Legen Softwareanbieter genauso viel Wert auf Sicherheit wie Sie?
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
