Die Veränderung, die wir in den AppSec-Badlands brauchen: Meine Prognosen für 2019
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Der wahre Kampf, dem wir gegenüberstehen, ist nicht gegen Drehbuch-Kiddies oder gefährliche Syndikate der organisierten Cyberkriminalität... es geht darum, mehr Menschen dazu zu bringen, sich Sorgen zu machen, dass Datenschutzverletzungen überhaupt passieren.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
%20(1).avif)
.avif)
