Directeur de la technologie, directeur et cofondateur
Matias Madou, Ph.D.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Diese Sicherheitsanfälligkeit kann auftreten, wenn Programmierer die Regeln der Geschäftslogik nicht ordnungsgemäß implementieren, wodurch ihre Anwendungen anfällig für verschiedene Arten von Angriffen werden könnten, falls ein böswilliger Benutzer sie ausnutzt.
Wenn es jemals etwas gab, das Weihnachten in der Cybersicherheitsbranche ruinieren könnte, dann ist es eine verheerende Datenschutzverletzung, die auf dem besten Weg ist, das größte Cyberspionageereignis zu werden, von dem die US-Regierung je betroffen ist.
Die Hauptursache für den Equifax-Hack ist erneut eine Sicherheitslücke in einer Web-App. Diese Art von Sicherheitslücken gibt es schon seit über einem Jahrzehnt, aber sie sind auch heute noch so relevant.
Injection-Angriffe, der berüchtigte König der Sicherheitslücken (nach Kategorien), haben den ersten Platz verloren, weil die Zugriffskontrolle als schlimmste der schlimmsten Bedrohungen gilt, und Entwickler müssen dies zur Kenntnis nehmen.
Im Allgemeinen sollten Autorisierungsprüfungen auf Objektebene für jede Funktion enthalten sein, die mithilfe einer Benutzereingabe auf eine Datenquelle zugreift. Andernfalls besteht ein großes Risiko.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, sofort loszulegen, wenn es um bewährte Sicherheitsmethoden in ihrer täglichen Arbeit geht.
Es ist nicht einfach, Sicherheitsupdates wieder in den Entwicklungsprozess zu verlagern, aber in der heutigen Welt, in der selbst scheinbar einfache Geräte wie Präsentationstools überraschend komplex sind und auch mit allem anderen vernetzt sind, notwendig.
Wir müssen ein Stadium erreichen, in dem Sicherheit als gemeinsame Verantwortung der gesamten Organisation und des gesamten SDLC betrachtet wird. Dies ist sicherlich möglich, wenn Sie sich für eine vollwertige, äußerst unterstützende DevSecOps-Umgebung entscheiden.
Die fehlende Sicherheitslücke bei der Zugriffskontrolle auf Funktionsebene ermöglicht es Benutzern, Funktionen auszuführen, die eingeschränkt werden sollten, oder ihnen den Zugriff auf Ressourcen zu ermöglichen, die geschützt werden sollten.
Die Authentifizierung dient oft als Gateway sowohl zu einer Anwendung als auch potenziell zum Rest eines Netzwerks, sodass sie ein verlockendes Ziel für Angreifer sind. Wenn ein Authentifizierungsprozess defekt oder anfällig ist, besteht eine gute Chance, dass Angreifer diese Schwachstelle entdecken und ausnutzen.
Softwareentwicklung ist keine Insel mehr, und wenn wir alle Aspekte des softwaregestützten Risikos berücksichtigen — von der Cloud über eingebettete Systeme in Geräten und Fahrzeugen bis hin zu unserer kritischen Infrastruktur, ganz zu schweigen von den APIs, die alles verbinden —, ist die Angriffsfläche grenzenlos und außer Kontrolle geraten.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären.
Wir begannen darüber nachzudenken, was wir tun könnten, um die Hürde zu verringern, die einer Schulung entgegensteht, wenn Sie sie benötigen, und wie Micro-Learning reibungsloser in Ihren Arbeitsablauf implementiert werden könnte.
Entwickler werden keinen positiven Einfluss auf die Reduzierung von Sicherheitslücken haben, wenn sie nicht ein grundlegendes Verständnis dafür haben, wie die Sicherheitslücken funktionieren, warum sie gefährlich sind, welche Muster sie verursachen und welche Design- oder Codierungsmuster sie in einem Kontext beheben, der in ihrer Welt Sinn macht. Ein gerüsteter Ansatz ermöglicht es mehreren Wissensebenen, sich ein vollständiges Bild davon zu machen, was es heißt, sicher zu programmieren, eine Codebasis zu verteidigen und sich als sicherheitsbewusster Entwickler zu profilieren.
Par définition, les attaques zero-day ne laissent pas le temps aux développeurs de détecter et de corriger les failles de sécurité existantes qui pourraient être exploitées, car l'auteur de la menace a déjà pénétré le système. Les dommages sont causés, ce qui entraîne des conséquences considérables, tant pour le logiciel que pour la réputation de l'entreprise. Les attaquants ont toujours un avantage, et il est essentiel de réduire cet avantage autant que possible.
Dies ist Teil 1 einer zweiteiligen Serie zur erfolgreichen PCI-DSS-Compliance innerhalb eines Unternehmens. In diesem Kapitel beschreiben wir, wie AppSec-Spezialisten eng mit Entwicklungsmanagern zusammenarbeiten können, um Entwickler zu stärken, den SSDLC zu stärken und konkrete Ergebnisse aus der allgemeinen Gesetzgebung zu ziehen.
Nous savons déjà qu'une journée de travail est très chargée. Quelle motivation les développeurs ont-ils donc à se rendre dans une salle de classe ou à changer de contexte pour suivre cinq étapes afin de participer à des formations basées sur des théories statiques ?
Es gibt einige Gründe, warum AppSec-Tools nicht so verwendet werden, wie wir es vielleicht erwarten würden. Es geht weniger um die Tools und ihre Funktionalität als vielmehr darum, wie sie sich in ein Sicherheitsprogramm als Ganzes integrieren lassen.
Wir möchten einen unserer Experten, Oscar Quintas, ins Rampenlicht rücken. Er ist Teil unseres Product Content Teams und arbeitet als Senior Security Researcher. Er ist auch unser ansässiger Zauberer für alles, was mit Infrastructure as Code (IaC) zu tun hat.
Die Wettbewerbsbedingungen zwischen Helden und Bösewichten in der Cybersicherheit sind bekanntermaßen unfair. Sensible Daten sind das neue Gold, und Angreifer passen sich schnell an, um Abwehrmaßnahmen zu umgehen, und nutzen große und kleine Sicherheitslücken für potenzielle Gehälter aus.
Diese Sicherheitsanfälligkeit tritt auf, wenn zu viele Anfragen gleichzeitig eingehen und die API nicht über genügend Rechenressourcen verfügt, um diese Anfragen zu bearbeiten. Die API kann dann nicht mehr verfügbar sein oder nicht mehr auf neue Anfragen reagieren.
Wenn die Zugriffskontrolle auf Infrastrukturebene nicht in perfekter Ordnung ist, wird ein ganzes Unternehmen für Angreifer geöffnet, die diese Sicherheitslücke als Einfallstor für unbefugtes Ausspionieren oder für einen vollständigen Angriff nutzen können.
Cyberangriffe werden immer häufiger und Bedrohungen, die Linux-basierte Infrastrukturen betreffen, werden immer häufiger. Das Endziel ist die Gelegenheit, eine Beutekiste mit sensiblen Daten, die in der Cloud gespeichert sind, zu öffnen.
Die eigentliche Mechanik hinter dieser Sicherheitslücke ist ähnlich wie bei anderen, aber eine übermäßige Datenexposition wird in diesem Fall so definiert, dass rechtlich geschützte oder hochsensible Daten betroffen sind.
À l'instar des logiciels basés sur le Web, des API et des appareils mobiles, le code vulnérable des systèmes embarqués peut être exploité s'il est découvert par un attaquant dans la nature.
Dies ist Teil 2 einer Miniserie zur PCI-DSS-Konformität innerhalb einer Organisation. In diesem letzten Kapitel beschreiben wir, wie CTOs und CISOs von Anfang an eine Vorreiterrolle bei der Reduzierung von Cyberrisiken übernehmen und den Prozess reibungslos, erfolgreich und vielleicht ein bisschen unterhaltsam für Entwickler gestalten können.
Der unzureichende Protokollierungs- und Überwachungsfehler ist hauptsächlich auf einen gescheiterten Cybersicherheitsplan zurückzuführen, der alle fehlgeschlagenen Authentifizierungsversuche, Zugriffsverweigerungen und Eingabevalidierungsfehler protokolliert.
Die jüngste Cybersicherheitsverordnung der Biden-Administration hat die Sicherheitsbranche sicherlich zum Reden gebracht, insbesondere diejenigen, die Entwickler dafür gewinnen wollen, wie wichtig es ist, bewährte Methoden für sichere Codierung in ihrer täglichen Arbeit anzuwenden.
Wir müssen einen von Menschen geleiteten Ansatz für bewährte Cybersicherheitsmethoden stärken, und das wird zu besseren Ergebnissen führen, als wenn wir uns stark auf Automatisierung, Tools und Reaktionen auf Probleme verlassen, die bereits eingebettet und entdeckt wurden.
Entwickler gehören neben Sicherheitskonfigurationen und Zugriffskontrolle zu denjenigen, die mit Code am nächsten kommen. Ihre Sicherheitskompetenzen müssen gefördert werden, und um die vom NIST festgelegten hohen Standards zu erreichen, könnte eine praxisorientierte Kursstruktur genau der richtige Weg sein, um das Problem anzugehen, insbesondere bei großen Entwicklungskohorten.
Wir freuen uns, eine brandneue Feature-Veröffentlichung auf der Secure Code Warrior-Plattform ankündigen zu können: Missionen. Diese brandneue Herausforderungskategorie ist die nächste Phase des Sicherheitstrainings für Entwickler, bei dem die Benutzer ihr Sicherheitswissen nicht mehr nur noch abrufen, sondern es in einer realen Simulationsumgebung anwenden können.
Ganz gleich, ob die Ungewissheit einer neuen Arbeitsweise, ein wenig Misstrauen oder vielleicht der Unglaube an Telearbeit herrührt, ich stelle fest, dass Unternehmen, die sich dagegen wehren, tendenziell ins Hintertreffen geraten, wenn es darum geht, Top-Talente anzuwerben, ihre globale Reichweite zu wahren und ehrlich gesagt, mit der Zeit zu gehen.
Der Schlüssel zu den meisten Computersicherheitsmaßnahmen sind heutzutage Passwörter. Selbst wenn andere Sicherheitsmethoden wie die Zwei-Faktor-Authentifizierung oder Biometrie eingesetzt werden, verwenden die meisten Unternehmen immer noch passwortbasierte Sicherheit als ein Element ihres Schutzes.
Secure Code Warrior hat eine GitHub-Aktion entwickelt, die kontextbezogenes Lernen in das GitHub-Code-Scannen integriert. Das bedeutet, dass Entwickler eine Aktion eines Drittanbieters wie die Snyk Container Action verwenden können, um Sicherheitslücken zu finden, und das Ergebnis dann durch CWE-spezifisches, hyperrelevantes Lernen erweitern können.
Penetrationstests und Scan-Tools für statische Analysen (besser bekannt als SAST) sind nur ein Teil des Gesamtprozesses zur Minderung von Sicherheitsrisiken. Sie arbeiten ziemlich unabhängig von dem, was wir tun — bis der Code für Hotfixes zu uns zurückkommt, natürlich!
Code mit einem bestimmten Qualitätsniveau ist per Definition auch sicher, aber jeder sichere Code ist nicht unbedingt von guter Qualität. Ist das Starten von „links von links“ die Formel, um reine sichere Codierungsstandards zu gewährleisten?
Das anfällige Verhalten, auf das wir uns hier konzentrieren werden, ist die Verwendung von Code aus nicht vertrauenswürdigen Quellen, eine scheinbar harmlose Praxis, die große Probleme verursacht.
Gehen wir weiter ins Jahr 2016, als ein Sicherheitsforscher auf der Equifax-Hauptwebsite eine häufige Sicherheitslücke entdeckte, die als Cross-Site Scripting (XSS) bekannt ist. Dies geht aus einem Tweet eines Forschers hervor, der den Namen x0rz trägt.
Bei dieser Sicherheitslücke handelt es sich eher um ein menschliches Problem oder ein Managementproblem, das es älteren APIs ermöglicht, lange nachdem sie durch neuere, sicherere Versionen ersetzt werden sollten, bestehen zu bleiben.
Viele Unternehmen, die in ihrem Cybersicherheitsansatz Ziele überschreiten, haben ein offizielles Security-Champion-Programm eingeführt, das wichtige Sicherheitsaufgaben — von der Zusammenarbeit zwischen Teams und allgemeinem Cheerleading bis hin zur Überwachung von Best Practices — Personen überträgt, die Eignung und Leidenschaft für eine solche Rolle zeigen.
Rust integriert bekannte und funktionale Elemente aus häufig verwendeten Sprachen und arbeitet nach einer anderen Philosophie, die Komplexität beseitigt und gleichzeitig Leistung und Sicherheit einführt.
Es ist wahrscheinlich etwas häufiger in APIs, aber Angreifer versuchen oft, ungepatchte Fehler und ungeschützte Dateien oder Verzeichnisse überall in einem Netzwerk zu finden. Wenn sie auf eine API stoßen, bei der Debugging aktiviert oder Sicherheitsfunktionen deaktiviert sind, wird ihre schändliche Arbeit nur ein wenig einfacher.
En tant que secteur, nous ne devrions jamais attendre des développeurs qu'ils deviennent des experts en sécurité, mais les entreprises peuvent introduire de nouvelles normes pour aider les développeurs à créer des logiciels de meilleure qualité.
Manchmal teilen Anwendungen im Rahmen einer Gesamtarbeitslast auch Daten mit anderen Programmen. Wenn die Transportebene nicht geschützt ist, ist sie sowohl für das Ausspionieren von außen als auch für unbefugte interne Zugriffe anfällig.
Jedes Unternehmen kann den Cybersecurity Awareness Month nutzen, um sein Sicherheitsbewusstsein aufzufrischen. In diesem Jahr bringen wir auch eine neue, kostenlose App für die Programmierer-Community auf den Markt!
Eine Beziehung, die auf den wackeligen Fundamenten des Misstrauens aufgebaut ist, naja, lässt sich am besten mit niedrigen Erwartungen angehen. Leider kann dies der Stand der Arbeitsbeziehung zwischen Entwicklern und dem AppSec-Team innerhalb einer Organisation sein.
Sicherheitsfehlkonfigurationen, insbesondere solche mit falschen Berechtigungen, treten am häufigsten auf, wenn ein Entwickler einen neuen Benutzer erstellt oder die Erlaubnis für eine Anwendung als Tool erteilt, um eine Aufgabe zu erledigen.
Les attaquants tentent toujours d'abord de trouver des failles de sécurité faciles à exploiter et peuvent même utiliser un script pour détecter les vulnérabilités courantes. Cela s'apparente à un voleur qui vérifie toutes les voitures dans une rue pour voir si certaines portes sont ouvertes, ce qui est beaucoup plus simple que de briser une vitre.
Angesichts der ständigen Fachkräftemangel und der Flut von Code, the written, to be fair to the world software requirements, many companies into their cybersecurity strategy and their existing infrastructure. Es ist an der Zeit, dass wir einen ehrlichen Blick auf unseren allgemeinen Reifegrad im Bereich Cybersicherheit werfen und die realisierbaren Quick Wins bewerten, die direkt vor uns liegen.
CISOs befinden sich in einer zunehmend angespannten Lage: Schützen Sie mehr Ressourcen, versenden mehr Code, reduzieren eine größere Angriffsfläche und das mit schnell abnehmenden finanziellen Ressourcen. Es ist eine unausweichliche Tatsache, dass Cybersicherheit als Kostenstelle angesehen wird, und obwohl das Sicherheitsprogramm eines Unternehmens das ist, was einem Bedrohungsakteur im Weg steht, ihn zur katastrophalen Schlagzeile von morgen zu machen, müssen Sicherheitsverantwortliche mehr tun, um den allgemeinen Geschäftswert der Abteilung zu verkaufen und zu beweisen, und zwar in einer Sprache, die für die Exekutive sinnvoll ist.
Unser neuestes Forschungspapier, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Ergebnisse.
Der zunehmende Fokus auf sicheren Code und die Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden. Tools wie der Trust Score von Secure Code Warrior helfen dabei, ihre Fortschritte zu messen und zu verbessern.
Nos recherches ont démontré que la formation sécurisée au codage est efficace. Trust Score utilise un algorithme basé sur plus de 20 millions de points de données d'apprentissage provenant du travail de plus de 250 000 apprenants dans plus de 600 organisations. Il démontre l'efficacité de la correction des failles de sécurité et indique comment rendre l'initiative encore plus efficace.
Es ist bekanntermaßen schwierig, aussagekräftige Daten zum Erfolg von Secure-by-Design-Initiativen zu finden. CISOs stehen oft vor der Herausforderung, die Investitionsrendite (ROI) und den Geschäftswert der Aktivitäten von Sicherheitsprogrammen sowohl auf Personal- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Unternehmen im Vergleich zu aktuellen Industriestandards bewertet werden. In der Nationalen Cybersicherheitsstrategie des Präsidenten wurden die Interessengruppen aufgefordert, „Sicherheit und Widerstandsfähigkeit von Anfang an zu berücksichtigen“. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl qualitativer und quantitativer Daten vor, die aus mehreren Primärquellen stammen, darunter interne Datenpunkte, die von über 250.000 Entwicklern gesammelt wurden, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser Aggregation von Datenpunkten wollen wir einen Überblick über den aktuellen Stand der Secure-by-Design-Initiativen in mehreren Branchen vermitteln. Der Bericht beschreibt, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Weiterbildungsprogramm auf die Minderung von Cybersicherheitsrisiken haben kann und welches Potenzial es hat, Kategorien von Sicherheitslücken aus einer Codebasis zu entfernen.
In der KI-Debatte geht es nicht um Nutzung, sondern um Anwendung. Erfahren Sie, wie Sie die Notwendigkeit von KI-Produktivitätssteigerungen mit robuster Sicherheit in Einklang bringen können, indem Sie sich auf Entwickler verlassen, die ihren Code genau verstehen.
In diesem Whitepaper wird der Sicherheitsexperte und Secure Code Warrior CTO und Mitbegründer Matias Madou, Ph.D. erörtern: Die sechs Säulen, die Sie benötigen, um Ihre Entwicklungskohorte effektiv zu schulen und zu unterstützen. Erkenntnisse von zehn Führungskräften, die Sicherheitsprogramme auf Unternehmensebene implementiert haben, und häufige Fallstricke, die Sie auf Ihrem Weg zum Erfolg vermeiden sollten.
