Zero-Day-Angriffe nehmen zu. Es ist an der Zeit, eine Verteidigungsstrategie zu entwickeln.
Eine Version dieses Artikels wurde veröffentlicht in: SC Magazine. Hier wurde er überarbeitet und syndiziert.
Wenn Sie jemals einen Einbruch in Ihrem Haus erlebt haben, wissen Sie, wie es sich anfühlt, wenn zunächst etwas nicht stimmt. Und dann wird Ihnen klar, dass tatsächlich etwas gestohlen wurde und in Ihre Privatsphäre eingedrungen wurde. Das führt in der Regel zu einem anhaltenden Unbehagen, ganz zu schweigen davon, dass Sie zu Sicherheitsmaßnahmen greifen, die denen von Fort Knox in nichts nachstehen.
Stellen Sie sich vor, Ihr Haus wurde aufgebrochen, weil Diebe sich selbst als Schlüssel benutzt haben. Sie schleichen nach Belieben hin und her, aber sie sind vorsichtig, um nicht entdeckt zu werden. Eines Tages jedoch verschwinden die im Gefrierschrank versteckten Schmuckstücke, der Safe ist leer und und die persönlichen Gegenstände wurden durchwühlt. Dies entspricht der Realität, mit der eine Organisation konfrontiert ist, wenn sie Opfer eines Zero-Day-Cyberangriffs wird. Laut einer Studie des Ponemon Institute aus dem Jahr 2020 waren 80 % der erfolgreichen Datenverletzungen das Ergebnis von Zero-Day-Exploits, und leider sind die meisten Unternehmen nicht darauf vorbereitet, diese Statistik deutlich zu verbessern.
Laut Definition gibt ein Zero-Day-Angriff dem Entwickler keine Zeit, bereits bekannte Schwachstellen zu finden und zu beheben, da der Angreifer zuerst eindringt. Nach dem Schaden kommt es zu einem hektischen Kampf, um sowohl den Schaden an der Software als auch den Rufschaden für das Unternehmen zu beheben. Da der Angreifer immer im Vorteil ist, ist es wichtig, sich selbst einen möglichst großen Vorteil zu verschaffen.
Das unerwünschte Weihnachtsgeschenk namens Log4Shell sorgt derzeit im Internet für Aufruhr. Über eine Milliarde Geräte sollen von dieser kritischen Java-Sicherheitslücke betroffen sein. Es wird erwartet, dass dies der schlimmste Zero-Day-Angriff aller Zeiten wird, und das ist erst der Anfang. Dennoch deuten einige Berichte darauf hin, dass der Exploit bereits einige Tage vor seiner Veröffentlichung gestartet wurde, und eine Präsentation auf der Black Hat-Konferenz 2016 lässt vermuten, dass dieses Problem schon seit einiger Zeit bekannt war. Zu allem Übel ist die Schwachstelle sehr leicht auszunutzen, sodass alle Scriptkiddies und Bedrohungsakteure auf der Welt diese Schwachstelle nutzen, um Daten zu stehlen.
Was ist dann der beste Weg, um sich vor heimtückischen und bösartigen Bedrohungen zu schützen, ganz zu schweigen von den Schwachstellen, die im Softwareentwicklungsprozess übersehen wurden? Schauen wir uns das einmal an.
Zero-Day-Angriffe auf große Ziele sind selten und mit hohen Kosten verbunden.
Im Dark Web gibt es einen riesigen Markt für Exploits. Ein Beispiel: Zero-Day-Exploits bringen in der Regel ziemlich viel Geld ein. Zum Zeitpunkt der Erstellung dieses Artikels war es für 2,5 Millionen Dollar gelistet. Es ist bekannt, dass es Apple iOS ausnutzt, daher ist es nicht verwunderlich, dass die Preisvorstellungen der Sicherheitsforscher in die Höhe geschossen sind. Schließlich kann es Millionen von Geräten beschädigen, Milliarden sensibler Datensätze sammeln und so lange wie möglich unentdeckt bleiben, bis es entdeckt und gepatcht wird.
Wer hat überhaupt so viel Geld? In der Regel beschaffen sich organisierte Cyberkriminelle Bargeld, wenn sie etwas für wertvoll halten. Das gilt insbesondere für die nach wie vor beliebten Ransomware-Angriffe. Allerdings gelten auch Regierungen und Verteidigungsministerien weltweit als Kunden für Exploits, die für die Bedrohungsaufklärung genutzt werden können. In einem positiveren Szenario könnten Unternehmen selbst potenzielle Zero-Day-Exploits kaufen, um Katastrophen abzuwenden.
Im Jahr 2021 wurde ein Rekord gebrochen. Bei der Entdeckung von Zero-Day-Exploits in Echtzeit sind große Organisationen, Regierungsbehörden und Infrastrukturen am stärksten von Sicherheitslücken bedroht. Es gibt zwar keine Möglichkeit, sich vollständig vor Zero-Day-Angriffen zu schützen, aber mit einem großzügigen und systematischen Bug-Bounty-Programm kann man das „Spiel“ bis zu einem gewissen Grad zu seinen Gunsten beeinflussen.Warten Sie nicht darauf, dass jemand auf dem Dark Web den Schlüssel zum Software-Schloss anbietet, sondern sichern Sie sich legale Sicherheits-Buffs und bieten Sie angemessene Belohnungen für ethische Offenlegungen und potenzielle Korrekturen.
Wenn die Zero-Day-Bedrohung zu groß ist, ist es sicherer anzunehmen, dass man mehr Geld ausgeben muss als für eine Amazon-Geschenkkarte (und das wäre es auch wert).
Die Bereitstellung von Tools kann in die Zuständigkeit des Sicherheitsbeauftragten fallen.
Die Verwaltung der zahlreichen Sicherheitstools, die ein typischer CISO verwaltet, ist seit langem ein Problem. Mit 55 bis 75 verschiedenen Tools in ihrem Sicherheitsarsenal, das als das verwirrendste (im übertragenen Sinne) Schweizer Taschenmesser der Welt bezeichnet wird, sind 53 % der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten. Das ergab eine Studie des Ponemon Institute. Eine weitere Studie ergab, dass nur 17 % der CISOs ihre Sicherheitsmaßnahmen für „vollständig effektiv“ halten.
Burnout, Mangel an Sicherheitsfachkräften zur Deckung des Bedarfs, Anforderungen an Agilität – in diesem Bereich ist es eine Belastung, dass Sicherheitsexperten mit einer Vielzahl von Tools in Form von Daten, Berichten und Überwachungsaufgaben eine Informationsflut bewältigen müssen. Genau in solchen Szenarien kann es passieren, dass wichtige Warnungen übersehen werden, wenn die Schwachstelle von Log4j nicht richtig eingeschätzt wird.
Präventive Sicherheit muss eine entwicklerorientierte Bedrohungsmodellierung umfassen.
Code-Level-Schwachstellen werden häufig von Entwicklern eingeführt, und um sichere Codierungstechniken zu erlernen, sind genaue Anweisungen und regelmäßige Schulungen erforderlich. Entwicklern mit einem höheren Sicherheitsniveau wurde jedoch die Möglichkeit geboten, Threat Modeling als Teil des Softwareentwicklungsprozesses zu erlernen und zu praktizieren.
Es ist nicht verwunderlich, dass diejenigen, die ihre Software am besten kennen, die Entwickler sind, die sie erstellt haben. Sie verfügen über fundierte Kenntnisse darüber, wie Benutzer mit der Software interagieren, wo Funktionen verwendet werden und welche potenziellen Szenarien bei unzureichender Sicherheit zu einer Beschädigung oder einem Missbrauch der Software führen können.
Wenn man dieses Problem auf den Log4Shell-Exploit zurückführt, entsteht leider ein Szenario, in dem eine kritische Schwachstelle von Experten und komplexen Tools unentdeckt bleiben kann. Dies wäre jedoch möglicherweise gar nicht aufgetreten, wenn die Bibliothek so konfiguriert gewesen wäre, dass sie Benutzereingaben löscht . Die Entscheidung, dies nicht zu tun , scheint eine vage Funktion für zusätzlichen Komfort gewesen zu sein, die jedoch sehr leicht auszunutzen war (denken Sie an das Niveau einer SQL-Injection – das ist keine Genialität). Hätte eine Gruppe scharfsinniger und sicherheitsbewusster Entwickler eine Bedrohungsmodellierung durchgeführt, wäre es sehr wahrscheinlich, dass sie dieses Szenario theoretisiert und berücksichtigt hätte.
Ein hervorragendes Sicherheitsprogramm beinhaltet emotionale Elemente, bei denen menschliches Eingreifen und Nuancen entscheidend sind, um von Menschen verursachte Probleme zu lösen. Damit die Bedrohungsmodellierung effektiv ist, sind Empathie und Erfahrung erforderlich. Das Gleiche gilt für die Sicherheit beim Codieren und Konfigurieren auf der Ebene der Software- und Anwendungsarchitektur. Entwickler müssen sich nicht über Nacht in diese Themen vertiefen, aber es wäre ideal, wenn es einen klaren Weg gäbe, um die Technologien so weit zu verbessern, dass der Druck auf das Sicherheitsteam in Bezug auf diese wichtige Aufgabe verringert wird (und es wäre auch eine gute Möglichkeit, eine Beziehung zwischen den beiden Teams aufzubauen).
0 Tage werden zu n Tagen.
Der nächste Schritt bei der Reaktion auf Zero-Day-Angriffe besteht darin, den Patch so schnell wie möglich zu entfernen. Wir hoffen, dass alle Nutzer der betroffenen Software den Patch so schnell wie möglich und auf jeden Fall noch vor den Angreifern installieren. Log4Shell könnte sogar Heartbleed übertreffen, da es in Millionen von Geräten eingebaut ist und komplexe Abhängigkeiten in der gesamten Software-Entwicklung erzeugt, was ihm eine hohe Ausdauer und Wirksamkeit verleiht.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von raffinierten Angriffen vollständig zu verhindern. Aber wenn wir uns verpflichten, alle Mittel einzusetzen, um hochwertige und sichere Software zu entwickeln, und bei der Entwicklung mit derselben Denkweise wie bei kritischen Infrastrukturen vorgehen, haben wir alle eine Chance, dagegen anzukämpfen.
Laut Definition gibt ein Zero-Day-Angriff dem Entwickler keine Zeit, bereits bekannte Schwachstellen zu finden und zu beheben, da der Angreifer zuerst eindringt. Nach dem Schaden kommt es zu einem hektischen Kampf, um sowohl den Schaden an der Software als auch den Rufschaden für das Unternehmen zu beheben. Da der Angreifer immer im Vorteil ist, ist es wichtig, sich selbst einen möglichst großen Vorteil zu verschaffen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels wurde veröffentlicht in: SC Magazine. Hier wurde er überarbeitet und syndiziert.
Wenn Sie jemals einen Einbruch in Ihrem Haus erlebt haben, wissen Sie, wie es sich anfühlt, wenn zunächst etwas nicht stimmt. Und dann wird Ihnen klar, dass tatsächlich etwas gestohlen wurde und in Ihre Privatsphäre eingedrungen wurde. Das führt in der Regel zu einem anhaltenden Unbehagen, ganz zu schweigen davon, dass Sie zu Sicherheitsmaßnahmen greifen, die denen von Fort Knox in nichts nachstehen.
Stellen Sie sich vor, Ihr Haus wurde aufgebrochen, weil Diebe sich selbst als Schlüssel benutzt haben. Sie schleichen nach Belieben hin und her, aber sie sind vorsichtig, um nicht entdeckt zu werden. Eines Tages jedoch verschwinden die im Gefrierschrank versteckten Schmuckstücke, der Safe ist leer und und die persönlichen Gegenstände wurden durchwühlt. Dies entspricht der Realität, mit der eine Organisation konfrontiert ist, wenn sie Opfer eines Zero-Day-Cyberangriffs wird. Laut einer Studie des Ponemon Institute aus dem Jahr 2020 waren 80 % der erfolgreichen Datenverletzungen das Ergebnis von Zero-Day-Exploits, und leider sind die meisten Unternehmen nicht darauf vorbereitet, diese Statistik deutlich zu verbessern.
Laut Definition gibt ein Zero-Day-Angriff dem Entwickler keine Zeit, bereits bekannte Schwachstellen zu finden und zu beheben, da der Angreifer zuerst eindringt. Nach dem Schaden kommt es zu einem hektischen Kampf, um sowohl den Schaden an der Software als auch den Rufschaden für das Unternehmen zu beheben. Da der Angreifer immer im Vorteil ist, ist es wichtig, sich selbst einen möglichst großen Vorteil zu verschaffen.
Das unerwünschte Weihnachtsgeschenk namens Log4Shell sorgt derzeit im Internet für Aufruhr. Über eine Milliarde Geräte sollen von dieser kritischen Java-Sicherheitslücke betroffen sein. Es wird erwartet, dass dies der schlimmste Zero-Day-Angriff aller Zeiten wird, und das ist erst der Anfang. Dennoch deuten einige Berichte darauf hin, dass der Exploit bereits einige Tage vor seiner Veröffentlichung gestartet wurde, und eine Präsentation auf der Black Hat-Konferenz 2016 lässt vermuten, dass dieses Problem schon seit einiger Zeit bekannt war. Zu allem Übel ist die Schwachstelle sehr leicht auszunutzen, sodass alle Scriptkiddies und Bedrohungsakteure auf der Welt diese Schwachstelle nutzen, um Daten zu stehlen.
Was ist dann der beste Weg, um sich vor heimtückischen und bösartigen Bedrohungen zu schützen, ganz zu schweigen von den Schwachstellen, die im Softwareentwicklungsprozess übersehen wurden? Schauen wir uns das einmal an.
Zero-Day-Angriffe auf große Ziele sind selten und mit hohen Kosten verbunden.
Im Dark Web gibt es einen riesigen Markt für Exploits. Ein Beispiel: Zero-Day-Exploits bringen in der Regel ziemlich viel Geld ein. Zum Zeitpunkt der Erstellung dieses Artikels war es für 2,5 Millionen Dollar gelistet. Es ist bekannt, dass es Apple iOS ausnutzt, daher ist es nicht verwunderlich, dass die Preisvorstellungen der Sicherheitsforscher in die Höhe geschossen sind. Schließlich kann es Millionen von Geräten beschädigen, Milliarden sensibler Datensätze sammeln und so lange wie möglich unentdeckt bleiben, bis es entdeckt und gepatcht wird.
Wer hat überhaupt so viel Geld? In der Regel beschaffen sich organisierte Cyberkriminelle Bargeld, wenn sie etwas für wertvoll halten. Das gilt insbesondere für die nach wie vor beliebten Ransomware-Angriffe. Allerdings gelten auch Regierungen und Verteidigungsministerien weltweit als Kunden für Exploits, die für die Bedrohungsaufklärung genutzt werden können. In einem positiveren Szenario könnten Unternehmen selbst potenzielle Zero-Day-Exploits kaufen, um Katastrophen abzuwenden.
Im Jahr 2021 wurde ein Rekord gebrochen. Bei der Entdeckung von Zero-Day-Exploits in Echtzeit sind große Organisationen, Regierungsbehörden und Infrastrukturen am stärksten von Sicherheitslücken bedroht. Es gibt zwar keine Möglichkeit, sich vollständig vor Zero-Day-Angriffen zu schützen, aber mit einem großzügigen und systematischen Bug-Bounty-Programm kann man das „Spiel“ bis zu einem gewissen Grad zu seinen Gunsten beeinflussen.Warten Sie nicht darauf, dass jemand auf dem Dark Web den Schlüssel zum Software-Schloss anbietet, sondern sichern Sie sich legale Sicherheits-Buffs und bieten Sie angemessene Belohnungen für ethische Offenlegungen und potenzielle Korrekturen.
Wenn die Zero-Day-Bedrohung zu groß ist, ist es sicherer anzunehmen, dass man mehr Geld ausgeben muss als für eine Amazon-Geschenkkarte (und das wäre es auch wert).
Die Bereitstellung von Tools kann in die Zuständigkeit des Sicherheitsbeauftragten fallen.
Die Verwaltung der zahlreichen Sicherheitstools, die ein typischer CISO verwaltet, ist seit langem ein Problem. Mit 55 bis 75 verschiedenen Tools in ihrem Sicherheitsarsenal, das als das verwirrendste (im übertragenen Sinne) Schweizer Taschenmesser der Welt bezeichnet wird, sind 53 % der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten. Das ergab eine Studie des Ponemon Institute. Eine weitere Studie ergab, dass nur 17 % der CISOs ihre Sicherheitsmaßnahmen für „vollständig effektiv“ halten.
Burnout, Mangel an Sicherheitsfachkräften zur Deckung des Bedarfs, Anforderungen an Agilität – in diesem Bereich ist es eine Belastung, dass Sicherheitsexperten mit einer Vielzahl von Tools in Form von Daten, Berichten und Überwachungsaufgaben eine Informationsflut bewältigen müssen. Genau in solchen Szenarien kann es passieren, dass wichtige Warnungen übersehen werden, wenn die Schwachstelle von Log4j nicht richtig eingeschätzt wird.
Präventive Sicherheit muss eine entwicklerorientierte Bedrohungsmodellierung umfassen.
Code-Level-Schwachstellen werden häufig von Entwicklern eingeführt, und um sichere Codierungstechniken zu erlernen, sind genaue Anweisungen und regelmäßige Schulungen erforderlich. Entwicklern mit einem höheren Sicherheitsniveau wurde jedoch die Möglichkeit geboten, Threat Modeling als Teil des Softwareentwicklungsprozesses zu erlernen und zu praktizieren.
Es ist nicht verwunderlich, dass diejenigen, die ihre Software am besten kennen, die Entwickler sind, die sie erstellt haben. Sie verfügen über fundierte Kenntnisse darüber, wie Benutzer mit der Software interagieren, wo Funktionen verwendet werden und welche potenziellen Szenarien bei unzureichender Sicherheit zu einer Beschädigung oder einem Missbrauch der Software führen können.
Wenn man dieses Problem auf den Log4Shell-Exploit zurückführt, entsteht leider ein Szenario, in dem eine kritische Schwachstelle von Experten und komplexen Tools unentdeckt bleiben kann. Dies wäre jedoch möglicherweise gar nicht aufgetreten, wenn die Bibliothek so konfiguriert gewesen wäre, dass sie Benutzereingaben löscht . Die Entscheidung, dies nicht zu tun , scheint eine vage Funktion für zusätzlichen Komfort gewesen zu sein, die jedoch sehr leicht auszunutzen war (denken Sie an das Niveau einer SQL-Injection – das ist keine Genialität). Hätte eine Gruppe scharfsinniger und sicherheitsbewusster Entwickler eine Bedrohungsmodellierung durchgeführt, wäre es sehr wahrscheinlich, dass sie dieses Szenario theoretisiert und berücksichtigt hätte.
Ein hervorragendes Sicherheitsprogramm beinhaltet emotionale Elemente, bei denen menschliches Eingreifen und Nuancen entscheidend sind, um von Menschen verursachte Probleme zu lösen. Damit die Bedrohungsmodellierung effektiv ist, sind Empathie und Erfahrung erforderlich. Das Gleiche gilt für die Sicherheit beim Codieren und Konfigurieren auf der Ebene der Software- und Anwendungsarchitektur. Entwickler müssen sich nicht über Nacht in diese Themen vertiefen, aber es wäre ideal, wenn es einen klaren Weg gäbe, um die Technologien so weit zu verbessern, dass der Druck auf das Sicherheitsteam in Bezug auf diese wichtige Aufgabe verringert wird (und es wäre auch eine gute Möglichkeit, eine Beziehung zwischen den beiden Teams aufzubauen).
0 Tage werden zu n Tagen.
Der nächste Schritt bei der Reaktion auf Zero-Day-Angriffe besteht darin, den Patch so schnell wie möglich zu entfernen. Wir hoffen, dass alle Nutzer der betroffenen Software den Patch so schnell wie möglich und auf jeden Fall noch vor den Angreifern installieren. Log4Shell könnte sogar Heartbleed übertreffen, da es in Millionen von Geräten eingebaut ist und komplexe Abhängigkeiten in der gesamten Software-Entwicklung erzeugt, was ihm eine hohe Ausdauer und Wirksamkeit verleiht.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von raffinierten Angriffen vollständig zu verhindern. Aber wenn wir uns verpflichten, alle Mittel einzusetzen, um hochwertige und sichere Software zu entwickeln, und bei der Entwicklung mit derselben Denkweise wie bei kritischen Infrastrukturen vorgehen, haben wir alle eine Chance, dagegen anzukämpfen.
Eine Version dieses Artikels wurde veröffentlicht in: SC Magazine. Hier wurde er überarbeitet und syndiziert.
Wenn Sie jemals einen Einbruch in Ihrem Haus erlebt haben, wissen Sie, wie es sich anfühlt, wenn zunächst etwas nicht stimmt. Und dann wird Ihnen klar, dass tatsächlich etwas gestohlen wurde und in Ihre Privatsphäre eingedrungen wurde. Das führt in der Regel zu einem anhaltenden Unbehagen, ganz zu schweigen davon, dass Sie zu Sicherheitsmaßnahmen greifen, die denen von Fort Knox in nichts nachstehen.
Stellen Sie sich vor, Ihr Haus wurde aufgebrochen, weil Diebe sich selbst als Schlüssel benutzt haben. Sie schleichen nach Belieben hin und her, aber sie sind vorsichtig, um nicht entdeckt zu werden. Eines Tages jedoch verschwinden die im Gefrierschrank versteckten Schmuckstücke, der Safe ist leer und und die persönlichen Gegenstände wurden durchwühlt. Dies entspricht der Realität, mit der eine Organisation konfrontiert ist, wenn sie Opfer eines Zero-Day-Cyberangriffs wird. Laut einer Studie des Ponemon Institute aus dem Jahr 2020 waren 80 % der erfolgreichen Datenverletzungen das Ergebnis von Zero-Day-Exploits, und leider sind die meisten Unternehmen nicht darauf vorbereitet, diese Statistik deutlich zu verbessern.
Laut Definition gibt ein Zero-Day-Angriff dem Entwickler keine Zeit, bereits bekannte Schwachstellen zu finden und zu beheben, da der Angreifer zuerst eindringt. Nach dem Schaden kommt es zu einem hektischen Kampf, um sowohl den Schaden an der Software als auch den Rufschaden für das Unternehmen zu beheben. Da der Angreifer immer im Vorteil ist, ist es wichtig, sich selbst einen möglichst großen Vorteil zu verschaffen.
Das unerwünschte Weihnachtsgeschenk namens Log4Shell sorgt derzeit im Internet für Aufruhr. Über eine Milliarde Geräte sollen von dieser kritischen Java-Sicherheitslücke betroffen sein. Es wird erwartet, dass dies der schlimmste Zero-Day-Angriff aller Zeiten wird, und das ist erst der Anfang. Dennoch deuten einige Berichte darauf hin, dass der Exploit bereits einige Tage vor seiner Veröffentlichung gestartet wurde, und eine Präsentation auf der Black Hat-Konferenz 2016 lässt vermuten, dass dieses Problem schon seit einiger Zeit bekannt war. Zu allem Übel ist die Schwachstelle sehr leicht auszunutzen, sodass alle Scriptkiddies und Bedrohungsakteure auf der Welt diese Schwachstelle nutzen, um Daten zu stehlen.
Was ist dann der beste Weg, um sich vor heimtückischen und bösartigen Bedrohungen zu schützen, ganz zu schweigen von den Schwachstellen, die im Softwareentwicklungsprozess übersehen wurden? Schauen wir uns das einmal an.
Zero-Day-Angriffe auf große Ziele sind selten und mit hohen Kosten verbunden.
Im Dark Web gibt es einen riesigen Markt für Exploits. Ein Beispiel: Zero-Day-Exploits bringen in der Regel ziemlich viel Geld ein. Zum Zeitpunkt der Erstellung dieses Artikels war es für 2,5 Millionen Dollar gelistet. Es ist bekannt, dass es Apple iOS ausnutzt, daher ist es nicht verwunderlich, dass die Preisvorstellungen der Sicherheitsforscher in die Höhe geschossen sind. Schließlich kann es Millionen von Geräten beschädigen, Milliarden sensibler Datensätze sammeln und so lange wie möglich unentdeckt bleiben, bis es entdeckt und gepatcht wird.
Wer hat überhaupt so viel Geld? In der Regel beschaffen sich organisierte Cyberkriminelle Bargeld, wenn sie etwas für wertvoll halten. Das gilt insbesondere für die nach wie vor beliebten Ransomware-Angriffe. Allerdings gelten auch Regierungen und Verteidigungsministerien weltweit als Kunden für Exploits, die für die Bedrohungsaufklärung genutzt werden können. In einem positiveren Szenario könnten Unternehmen selbst potenzielle Zero-Day-Exploits kaufen, um Katastrophen abzuwenden.
Im Jahr 2021 wurde ein Rekord gebrochen. Bei der Entdeckung von Zero-Day-Exploits in Echtzeit sind große Organisationen, Regierungsbehörden und Infrastrukturen am stärksten von Sicherheitslücken bedroht. Es gibt zwar keine Möglichkeit, sich vollständig vor Zero-Day-Angriffen zu schützen, aber mit einem großzügigen und systematischen Bug-Bounty-Programm kann man das „Spiel“ bis zu einem gewissen Grad zu seinen Gunsten beeinflussen.Warten Sie nicht darauf, dass jemand auf dem Dark Web den Schlüssel zum Software-Schloss anbietet, sondern sichern Sie sich legale Sicherheits-Buffs und bieten Sie angemessene Belohnungen für ethische Offenlegungen und potenzielle Korrekturen.
Wenn die Zero-Day-Bedrohung zu groß ist, ist es sicherer anzunehmen, dass man mehr Geld ausgeben muss als für eine Amazon-Geschenkkarte (und das wäre es auch wert).
Die Bereitstellung von Tools kann in die Zuständigkeit des Sicherheitsbeauftragten fallen.
Die Verwaltung der zahlreichen Sicherheitstools, die ein typischer CISO verwaltet, ist seit langem ein Problem. Mit 55 bis 75 verschiedenen Tools in ihrem Sicherheitsarsenal, das als das verwirrendste (im übertragenen Sinne) Schweizer Taschenmesser der Welt bezeichnet wird, sind 53 % der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten. Das ergab eine Studie des Ponemon Institute. Eine weitere Studie ergab, dass nur 17 % der CISOs ihre Sicherheitsmaßnahmen für „vollständig effektiv“ halten.
Burnout, Mangel an Sicherheitsfachkräften zur Deckung des Bedarfs, Anforderungen an Agilität – in diesem Bereich ist es eine Belastung, dass Sicherheitsexperten mit einer Vielzahl von Tools in Form von Daten, Berichten und Überwachungsaufgaben eine Informationsflut bewältigen müssen. Genau in solchen Szenarien kann es passieren, dass wichtige Warnungen übersehen werden, wenn die Schwachstelle von Log4j nicht richtig eingeschätzt wird.
Präventive Sicherheit muss eine entwicklerorientierte Bedrohungsmodellierung umfassen.
Code-Level-Schwachstellen werden häufig von Entwicklern eingeführt, und um sichere Codierungstechniken zu erlernen, sind genaue Anweisungen und regelmäßige Schulungen erforderlich. Entwicklern mit einem höheren Sicherheitsniveau wurde jedoch die Möglichkeit geboten, Threat Modeling als Teil des Softwareentwicklungsprozesses zu erlernen und zu praktizieren.
Es ist nicht verwunderlich, dass diejenigen, die ihre Software am besten kennen, die Entwickler sind, die sie erstellt haben. Sie verfügen über fundierte Kenntnisse darüber, wie Benutzer mit der Software interagieren, wo Funktionen verwendet werden und welche potenziellen Szenarien bei unzureichender Sicherheit zu einer Beschädigung oder einem Missbrauch der Software führen können.
Wenn man dieses Problem auf den Log4Shell-Exploit zurückführt, entsteht leider ein Szenario, in dem eine kritische Schwachstelle von Experten und komplexen Tools unentdeckt bleiben kann. Dies wäre jedoch möglicherweise gar nicht aufgetreten, wenn die Bibliothek so konfiguriert gewesen wäre, dass sie Benutzereingaben löscht . Die Entscheidung, dies nicht zu tun , scheint eine vage Funktion für zusätzlichen Komfort gewesen zu sein, die jedoch sehr leicht auszunutzen war (denken Sie an das Niveau einer SQL-Injection – das ist keine Genialität). Hätte eine Gruppe scharfsinniger und sicherheitsbewusster Entwickler eine Bedrohungsmodellierung durchgeführt, wäre es sehr wahrscheinlich, dass sie dieses Szenario theoretisiert und berücksichtigt hätte.
Ein hervorragendes Sicherheitsprogramm beinhaltet emotionale Elemente, bei denen menschliches Eingreifen und Nuancen entscheidend sind, um von Menschen verursachte Probleme zu lösen. Damit die Bedrohungsmodellierung effektiv ist, sind Empathie und Erfahrung erforderlich. Das Gleiche gilt für die Sicherheit beim Codieren und Konfigurieren auf der Ebene der Software- und Anwendungsarchitektur. Entwickler müssen sich nicht über Nacht in diese Themen vertiefen, aber es wäre ideal, wenn es einen klaren Weg gäbe, um die Technologien so weit zu verbessern, dass der Druck auf das Sicherheitsteam in Bezug auf diese wichtige Aufgabe verringert wird (und es wäre auch eine gute Möglichkeit, eine Beziehung zwischen den beiden Teams aufzubauen).
0 Tage werden zu n Tagen.
Der nächste Schritt bei der Reaktion auf Zero-Day-Angriffe besteht darin, den Patch so schnell wie möglich zu entfernen. Wir hoffen, dass alle Nutzer der betroffenen Software den Patch so schnell wie möglich und auf jeden Fall noch vor den Angreifern installieren. Log4Shell könnte sogar Heartbleed übertreffen, da es in Millionen von Geräten eingebaut ist und komplexe Abhängigkeiten in der gesamten Software-Entwicklung erzeugt, was ihm eine hohe Ausdauer und Wirksamkeit verleiht.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von raffinierten Angriffen vollständig zu verhindern. Aber wenn wir uns verpflichten, alle Mittel einzusetzen, um hochwertige und sichere Software zu entwickeln, und bei der Entwicklung mit derselben Denkweise wie bei kritischen Infrastrukturen vorgehen, haben wir alle eine Chance, dagegen anzukämpfen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Eine Version dieses Artikels wurde veröffentlicht in: SC Magazine. Hier wurde er überarbeitet und syndiziert.
Wenn Sie jemals einen Einbruch in Ihrem Haus erlebt haben, wissen Sie, wie es sich anfühlt, wenn zunächst etwas nicht stimmt. Und dann wird Ihnen klar, dass tatsächlich etwas gestohlen wurde und in Ihre Privatsphäre eingedrungen wurde. Das führt in der Regel zu einem anhaltenden Unbehagen, ganz zu schweigen davon, dass Sie zu Sicherheitsmaßnahmen greifen, die denen von Fort Knox in nichts nachstehen.
Stellen Sie sich vor, Ihr Haus wurde aufgebrochen, weil Diebe sich selbst als Schlüssel benutzt haben. Sie schleichen nach Belieben hin und her, aber sie sind vorsichtig, um nicht entdeckt zu werden. Eines Tages jedoch verschwinden die im Gefrierschrank versteckten Schmuckstücke, der Safe ist leer und und die persönlichen Gegenstände wurden durchwühlt. Dies entspricht der Realität, mit der eine Organisation konfrontiert ist, wenn sie Opfer eines Zero-Day-Cyberangriffs wird. Laut einer Studie des Ponemon Institute aus dem Jahr 2020 waren 80 % der erfolgreichen Datenverletzungen das Ergebnis von Zero-Day-Exploits, und leider sind die meisten Unternehmen nicht darauf vorbereitet, diese Statistik deutlich zu verbessern.
Laut Definition gibt ein Zero-Day-Angriff dem Entwickler keine Zeit, bereits bekannte Schwachstellen zu finden und zu beheben, da der Angreifer zuerst eindringt. Nach dem Schaden kommt es zu einem hektischen Kampf, um sowohl den Schaden an der Software als auch den Rufschaden für das Unternehmen zu beheben. Da der Angreifer immer im Vorteil ist, ist es wichtig, sich selbst einen möglichst großen Vorteil zu verschaffen.
Das unerwünschte Weihnachtsgeschenk namens Log4Shell sorgt derzeit im Internet für Aufruhr. Über eine Milliarde Geräte sollen von dieser kritischen Java-Sicherheitslücke betroffen sein. Es wird erwartet, dass dies der schlimmste Zero-Day-Angriff aller Zeiten wird, und das ist erst der Anfang. Dennoch deuten einige Berichte darauf hin, dass der Exploit bereits einige Tage vor seiner Veröffentlichung gestartet wurde, und eine Präsentation auf der Black Hat-Konferenz 2016 lässt vermuten, dass dieses Problem schon seit einiger Zeit bekannt war. Zu allem Übel ist die Schwachstelle sehr leicht auszunutzen, sodass alle Scriptkiddies und Bedrohungsakteure auf der Welt diese Schwachstelle nutzen, um Daten zu stehlen.
Was ist dann der beste Weg, um sich vor heimtückischen und bösartigen Bedrohungen zu schützen, ganz zu schweigen von den Schwachstellen, die im Softwareentwicklungsprozess übersehen wurden? Schauen wir uns das einmal an.
Zero-Day-Angriffe auf große Ziele sind selten und mit hohen Kosten verbunden.
Im Dark Web gibt es einen riesigen Markt für Exploits. Ein Beispiel: Zero-Day-Exploits bringen in der Regel ziemlich viel Geld ein. Zum Zeitpunkt der Erstellung dieses Artikels war es für 2,5 Millionen Dollar gelistet. Es ist bekannt, dass es Apple iOS ausnutzt, daher ist es nicht verwunderlich, dass die Preisvorstellungen der Sicherheitsforscher in die Höhe geschossen sind. Schließlich kann es Millionen von Geräten beschädigen, Milliarden sensibler Datensätze sammeln und so lange wie möglich unentdeckt bleiben, bis es entdeckt und gepatcht wird.
Wer hat überhaupt so viel Geld? In der Regel beschaffen sich organisierte Cyberkriminelle Bargeld, wenn sie etwas für wertvoll halten. Das gilt insbesondere für die nach wie vor beliebten Ransomware-Angriffe. Allerdings gelten auch Regierungen und Verteidigungsministerien weltweit als Kunden für Exploits, die für die Bedrohungsaufklärung genutzt werden können. In einem positiveren Szenario könnten Unternehmen selbst potenzielle Zero-Day-Exploits kaufen, um Katastrophen abzuwenden.
Im Jahr 2021 wurde ein Rekord gebrochen. Bei der Entdeckung von Zero-Day-Exploits in Echtzeit sind große Organisationen, Regierungsbehörden und Infrastrukturen am stärksten von Sicherheitslücken bedroht. Es gibt zwar keine Möglichkeit, sich vollständig vor Zero-Day-Angriffen zu schützen, aber mit einem großzügigen und systematischen Bug-Bounty-Programm kann man das „Spiel“ bis zu einem gewissen Grad zu seinen Gunsten beeinflussen.Warten Sie nicht darauf, dass jemand auf dem Dark Web den Schlüssel zum Software-Schloss anbietet, sondern sichern Sie sich legale Sicherheits-Buffs und bieten Sie angemessene Belohnungen für ethische Offenlegungen und potenzielle Korrekturen.
Wenn die Zero-Day-Bedrohung zu groß ist, ist es sicherer anzunehmen, dass man mehr Geld ausgeben muss als für eine Amazon-Geschenkkarte (und das wäre es auch wert).
Die Bereitstellung von Tools kann in die Zuständigkeit des Sicherheitsbeauftragten fallen.
Die Verwaltung der zahlreichen Sicherheitstools, die ein typischer CISO verwaltet, ist seit langem ein Problem. Mit 55 bis 75 verschiedenen Tools in ihrem Sicherheitsarsenal, das als das verwirrendste (im übertragenen Sinne) Schweizer Taschenmesser der Welt bezeichnet wird, sind 53 % der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten. Das ergab eine Studie des Ponemon Institute. Eine weitere Studie ergab, dass nur 17 % der CISOs ihre Sicherheitsmaßnahmen für „vollständig effektiv“ halten.
Burnout, Mangel an Sicherheitsfachkräften zur Deckung des Bedarfs, Anforderungen an Agilität – in diesem Bereich ist es eine Belastung, dass Sicherheitsexperten mit einer Vielzahl von Tools in Form von Daten, Berichten und Überwachungsaufgaben eine Informationsflut bewältigen müssen. Genau in solchen Szenarien kann es passieren, dass wichtige Warnungen übersehen werden, wenn die Schwachstelle von Log4j nicht richtig eingeschätzt wird.
Präventive Sicherheit muss eine entwicklerorientierte Bedrohungsmodellierung umfassen.
Code-Level-Schwachstellen werden häufig von Entwicklern eingeführt, und um sichere Codierungstechniken zu erlernen, sind genaue Anweisungen und regelmäßige Schulungen erforderlich. Entwicklern mit einem höheren Sicherheitsniveau wurde jedoch die Möglichkeit geboten, Threat Modeling als Teil des Softwareentwicklungsprozesses zu erlernen und zu praktizieren.
Es ist nicht verwunderlich, dass diejenigen, die ihre Software am besten kennen, die Entwickler sind, die sie erstellt haben. Sie verfügen über fundierte Kenntnisse darüber, wie Benutzer mit der Software interagieren, wo Funktionen verwendet werden und welche potenziellen Szenarien bei unzureichender Sicherheit zu einer Beschädigung oder einem Missbrauch der Software führen können.
Wenn man dieses Problem auf den Log4Shell-Exploit zurückführt, entsteht leider ein Szenario, in dem eine kritische Schwachstelle von Experten und komplexen Tools unentdeckt bleiben kann. Dies wäre jedoch möglicherweise gar nicht aufgetreten, wenn die Bibliothek so konfiguriert gewesen wäre, dass sie Benutzereingaben löscht . Die Entscheidung, dies nicht zu tun , scheint eine vage Funktion für zusätzlichen Komfort gewesen zu sein, die jedoch sehr leicht auszunutzen war (denken Sie an das Niveau einer SQL-Injection – das ist keine Genialität). Hätte eine Gruppe scharfsinniger und sicherheitsbewusster Entwickler eine Bedrohungsmodellierung durchgeführt, wäre es sehr wahrscheinlich, dass sie dieses Szenario theoretisiert und berücksichtigt hätte.
Ein hervorragendes Sicherheitsprogramm beinhaltet emotionale Elemente, bei denen menschliches Eingreifen und Nuancen entscheidend sind, um von Menschen verursachte Probleme zu lösen. Damit die Bedrohungsmodellierung effektiv ist, sind Empathie und Erfahrung erforderlich. Das Gleiche gilt für die Sicherheit beim Codieren und Konfigurieren auf der Ebene der Software- und Anwendungsarchitektur. Entwickler müssen sich nicht über Nacht in diese Themen vertiefen, aber es wäre ideal, wenn es einen klaren Weg gäbe, um die Technologien so weit zu verbessern, dass der Druck auf das Sicherheitsteam in Bezug auf diese wichtige Aufgabe verringert wird (und es wäre auch eine gute Möglichkeit, eine Beziehung zwischen den beiden Teams aufzubauen).
0 Tage werden zu n Tagen.
Der nächste Schritt bei der Reaktion auf Zero-Day-Angriffe besteht darin, den Patch so schnell wie möglich zu entfernen. Wir hoffen, dass alle Nutzer der betroffenen Software den Patch so schnell wie möglich und auf jeden Fall noch vor den Angreifern installieren. Log4Shell könnte sogar Heartbleed übertreffen, da es in Millionen von Geräten eingebaut ist und komplexe Abhängigkeiten in der gesamten Software-Entwicklung erzeugt, was ihm eine hohe Ausdauer und Wirksamkeit verleiht.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von raffinierten Angriffen vollständig zu verhindern. Aber wenn wir uns verpflichten, alle Mittel einzusetzen, um hochwertige und sichere Software zu entwickeln, und bei der Entwicklung mit derselben Denkweise wie bei kritischen Infrastrukturen vorgehen, haben wir alle eine Chance, dagegen anzukämpfen.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
