Analyse der Cybersicherheitsbranche: Eine weitere wiederkehrende Sicherheitslücke, die wir korrigieren müssen
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.
Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.
Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.
In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.
Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.
Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?
Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.
Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.
Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:
- Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
- Schnelles Scannen
- Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird
Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.
Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.
Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.
Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?
Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.
Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.
In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.
Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?
Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.
Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.
Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.
Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.
%20(1).avif)
.avif)
