Die Zukunft der Cybersicherheit: Was im kommenden Jahr NICHT passieren WIRD
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
In unserer Branche haben viele Sicherheitsexperten damit begonnen, die wichtigsten Probleme für das Jahr vorherzusagen. Angesichts der Tatsache, dass 2019 mehr als fünf Milliarden vertrauliche Datensätze gestohlen wurden, dachten wir, dass es genauer wäre, vorherzusagen, was in absehbarer Zeit im Bereich Cybersicherheit nicht passieren wird.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
