Legen Softwareanbieter genauso viel Wert auf Sicherheit wie Sie?
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
