Analyse der Cybersicherheitsbranche: Eine weitere wiederkehrende Sicherheitslücke, die wir korrigieren müssen
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
%20(1).avif)
.avif)
