Die Zukunft der Cybersicherheit: Was im kommenden Jahr NICHT passieren WIRD
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
In unserer Branche haben viele Sicherheitsexperten damit begonnen, die wichtigsten Probleme für das Jahr vorherzusagen. Angesichts der Tatsache, dass 2019 mehr als fünf Milliarden vertrauliche Datensätze gestohlen wurden, dachten wir, dass es genauer wäre, vorherzusagen, was in absehbarer Zeit im Bereich Cybersicherheit nicht passieren wird.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
%20(1).avif)
.avif)
