¿Los proveedores de software conceden tanta importancia a la seguridad como usted?
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Se puede afirmar con certeza que los últimos años han cambiado radicalmente los estándares de ciberseguridad y, aunque no es obligatorio, todas las empresas deberían proponerse seguir este ejemplo y examinar minuciosamente las prácticas de seguridad de los proveedores, como si formaran parte de su propio programa de seguridad interno.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
