses Problem funktioniert, und wir wissen auch, wie man es verhindern kann. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch unendlich viel Raum für Verbesserungen.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthält einige überraschende Statistiken. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Fast jede dritte neu gescannte Anwendung wies SQL-Injektionen auf, was seit fünf Jahren ein konstantes Thema ist. Dies ist ein Beweis für ein chronisches Problem. Wir lernen nicht aus unseren Fehlern, und CISOs scheinen einen harten Kampf um die Gewinnung von ausreichend Sicherheitsfachkräften zu führen. Im Allgemeinen ist das Verhältnis von AppSec-Experten zu Entwicklern mit 1:100 nicht angemessen.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass es an Fachkräften für Cybersicherheit mangelt. Entwickler sollten jedoch auch darauf achten, dass sie Probleme nicht lösen, wenn sie auftreten, und dass sie nicht von vornherein bereit sind, Schwachstellen zu beseitigen.Aus demselben Veracode-Bericht geht hervor, dass nur für 14,4 % aller Entwicklungslücken Abhilfemaßnahmen dokumentiert wurden. Das bedeutet, dass die meisten Sicherheitslücken ohne Abhilfemaßnahmen in der Entwicklung eingereicht wurden. Weniger als ein Drittel der Sicherheitslücken wurde innerhalb der ersten 90 Tage behoben, und 42 % der Sicherheitslücken wurden nicht innerhalb der Entwicklungsphase geschlossen.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe festgestellt, dass viele Unternehmen (abgesehen von den katastrophalen Fehlalarmraten) so unzufrieden mit der Anzahl der nicht behebbaren Schwachstellen sind, dass sie die Suche ganz einstellen und nur noch die Daumen drücken, um auf das beste Ergebnis zu hoffen.
Was ist der Grund dafür, dass AppSec-Experten diese Situation zugelassen haben?
Machen Sie keinen Fehler. Die Mitarbeiter von AppSec kennen die Probleme des Codes nur zu gut. Letztendlich ist dies eine der Kernkompetenzen, die sie zu wertvollen Teamressourcen macht. Allerdings haben sie oft mit verschiedenen Faktoren zu kämpfen.
Beispielsweise entdeckt ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code ändern?“ Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber in der Regel sind Entwickler so sehr damit beschäftigt, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass sie weder die Zeit noch die geeigneten Tools haben, um solche Probleme zu beheben. AppSec-Experten können zwar selbst Schwachstellen identifizieren, verfügen jedoch häufig nicht über die technischen Fähigkeiten und/oder Zugriffsrechte, um diese sofort zu beheben.
Außerdem muss man sich bewusst sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und anschließend getestet werden muss. Selbst die Behebung kleinerer Probleme, die im Code entdeckt werden, nimmt enorm viel Zeit in Anspruch, ganz zu schweigen von den erforderlichen Ressourcen. Es gibt über 700 Schwachstellen, die in Software eingebaut werden können, und es ist unmöglich, dass eine einzelne Person alle abwehrt. Aus diesem Grund halten sich die meisten Unternehmen nur an die OWASP Top 10. In der Zwischenzeit entwickeln die Entwickler weiterhin Funktionen und und führen damit immer wieder neue Schwachstellen in ihren Codes ein.
Was könnte die Lösung sein?
Einfach gesagt: Wir bieten Entwicklern keine Tools und Schulungen, um erfolgreiches sicheres Programmieren zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern angemessene Sicherheitskenntnisse zu vermitteln. Es ist bedauerlich, dass auch die meisten Hochschulen und Praktikumsprogramme Junior-Entwickler nicht darauf vorbereiten, sicher zu programmieren.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Entwickler müssen Zeit für Schulungen zum Schreiben sicherer Codes aufwenden. In der heutigen Welt, in der die Softwareentwicklung schnell voranschreitet und es an guten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch keine Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Die jüngsten Schlagzeilen des Weltwirtschaftsforums lauteten: „Ohne Sicherheit kann es keine digitale Wirtschaft geben.“ Darin wird betont, dass Sicherheit ein zentraler Bestandteil jeder Strategie für digitale Innovation sein muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit geht über eine rein defensive Rolle hinaus und verschafft Unternehmen strategische Wachstumsvorteile.“
Durch die Verbesserung der Sicherheitscodierungstechniken und -ergebnisse wird die Organisation um eine starke Cybersicherheitslage erweitert, wodurch schneller und besserer Code erstellt werden kann. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktiv und praktisch befugt sein, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können zu Helden der nächsten Generation in Sachen Sicherheit und Innovation werden. Sie sind sehr kluge Menschen, lösen Probleme kreativ und sind in der Regel sehr engagiert, wenn es darum geht, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken und halten Sie höhere Standards für die Softwaresicherheit ein, indem Sie ihnen die entsprechende Fachausbildung zukommen lassen. Lesen Sie das Whitepaper Erfahren Sie mehr.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Es gibt eine bekannte Theorie, dass Kakerlaken alles überleben können, einschließlich einer nuklearen Explosion.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt eine bekannte Theorie, dass Kakerlaken alles überleben können, einschließlich einer nuklearen Explosion. Diese Theorie ist zwar nur bis zu einem gewissen Grad wahr, aber aufgrund ihres einfachen Körperbaus sind sie im Verhältnis zu ihrer Größe sehr robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe darüber nachgedacht ... Wenn es in der digitalen Welt ein Problem gibt, das mit Kakerlaken vergleichbar ist, dann wäre das wohl die SQL-Injection-Sicherheitslücke (SQLi) im Code. Diese Sicherheitslücke ist seit über 20 Jahren bekannt, aber Unternehmen erleiden weiterhin Schäden dadurch. Wie bei den weit verbreiteten, kostspieligen gezielten Angriffen war auch dies eine Folge von SQL-Injection. Nach dem Wahl-Hack, bei dem die Daten von 200.000 Wählern in Illinois offengelegt wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitspraktiken zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva zeigt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA. OWASP Top 10. Relativ einfach, aber nicht ganz ungefährlich.
Es erscheint absurd, dass dieselbe Schwachstelle nach wie vor in einer beträchtlichen Anzahl von Anwendungssicherheitstests auftritt. Wir wissen genau, wie dieses Problem funktioniert, und wir wissen auch, wie man es verhindern kann. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch unendlich viel Raum für Verbesserungen.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthält einige überraschende Statistiken. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Fast jede dritte neu gescannte Anwendung wies SQL-Injektionen auf, was seit fünf Jahren ein konstantes Thema ist. Dies ist ein Beweis für ein chronisches Problem. Wir lernen nicht aus unseren Fehlern, und CISOs scheinen einen harten Kampf um die Gewinnung von ausreichend Sicherheitsfachkräften zu führen. Im Allgemeinen ist das Verhältnis von AppSec-Experten zu Entwicklern mit 1:100 nicht angemessen.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass es an Fachkräften für Cybersicherheit mangelt. Entwickler sollten jedoch auch darauf achten, dass sie Probleme nicht lösen, wenn sie auftreten, und dass sie nicht von vornherein bereit sind, Schwachstellen zu beseitigen.Aus demselben Veracode-Bericht geht hervor, dass nur für 14,4 % aller Entwicklungslücken Abhilfemaßnahmen dokumentiert wurden. Das bedeutet, dass die meisten Sicherheitslücken ohne Abhilfemaßnahmen in der Entwicklung eingereicht wurden. Weniger als ein Drittel der Sicherheitslücken wurde innerhalb der ersten 90 Tage behoben, und 42 % der Sicherheitslücken wurden nicht innerhalb der Entwicklungsphase geschlossen.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe festgestellt, dass viele Unternehmen (abgesehen von den katastrophalen Fehlalarmraten) so unzufrieden mit der Anzahl der nicht behebbaren Schwachstellen sind, dass sie die Suche ganz einstellen und nur noch die Daumen drücken, um auf das beste Ergebnis zu hoffen.
Was ist der Grund dafür, dass AppSec-Experten diese Situation zugelassen haben?
Machen Sie keinen Fehler. Die Mitarbeiter von AppSec kennen die Probleme des Codes nur zu gut. Letztendlich ist dies eine der Kernkompetenzen, die sie zu wertvollen Teamressourcen macht. Allerdings haben sie oft mit verschiedenen Faktoren zu kämpfen.
Beispielsweise entdeckt ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code ändern?“ Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber in der Regel sind Entwickler so sehr damit beschäftigt, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass sie weder die Zeit noch die geeigneten Tools haben, um solche Probleme zu beheben. AppSec-Experten können zwar selbst Schwachstellen identifizieren, verfügen jedoch häufig nicht über die technischen Fähigkeiten und/oder Zugriffsrechte, um diese sofort zu beheben.
Außerdem muss man sich bewusst sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und anschließend getestet werden muss. Selbst die Behebung kleinerer Probleme, die im Code entdeckt werden, nimmt enorm viel Zeit in Anspruch, ganz zu schweigen von den erforderlichen Ressourcen. Es gibt über 700 Schwachstellen, die in Software eingebaut werden können, und es ist unmöglich, dass eine einzelne Person alle abwehrt. Aus diesem Grund halten sich die meisten Unternehmen nur an die OWASP Top 10. In der Zwischenzeit entwickeln die Entwickler weiterhin Funktionen und und führen damit immer wieder neue Schwachstellen in ihren Codes ein.
Was könnte die Lösung sein?
Einfach gesagt: Wir bieten Entwicklern keine Tools und Schulungen, um erfolgreiches sicheres Programmieren zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern angemessene Sicherheitskenntnisse zu vermitteln. Es ist bedauerlich, dass auch die meisten Hochschulen und Praktikumsprogramme Junior-Entwickler nicht darauf vorbereiten, sicher zu programmieren.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Entwickler müssen Zeit für Schulungen zum Schreiben sicherer Codes aufwenden. In der heutigen Welt, in der die Softwareentwicklung schnell voranschreitet und es an guten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch keine Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Die jüngsten Schlagzeilen des Weltwirtschaftsforums lauteten: „Ohne Sicherheit kann es keine digitale Wirtschaft geben.“ Darin wird betont, dass Sicherheit ein zentraler Bestandteil jeder Strategie für digitale Innovation sein muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit geht über eine rein defensive Rolle hinaus und verschafft Unternehmen strategische Wachstumsvorteile.“
Durch die Verbesserung der Sicherheitscodierungstechniken und -ergebnisse wird die Organisation um eine starke Cybersicherheitslage erweitert, wodurch schneller und besserer Code erstellt werden kann. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktiv und praktisch befugt sein, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können zu Helden der nächsten Generation in Sachen Sicherheit und Innovation werden. Sie sind sehr kluge Menschen, lösen Probleme kreativ und sind in der Regel sehr engagiert, wenn es darum geht, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken und halten Sie höhere Standards für die Softwaresicherheit ein, indem Sie ihnen die entsprechende Fachausbildung zukommen lassen. Lesen Sie das Whitepaper Erfahren Sie mehr.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Es gibt eine bekannte Theorie, dass Kakerlaken alles überleben können, einschließlich einer nuklearen Explosion. Diese Theorie ist zwar nur bis zu einem gewissen Grad wahr, aber aufgrund ihres einfachen Körperbaus sind sie im Verhältnis zu ihrer Größe sehr robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe darüber nachgedacht ... Wenn es in der digitalen Welt ein Problem gibt, das mit Kakerlaken vergleichbar ist, dann wäre das wohl die SQL-Injection-Sicherheitslücke (SQLi) im Code. Diese Sicherheitslücke ist seit über 20 Jahren bekannt, aber Unternehmen erleiden weiterhin Schäden dadurch. Wie bei den weit verbreiteten, kostspieligen gezielten Angriffen war auch dies eine Folge von SQL-Injection. Nach dem Wahl-Hack, bei dem die Daten von 200.000 Wählern in Illinois offengelegt wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitspraktiken zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva zeigt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA. OWASP Top 10. Relativ einfach, aber nicht ganz ungefährlich.
Es erscheint absurd, dass dieselbe Schwachstelle nach wie vor in einer beträchtlichen Anzahl von Anwendungssicherheitstests auftritt. Wir wissen genau, wie dieses Problem funktioniert, und wir wissen auch, wie man es verhindern kann. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch unendlich viel Raum für Verbesserungen.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthält einige überraschende Statistiken. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Fast jede dritte neu gescannte Anwendung wies SQL-Injektionen auf, was seit fünf Jahren ein konstantes Thema ist. Dies ist ein Beweis für ein chronisches Problem. Wir lernen nicht aus unseren Fehlern, und CISOs scheinen einen harten Kampf um die Gewinnung von ausreichend Sicherheitsfachkräften zu führen. Im Allgemeinen ist das Verhältnis von AppSec-Experten zu Entwicklern mit 1:100 nicht angemessen.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass es an Fachkräften für Cybersicherheit mangelt. Entwickler sollten jedoch auch darauf achten, dass sie Probleme nicht lösen, wenn sie auftreten, und dass sie nicht von vornherein bereit sind, Schwachstellen zu beseitigen.Aus demselben Veracode-Bericht geht hervor, dass nur für 14,4 % aller Entwicklungslücken Abhilfemaßnahmen dokumentiert wurden. Das bedeutet, dass die meisten Sicherheitslücken ohne Abhilfemaßnahmen in der Entwicklung eingereicht wurden. Weniger als ein Drittel der Sicherheitslücken wurde innerhalb der ersten 90 Tage behoben, und 42 % der Sicherheitslücken wurden nicht innerhalb der Entwicklungsphase geschlossen.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe festgestellt, dass viele Unternehmen (abgesehen von den katastrophalen Fehlalarmraten) so unzufrieden mit der Anzahl der nicht behebbaren Schwachstellen sind, dass sie die Suche ganz einstellen und nur noch die Daumen drücken, um auf das beste Ergebnis zu hoffen.
Was ist der Grund dafür, dass AppSec-Experten diese Situation zugelassen haben?
Machen Sie keinen Fehler. Die Mitarbeiter von AppSec kennen die Probleme des Codes nur zu gut. Letztendlich ist dies eine der Kernkompetenzen, die sie zu wertvollen Teamressourcen macht. Allerdings haben sie oft mit verschiedenen Faktoren zu kämpfen.
Beispielsweise entdeckt ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code ändern?“ Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber in der Regel sind Entwickler so sehr damit beschäftigt, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass sie weder die Zeit noch die geeigneten Tools haben, um solche Probleme zu beheben. AppSec-Experten können zwar selbst Schwachstellen identifizieren, verfügen jedoch häufig nicht über die technischen Fähigkeiten und/oder Zugriffsrechte, um diese sofort zu beheben.
Außerdem muss man sich bewusst sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und anschließend getestet werden muss. Selbst die Behebung kleinerer Probleme, die im Code entdeckt werden, nimmt enorm viel Zeit in Anspruch, ganz zu schweigen von den erforderlichen Ressourcen. Es gibt über 700 Schwachstellen, die in Software eingebaut werden können, und es ist unmöglich, dass eine einzelne Person alle abwehrt. Aus diesem Grund halten sich die meisten Unternehmen nur an die OWASP Top 10. In der Zwischenzeit entwickeln die Entwickler weiterhin Funktionen und und führen damit immer wieder neue Schwachstellen in ihren Codes ein.
Was könnte die Lösung sein?
Einfach gesagt: Wir bieten Entwicklern keine Tools und Schulungen, um erfolgreiches sicheres Programmieren zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern angemessene Sicherheitskenntnisse zu vermitteln. Es ist bedauerlich, dass auch die meisten Hochschulen und Praktikumsprogramme Junior-Entwickler nicht darauf vorbereiten, sicher zu programmieren.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Entwickler müssen Zeit für Schulungen zum Schreiben sicherer Codes aufwenden. In der heutigen Welt, in der die Softwareentwicklung schnell voranschreitet und es an guten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch keine Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Die jüngsten Schlagzeilen des Weltwirtschaftsforums lauteten: „Ohne Sicherheit kann es keine digitale Wirtschaft geben.“ Darin wird betont, dass Sicherheit ein zentraler Bestandteil jeder Strategie für digitale Innovation sein muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit geht über eine rein defensive Rolle hinaus und verschafft Unternehmen strategische Wachstumsvorteile.“
Durch die Verbesserung der Sicherheitscodierungstechniken und -ergebnisse wird die Organisation um eine starke Cybersicherheitslage erweitert, wodurch schneller und besserer Code erstellt werden kann. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktiv und praktisch befugt sein, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können zu Helden der nächsten Generation in Sachen Sicherheit und Innovation werden. Sie sind sehr kluge Menschen, lösen Probleme kreativ und sind in der Regel sehr engagiert, wenn es darum geht, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken und halten Sie höhere Standards für die Softwaresicherheit ein, indem Sie ihnen die entsprechende Fachausbildung zukommen lassen. Lesen Sie das Whitepaper Erfahren Sie mehr.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt eine bekannte Theorie, dass Kakerlaken alles überleben können, einschließlich einer nuklearen Explosion. Diese Theorie ist zwar nur bis zu einem gewissen Grad wahr, aber aufgrund ihres einfachen Körperbaus sind sie im Verhältnis zu ihrer Größe sehr robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe darüber nachgedacht ... Wenn es in der digitalen Welt ein Problem gibt, das mit Kakerlaken vergleichbar ist, dann wäre das wohl die SQL-Injection-Sicherheitslücke (SQLi) im Code. Diese Sicherheitslücke ist seit über 20 Jahren bekannt, aber Unternehmen erleiden weiterhin Schäden dadurch. Wie bei den weit verbreiteten, kostspieligen gezielten Angriffen war auch dies eine Folge von SQL-Injection. Nach dem Wahl-Hack, bei dem die Daten von 200.000 Wählern in Illinois offengelegt wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitspraktiken zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva zeigt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA. OWASP Top 10. Relativ einfach, aber nicht ganz ungefährlich.
Es erscheint absurd, dass dieselbe Schwachstelle nach wie vor in einer beträchtlichen Anzahl von Anwendungssicherheitstests auftritt. Wir wissen genau, wie dieses Problem funktioniert, und wir wissen auch, wie man es verhindern kann. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch unendlich viel Raum für Verbesserungen.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthält einige überraschende Statistiken. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Fast jede dritte neu gescannte Anwendung wies SQL-Injektionen auf, was seit fünf Jahren ein konstantes Thema ist. Dies ist ein Beweis für ein chronisches Problem. Wir lernen nicht aus unseren Fehlern, und CISOs scheinen einen harten Kampf um die Gewinnung von ausreichend Sicherheitsfachkräften zu führen. Im Allgemeinen ist das Verhältnis von AppSec-Experten zu Entwicklern mit 1:100 nicht angemessen.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis, dass es an Fachkräften für Cybersicherheit mangelt. Entwickler sollten jedoch auch darauf achten, dass sie Probleme nicht lösen, wenn sie auftreten, und dass sie nicht von vornherein bereit sind, Schwachstellen zu beseitigen.Aus demselben Veracode-Bericht geht hervor, dass nur für 14,4 % aller Entwicklungslücken Abhilfemaßnahmen dokumentiert wurden. Das bedeutet, dass die meisten Sicherheitslücken ohne Abhilfemaßnahmen in der Entwicklung eingereicht wurden. Weniger als ein Drittel der Sicherheitslücken wurde innerhalb der ersten 90 Tage behoben, und 42 % der Sicherheitslücken wurden nicht innerhalb der Entwicklungsphase geschlossen.
Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe festgestellt, dass viele Unternehmen (abgesehen von den katastrophalen Fehlalarmraten) so unzufrieden mit der Anzahl der nicht behebbaren Schwachstellen sind, dass sie die Suche ganz einstellen und nur noch die Daumen drücken, um auf das beste Ergebnis zu hoffen.
Was ist der Grund dafür, dass AppSec-Experten diese Situation zugelassen haben?
Machen Sie keinen Fehler. Die Mitarbeiter von AppSec kennen die Probleme des Codes nur zu gut. Letztendlich ist dies eine der Kernkompetenzen, die sie zu wertvollen Teamressourcen macht. Allerdings haben sie oft mit verschiedenen Faktoren zu kämpfen.
Beispielsweise entdeckt ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code ändern?“ Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber in der Regel sind Entwickler so sehr damit beschäftigt, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass sie weder die Zeit noch die geeigneten Tools haben, um solche Probleme zu beheben. AppSec-Experten können zwar selbst Schwachstellen identifizieren, verfügen jedoch häufig nicht über die technischen Fähigkeiten und/oder Zugriffsrechte, um diese sofort zu beheben.
Außerdem muss man sich bewusst sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und anschließend getestet werden muss. Selbst die Behebung kleinerer Probleme, die im Code entdeckt werden, nimmt enorm viel Zeit in Anspruch, ganz zu schweigen von den erforderlichen Ressourcen. Es gibt über 700 Schwachstellen, die in Software eingebaut werden können, und es ist unmöglich, dass eine einzelne Person alle abwehrt. Aus diesem Grund halten sich die meisten Unternehmen nur an die OWASP Top 10. In der Zwischenzeit entwickeln die Entwickler weiterhin Funktionen und und führen damit immer wieder neue Schwachstellen in ihren Codes ein.
Was könnte die Lösung sein?
Einfach gesagt: Wir bieten Entwicklern keine Tools und Schulungen, um erfolgreiches sicheres Programmieren zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern angemessene Sicherheitskenntnisse zu vermitteln. Es ist bedauerlich, dass auch die meisten Hochschulen und Praktikumsprogramme Junior-Entwickler nicht darauf vorbereiten, sicher zu programmieren.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Entwickler müssen Zeit für Schulungen zum Schreiben sicherer Codes aufwenden. In der heutigen Welt, in der die Softwareentwicklung schnell voranschreitet und es an guten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch keine Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.
Die jüngsten Schlagzeilen des Weltwirtschaftsforums lauteten: „Ohne Sicherheit kann es keine digitale Wirtschaft geben.“ Darin wird betont, dass Sicherheit ein zentraler Bestandteil jeder Strategie für digitale Innovation sein muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit geht über eine rein defensive Rolle hinaus und verschafft Unternehmen strategische Wachstumsvorteile.“
Durch die Verbesserung der Sicherheitscodierungstechniken und -ergebnisse wird die Organisation um eine starke Cybersicherheitslage erweitert, wodurch schneller und besserer Code erstellt werden kann. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktiv und praktisch befugt sein, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können zu Helden der nächsten Generation in Sachen Sicherheit und Innovation werden. Sie sind sehr kluge Menschen, lösen Probleme kreativ und sind in der Regel sehr engagiert, wenn es darum geht, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken und halten Sie höhere Standards für die Softwaresicherheit ein, indem Sie ihnen die entsprechende Fachausbildung zukommen lassen. Lesen Sie das Whitepaper Erfahren Sie mehr.
Wer ein Flugzeug fliegen will, muss vor dem Flug sehr strenge Verfahren durchlaufen, die Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und -prüfungen umfassen. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassenden Vorbereitungen und technischen Überprüfungen in die Lüfte steigen könnte, aber beim Schreiben von Code passiert genau das jeden Tag.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
