隐藏在众目之外:为什么 SolarWinds 攻击所揭示的不仅仅是恶意网络风险
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
