Der vergessene Faktor Mensch, der Sicherheitslücken in Webanwendungen verursacht
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
