Analyse der Cybersicherheitsbranche: Eine weitere wiederkehrende Sicherheitslücke, die wir korrigieren müssen
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
