Der vergessene Faktor Mensch, der Sicherheitslücken in Webanwendungen verursacht
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
%20(1).avif)
.avif)
