Warum SQL-Injection das Ungeziefer der AppSec-Welt ist (und wie CISOs sie ein für alle Mal ausmerzen können)
Es gibt eine weit verbreitete Theorie, dass Kakerlaken unter fast allen Umständen überleben können, sogar nach einer nuklearen Explosion. Obwohl diese Theorie bis zu einem gewissen Grad richtig ist, macht ihre einfache Körperstruktur sie extrem widerstandsfähig gegenüber Kälte und unter den meisten Bedingungen schwer zu beseitigen.
Ich habe immer darüber nachgedacht... Wenn es in der digitalen Welt eine ähnliche Schwachstelle wie bei Kakerlaken gibt, dann muss es sich um eine SQL-Injection-Schwachstelle (SQLi) im Code handeln. Seit mehr als zwanzig Jahren ist diese Schwachstelle bekannt, aber immer wieder werden Organisationen Opfer davon. Die Kosten für Angriffe auf Ziele sind hoch, angestrebten Angriffe sind das Ergebnis von SQL-Injection, wie beispielsweise der Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitsvorkehrungen zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva enthüllt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenlecks SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA und gehören zu den Top 10 der OWASP-Liste. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass bei einer Vielzahl von Anwendungssicherheitsscans immer noch dieselben Schwachstellen auftreten. Wir wissen, wie sie funktionieren, und wir wissen, wie wir sie verhindern können. Wie ist das möglich? Tatsache ist, dass es bei der Sicherheit unserer Software noch viel Raum für Verbesserungen gibt.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – zeigt eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllen die OWASP-Top-10-Richtlinien. In den letzten fünf Jahren war dies ein durchgängiges Thema: Bei fast einem Drittel der neu gescannten Anwendungen wurde SQL-Injection festgestellt. Dies ist ein Beweis für ein weit verbreitetes Problem:Wir haben nicht aus unseren Fehlern gelernt, und Chief Information Security Officers scheinen Schwierigkeiten zu haben, genügend Sicherheitsfachkräfte zu finden. In der Regel beträgt das Verhältnis von AppSec-Experten zu Entwicklern weniger als 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis mehr, dass es einen Mangel an Fachkräften im Bereich Sicherheit gibt, aber wir müssen auch die Tatsache berücksichtigen, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und offensichtlich von Anfang an nicht in der Lage sind, keine Schwachstellen einzuführen. Im selben Veracode-Bericht wird offenbart, dass von allen entwickelten Schwachstellen nur 14,4 % der Abhilfemaßnahmen dokumentiert wurden. Mit anderen Worten:die meisten Sicherheitslücken ohne entwickelte Abhilfemaßnahmen gemeldet werden. Weniger als ein Drittel der Sicherheitslücken wird innerhalb der ersten 90 Tage geschlossen, und 42 % der Sicherheitslücken werden während der Entwicklung nie geschlossen.
Ich habe mich mit Sicherheitsexperten, Chief Information Security Officers und CEOs unterhalten und dabei festgestellt, dass viele Unternehmen von den gefundenen, nicht behebbaren Schwachstellen (und dem Übel der Fehlalarme) so frustriert sind, dass sie die Überprüfung dieser Schwachstellen komplett eingestellt haben und nun die Daumen drücken, dass alles gut geht.
Warum lassen AppSec-Fachleute so etwas zu?
Es besteht kein Zweifel: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist dies eine ihrer Kernkompetenzen, die sie zu so wertvollen Teammitgliedern macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise entdeckt der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen sind Entwickler so sehr mit der Erfüllung strenger Funktionslieferungs-Sprints beschäftigt, dass sie einfach keine Zeit haben, diese Probleme zu beheben, und auch nicht über geeignete Tools verfügen, die ihnen dabei helfen könnten. AppSec-Fachleute können Schwachstellen vielleicht selbst erkennen, verfügen jedoch in der Regel nicht über die erforderlichen Fähigkeiten und/oder Berechtigungen, um diese Schwachstellen vor Ort zu beheben.
Wir müssen uns auch bewusst sein, dass es für jedes Problem einen Prozess gibt, in dem eine Lösung gefunden,diese umzusetzen und anschließend zu testen. Selbst bei kleinsten Problemen im Code ist der Zeitaufwand für die Behebung enorm, ganz zu schweigen von den erforderlichen Ressourcen. In einer Software können mehr als 700 Schwachstellen auftreten, und es ist unmöglich, sich gegen alle zu schützen. Aus diesem Grund konzentrieren sich die meisten Unternehmen ausschließlich auf die OWASP Top 10. Gleichzeitig entwickeln Entwickler ständig neue Funktionen und führen damit immer wieder Schwachstellen in den von ihnen geschriebenen Code ein.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir Entwicklern keine Tools und Schulungen zur Verfügung stellen, die den Erfolg sicherer Programmierung fördern. Es gibt keine Vorschriften, die Organisationen dazu verpflichten, sicherzustellen, dass Entwickler über ausreichende Sicherheitskenntnisse verfügen. Die traurige Realität ist, dass auch die meisten Universitäten und Ausbildungsstätten junge Entwickler nicht auf sicheres Programmieren vorbereiten.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Wir müssen uns Zeit nehmen, um Entwicklern beizubringen, wie man sicheren Code schreibt. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es einen Mangel an guten Entwicklern und Sicherheitsexperten gibt, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Die jüngste Schlagzeile des Weltwirtschaftsforums lautet: „Ohne Sicherheit gibt es keine digitale Wirtschaft“. Der dazugehörige Artikel vertritt die Ansicht, dass Sicherheit ein zentraler Bestandteil jeder Strategie zur digitalen Transformation sein muss. „Sicherheit ist der Schlüssel zum Schutz von Unternehmen, damit diese innovativ sein und neue Produkte und Dienstleistungen entwickeln können. Neben ihrer defensiven Funktion verschafft Sicherheit Unternehmen auch strategische Wachstumsvorteile.“
Die Verbesserung der Fähigkeiten und Ergebnisse im Bereich der sicheren Programmierung wird Organisationen eine starke zusätzliche Schutzschicht im Internet bieten und ihnen helfen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktive und praktische Fähigkeiten erwerben, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind sehr intelligente Menschen, kreative Problemlöser und in der Regel daran interessiert, ihre Fähigkeiten weiterzuentwickeln. Nutzen Sie Ihre Stärken durch angemessene Fachschulungen und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Es gibt eine weit verbreitete Theorie, dass Kakerlaken im Grunde genommen unter allen Umständen überleben können, sogar unter den Bedingungen einer nuklearen Explosion.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt eine weit verbreitete Theorie, dass Kakerlaken unter fast allen Umständen überleben können, sogar nach einer nuklearen Explosion. Obwohl diese Theorie bis zu einem gewissen Grad richtig ist, macht ihre einfache Körperstruktur sie extrem widerstandsfähig gegenüber Kälte und unter den meisten Bedingungen schwer zu beseitigen.
Ich habe immer darüber nachgedacht... Wenn es in der digitalen Welt eine ähnliche Schwachstelle wie bei Kakerlaken gibt, dann muss es sich um eine SQL-Injection-Schwachstelle (SQLi) im Code handeln. Seit mehr als zwanzig Jahren ist diese Schwachstelle bekannt, aber immer wieder werden Organisationen Opfer davon. Die Kosten für Angriffe auf Ziele sind hoch, angestrebten Angriffe sind das Ergebnis von SQL-Injection, wie beispielsweise der Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitsvorkehrungen zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva enthüllt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenlecks SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA und gehören zu den Top 10 der OWASP-Liste. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass bei einer Vielzahl von Anwendungssicherheitsscans immer noch dieselben Schwachstellen auftreten. Wir wissen, wie sie funktionieren, und wir wissen, wie wir sie verhindern können. Wie ist das möglich? Tatsache ist, dass es bei der Sicherheit unserer Software noch viel Raum für Verbesserungen gibt.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – zeigt eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllen die OWASP-Top-10-Richtlinien. In den letzten fünf Jahren war dies ein durchgängiges Thema: Bei fast einem Drittel der neu gescannten Anwendungen wurde SQL-Injection festgestellt. Dies ist ein Beweis für ein weit verbreitetes Problem:Wir haben nicht aus unseren Fehlern gelernt, und Chief Information Security Officers scheinen Schwierigkeiten zu haben, genügend Sicherheitsfachkräfte zu finden. In der Regel beträgt das Verhältnis von AppSec-Experten zu Entwicklern weniger als 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis mehr, dass es einen Mangel an Fachkräften im Bereich Sicherheit gibt, aber wir müssen auch die Tatsache berücksichtigen, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und offensichtlich von Anfang an nicht in der Lage sind, keine Schwachstellen einzuführen. Im selben Veracode-Bericht wird offenbart, dass von allen entwickelten Schwachstellen nur 14,4 % der Abhilfemaßnahmen dokumentiert wurden. Mit anderen Worten:die meisten Sicherheitslücken ohne entwickelte Abhilfemaßnahmen gemeldet werden. Weniger als ein Drittel der Sicherheitslücken wird innerhalb der ersten 90 Tage geschlossen, und 42 % der Sicherheitslücken werden während der Entwicklung nie geschlossen.
Ich habe mich mit Sicherheitsexperten, Chief Information Security Officers und CEOs unterhalten und dabei festgestellt, dass viele Unternehmen von den gefundenen, nicht behebbaren Schwachstellen (und dem Übel der Fehlalarme) so frustriert sind, dass sie die Überprüfung dieser Schwachstellen komplett eingestellt haben und nun die Daumen drücken, dass alles gut geht.
Warum lassen AppSec-Fachleute so etwas zu?
Es besteht kein Zweifel: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist dies eine ihrer Kernkompetenzen, die sie zu so wertvollen Teammitgliedern macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise entdeckt der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen sind Entwickler so sehr mit der Erfüllung strenger Funktionslieferungs-Sprints beschäftigt, dass sie einfach keine Zeit haben, diese Probleme zu beheben, und auch nicht über geeignete Tools verfügen, die ihnen dabei helfen könnten. AppSec-Fachleute können Schwachstellen vielleicht selbst erkennen, verfügen jedoch in der Regel nicht über die erforderlichen Fähigkeiten und/oder Berechtigungen, um diese Schwachstellen vor Ort zu beheben.
Wir müssen uns auch bewusst sein, dass es für jedes Problem einen Prozess gibt, in dem eine Lösung gefunden,diese umzusetzen und anschließend zu testen. Selbst bei kleinsten Problemen im Code ist der Zeitaufwand für die Behebung enorm, ganz zu schweigen von den erforderlichen Ressourcen. In einer Software können mehr als 700 Schwachstellen auftreten, und es ist unmöglich, sich gegen alle zu schützen. Aus diesem Grund konzentrieren sich die meisten Unternehmen ausschließlich auf die OWASP Top 10. Gleichzeitig entwickeln Entwickler ständig neue Funktionen und führen damit immer wieder Schwachstellen in den von ihnen geschriebenen Code ein.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir Entwicklern keine Tools und Schulungen zur Verfügung stellen, die den Erfolg sicherer Programmierung fördern. Es gibt keine Vorschriften, die Organisationen dazu verpflichten, sicherzustellen, dass Entwickler über ausreichende Sicherheitskenntnisse verfügen. Die traurige Realität ist, dass auch die meisten Universitäten und Ausbildungsstätten junge Entwickler nicht auf sicheres Programmieren vorbereiten.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Wir müssen uns Zeit nehmen, um Entwicklern beizubringen, wie man sicheren Code schreibt. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es einen Mangel an guten Entwicklern und Sicherheitsexperten gibt, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Die jüngste Schlagzeile des Weltwirtschaftsforums lautet: „Ohne Sicherheit gibt es keine digitale Wirtschaft“. Der dazugehörige Artikel vertritt die Ansicht, dass Sicherheit ein zentraler Bestandteil jeder Strategie zur digitalen Transformation sein muss. „Sicherheit ist der Schlüssel zum Schutz von Unternehmen, damit diese innovativ sein und neue Produkte und Dienstleistungen entwickeln können. Neben ihrer defensiven Funktion verschafft Sicherheit Unternehmen auch strategische Wachstumsvorteile.“
Die Verbesserung der Fähigkeiten und Ergebnisse im Bereich der sicheren Programmierung wird Organisationen eine starke zusätzliche Schutzschicht im Internet bieten und ihnen helfen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktive und praktische Fähigkeiten erwerben, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind sehr intelligente Menschen, kreative Problemlöser und in der Regel daran interessiert, ihre Fähigkeiten weiterzuentwickeln. Nutzen Sie Ihre Stärken durch angemessene Fachschulungen und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Es gibt eine weit verbreitete Theorie, dass Kakerlaken unter fast allen Umständen überleben können, sogar nach einer nuklearen Explosion. Obwohl diese Theorie bis zu einem gewissen Grad richtig ist, macht ihre einfache Körperstruktur sie extrem widerstandsfähig gegenüber Kälte und unter den meisten Bedingungen schwer zu beseitigen.
Ich habe immer darüber nachgedacht... Wenn es in der digitalen Welt eine ähnliche Schwachstelle wie bei Kakerlaken gibt, dann muss es sich um eine SQL-Injection-Schwachstelle (SQLi) im Code handeln. Seit mehr als zwanzig Jahren ist diese Schwachstelle bekannt, aber immer wieder werden Organisationen Opfer davon. Die Kosten für Angriffe auf Ziele sind hoch, angestrebten Angriffe sind das Ergebnis von SQL-Injection, wie beispielsweise der Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitsvorkehrungen zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva enthüllt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenlecks SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA und gehören zu den Top 10 der OWASP-Liste. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass bei einer Vielzahl von Anwendungssicherheitsscans immer noch dieselben Schwachstellen auftreten. Wir wissen, wie sie funktionieren, und wir wissen, wie wir sie verhindern können. Wie ist das möglich? Tatsache ist, dass es bei der Sicherheit unserer Software noch viel Raum für Verbesserungen gibt.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – zeigt eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllen die OWASP-Top-10-Richtlinien. In den letzten fünf Jahren war dies ein durchgängiges Thema: Bei fast einem Drittel der neu gescannten Anwendungen wurde SQL-Injection festgestellt. Dies ist ein Beweis für ein weit verbreitetes Problem:Wir haben nicht aus unseren Fehlern gelernt, und Chief Information Security Officers scheinen Schwierigkeiten zu haben, genügend Sicherheitsfachkräfte zu finden. In der Regel beträgt das Verhältnis von AppSec-Experten zu Entwicklern weniger als 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis mehr, dass es einen Mangel an Fachkräften im Bereich Sicherheit gibt, aber wir müssen auch die Tatsache berücksichtigen, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und offensichtlich von Anfang an nicht in der Lage sind, keine Schwachstellen einzuführen. Im selben Veracode-Bericht wird offenbart, dass von allen entwickelten Schwachstellen nur 14,4 % der Abhilfemaßnahmen dokumentiert wurden. Mit anderen Worten:die meisten Sicherheitslücken ohne entwickelte Abhilfemaßnahmen gemeldet werden. Weniger als ein Drittel der Sicherheitslücken wird innerhalb der ersten 90 Tage geschlossen, und 42 % der Sicherheitslücken werden während der Entwicklung nie geschlossen.
Ich habe mich mit Sicherheitsexperten, Chief Information Security Officers und CEOs unterhalten und dabei festgestellt, dass viele Unternehmen von den gefundenen, nicht behebbaren Schwachstellen (und dem Übel der Fehlalarme) so frustriert sind, dass sie die Überprüfung dieser Schwachstellen komplett eingestellt haben und nun die Daumen drücken, dass alles gut geht.
Warum lassen AppSec-Fachleute so etwas zu?
Es besteht kein Zweifel: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist dies eine ihrer Kernkompetenzen, die sie zu so wertvollen Teammitgliedern macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise entdeckt der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen sind Entwickler so sehr mit der Erfüllung strenger Funktionslieferungs-Sprints beschäftigt, dass sie einfach keine Zeit haben, diese Probleme zu beheben, und auch nicht über geeignete Tools verfügen, die ihnen dabei helfen könnten. AppSec-Fachleute können Schwachstellen vielleicht selbst erkennen, verfügen jedoch in der Regel nicht über die erforderlichen Fähigkeiten und/oder Berechtigungen, um diese Schwachstellen vor Ort zu beheben.
Wir müssen uns auch bewusst sein, dass es für jedes Problem einen Prozess gibt, in dem eine Lösung gefunden,diese umzusetzen und anschließend zu testen. Selbst bei kleinsten Problemen im Code ist der Zeitaufwand für die Behebung enorm, ganz zu schweigen von den erforderlichen Ressourcen. In einer Software können mehr als 700 Schwachstellen auftreten, und es ist unmöglich, sich gegen alle zu schützen. Aus diesem Grund konzentrieren sich die meisten Unternehmen ausschließlich auf die OWASP Top 10. Gleichzeitig entwickeln Entwickler ständig neue Funktionen und führen damit immer wieder Schwachstellen in den von ihnen geschriebenen Code ein.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir Entwicklern keine Tools und Schulungen zur Verfügung stellen, die den Erfolg sicherer Programmierung fördern. Es gibt keine Vorschriften, die Organisationen dazu verpflichten, sicherzustellen, dass Entwickler über ausreichende Sicherheitskenntnisse verfügen. Die traurige Realität ist, dass auch die meisten Universitäten und Ausbildungsstätten junge Entwickler nicht auf sicheres Programmieren vorbereiten.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Wir müssen uns Zeit nehmen, um Entwicklern beizubringen, wie man sicheren Code schreibt. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es einen Mangel an guten Entwicklern und Sicherheitsexperten gibt, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Die jüngste Schlagzeile des Weltwirtschaftsforums lautet: „Ohne Sicherheit gibt es keine digitale Wirtschaft“. Der dazugehörige Artikel vertritt die Ansicht, dass Sicherheit ein zentraler Bestandteil jeder Strategie zur digitalen Transformation sein muss. „Sicherheit ist der Schlüssel zum Schutz von Unternehmen, damit diese innovativ sein und neue Produkte und Dienstleistungen entwickeln können. Neben ihrer defensiven Funktion verschafft Sicherheit Unternehmen auch strategische Wachstumsvorteile.“
Die Verbesserung der Fähigkeiten und Ergebnisse im Bereich der sicheren Programmierung wird Organisationen eine starke zusätzliche Schutzschicht im Internet bieten und ihnen helfen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktive und praktische Fähigkeiten erwerben, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind sehr intelligente Menschen, kreative Problemlöser und in der Regel daran interessiert, ihre Fähigkeiten weiterzuentwickeln. Nutzen Sie Ihre Stärken durch angemessene Fachschulungen und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt eine weit verbreitete Theorie, dass Kakerlaken unter fast allen Umständen überleben können, sogar nach einer nuklearen Explosion. Obwohl diese Theorie bis zu einem gewissen Grad richtig ist, macht ihre einfache Körperstruktur sie extrem widerstandsfähig gegenüber Kälte und unter den meisten Bedingungen schwer zu beseitigen.
Ich habe immer darüber nachgedacht... Wenn es in der digitalen Welt eine ähnliche Schwachstelle wie bei Kakerlaken gibt, dann muss es sich um eine SQL-Injection-Schwachstelle (SQLi) im Code handeln. Seit mehr als zwanzig Jahren ist diese Schwachstelle bekannt, aber immer wieder werden Organisationen Opfer davon. Die Kosten für Angriffe auf Ziele sind hoch, angestrebten Angriffe sind das Ergebnis von SQL-Injection, wie beispielsweise der Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, unverzüglich Maßnahmen zur Verbesserung der Sicherheitsvorkehrungen zu ergreifen.
Der Hacker Intelligence Initiative Report von Imperva enthüllt, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenlecks SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen die größte Bedrohung in den USA und gehören zu den Top 10 der OWASP-Liste. Sie sind relativ einfach, aber sie sterben einfach nicht aus.
Es erscheint absurd, dass bei einer Vielzahl von Anwendungssicherheitsscans immer noch dieselben Schwachstellen auftreten. Wir wissen, wie sie funktionieren, und wir wissen, wie wir sie verhindern können. Wie ist das möglich? Tatsache ist, dass es bei der Sicherheit unserer Software noch viel Raum für Verbesserungen gibt.
Der Software-Sicherheitsbericht von Veracode – basierend auf 400.000 Anwendungsscans im Jahr 2017 – zeigt eine alarmierende Statistik: Nur 30 % der Anwendungen erfüllen die OWASP-Top-10-Richtlinien. In den letzten fünf Jahren war dies ein durchgängiges Thema: Bei fast einem Drittel der neu gescannten Anwendungen wurde SQL-Injection festgestellt. Dies ist ein Beweis für ein weit verbreitetes Problem:Wir haben nicht aus unseren Fehlern gelernt, und Chief Information Security Officers scheinen Schwierigkeiten zu haben, genügend Sicherheitsfachkräfte zu finden. In der Regel beträgt das Verhältnis von AppSec-Experten zu Entwicklern weniger als 1:100.
Warum ist Softwaresicherheit lebenswichtig?
Es ist kein Geheimnis mehr, dass es einen Mangel an Fachkräften im Bereich Sicherheit gibt, aber wir müssen auch die Tatsache berücksichtigen, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und offensichtlich von Anfang an nicht in der Lage sind, keine Schwachstellen einzuführen. Im selben Veracode-Bericht wird offenbart, dass von allen entwickelten Schwachstellen nur 14,4 % der Abhilfemaßnahmen dokumentiert wurden. Mit anderen Worten:die meisten Sicherheitslücken ohne entwickelte Abhilfemaßnahmen gemeldet werden. Weniger als ein Drittel der Sicherheitslücken wird innerhalb der ersten 90 Tage geschlossen, und 42 % der Sicherheitslücken werden während der Entwicklung nie geschlossen.
Ich habe mich mit Sicherheitsexperten, Chief Information Security Officers und CEOs unterhalten und dabei festgestellt, dass viele Unternehmen von den gefundenen, nicht behebbaren Schwachstellen (und dem Übel der Fehlalarme) so frustriert sind, dass sie die Überprüfung dieser Schwachstellen komplett eingestellt haben und nun die Daumen drücken, dass alles gut geht.
Warum lassen AppSec-Fachleute so etwas zu?
Es besteht kein Zweifel: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist dies eine ihrer Kernkompetenzen, die sie zu so wertvollen Teammitgliedern macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.
Beispielsweise entdeckt der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen sind Entwickler so sehr mit der Erfüllung strenger Funktionslieferungs-Sprints beschäftigt, dass sie einfach keine Zeit haben, diese Probleme zu beheben, und auch nicht über geeignete Tools verfügen, die ihnen dabei helfen könnten. AppSec-Fachleute können Schwachstellen vielleicht selbst erkennen, verfügen jedoch in der Regel nicht über die erforderlichen Fähigkeiten und/oder Berechtigungen, um diese Schwachstellen vor Ort zu beheben.
Wir müssen uns auch bewusst sein, dass es für jedes Problem einen Prozess gibt, in dem eine Lösung gefunden,diese umzusetzen und anschließend zu testen. Selbst bei kleinsten Problemen im Code ist der Zeitaufwand für die Behebung enorm, ganz zu schweigen von den erforderlichen Ressourcen. In einer Software können mehr als 700 Schwachstellen auftreten, und es ist unmöglich, sich gegen alle zu schützen. Aus diesem Grund konzentrieren sich die meisten Unternehmen ausschließlich auf die OWASP Top 10. Gleichzeitig entwickeln Entwickler ständig neue Funktionen und führen damit immer wieder Schwachstellen in den von ihnen geschriebenen Code ein.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir Entwicklern keine Tools und Schulungen zur Verfügung stellen, die den Erfolg sicherer Programmierung fördern. Es gibt keine Vorschriften, die Organisationen dazu verpflichten, sicherzustellen, dass Entwickler über ausreichende Sicherheitskenntnisse verfügen. Die traurige Realität ist, dass auch die meisten Universitäten und Ausbildungsstätten junge Entwickler nicht auf sicheres Programmieren vorbereiten.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Wir müssen uns Zeit nehmen, um Entwicklern beizubringen, wie man sicheren Code schreibt. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es einen Mangel an guten Entwicklern und Sicherheitsexperten gibt, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Die jüngste Schlagzeile des Weltwirtschaftsforums lautet: „Ohne Sicherheit gibt es keine digitale Wirtschaft“. Der dazugehörige Artikel vertritt die Ansicht, dass Sicherheit ein zentraler Bestandteil jeder Strategie zur digitalen Transformation sein muss. „Sicherheit ist der Schlüssel zum Schutz von Unternehmen, damit diese innovativ sein und neue Produkte und Dienstleistungen entwickeln können. Neben ihrer defensiven Funktion verschafft Sicherheit Unternehmen auch strategische Wachstumsvorteile.“
Die Verbesserung der Fähigkeiten und Ergebnisse im Bereich der sicheren Programmierung wird Organisationen eine starke zusätzliche Schutzschicht im Internet bieten und ihnen helfen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten sein, aber sie müssen aktive und praktische Fähigkeiten erwerben, um die erste Verteidigungslinie gegen Cyberangriffe zu bilden. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind sehr intelligente Menschen, kreative Problemlöser und in der Regel daran interessiert, ihre Fähigkeiten weiterzuentwickeln. Nutzen Sie Ihre Stärken durch angemessene Fachschulungen und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie unser Whitepaper, um mehr zu erfahren.
Wenn jemand ein Flugzeug steuern möchte, gibt es einen sehr strengen Prozess, der sicherstellt, dass er vor dem Flug eine Ausbildung, praktische Erfahrung, eine ärztliche Untersuchung, Sicherheitskenntnisse und eine Überprüfung erhält. Niemand kann sich vorstellen, dass man ohne eine so umfassende Vorbereitung und Überprüfung der Fähigkeiten einfach so losfliegen darf, aber genau das passiert jeden Tag beim Programmieren.
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
