L'avenir de la cybersécurité : ce qui ne se produira PAS l'année prochaine
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Dans notre secteur, de nombreux experts en sécurité ont commencé à prédire les principaux problèmes pour l'année à venir. Étant donné que plus de cinq milliards d'enregistrements de données confidentielles ont été volés en 2019, nous avons estimé qu'il serait plus pertinent de prédire ce qui ne se produira pas dans un avenir proche dans le domaine de la cybersécurité.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in Dunkle Lektüre. Es wurde hier für die Syndizierung aktualisiert.
In unserer Branche haben es sich viele Sicherheitsexperten zur Gewohnheit gemacht, die wichtigsten Themen für das kommende Jahr vorherzusagen (und ich bin da keine Ausnahme), aber mit mehr als Fünf Milliarden sensible Datensätze wurden 2019 gestohlen, ich dachte, es wäre genauer vorherzusagen, was wird nicht wird 2020 oder in absehbarer Zukunft im Bereich Cybersicherheit passieren.
Ich habe mich mit meinem Mitbegründer Matias Madou getroffen und wir haben viel gelacht, als wir diese Liste zusammengestellt haben. Es ist als etwas unbeschwerter Ausblick gedacht, aber es bringt Sie dazu, über den langen Weg nachzudenken, der noch vor uns liegt, um jedes Unternehmen vor böswilligen Cyberangriffen zu schützen.
Schauen wir nun in unsere Kristallkugel und enthüllen unsere Vorhersagen. Folgendes werden wir nicht sehen:
SQL-Injections wurden aus der gesamten Software entfernt
Ich denke, jeder Sicherheitsexperte auf der Welt hat auf den Tag gewartet, an dem er nicht mehr aus der Bahn geworfen wird, um SQL-Injection-Bugs bis zum Überdruss zu identifizieren.
Leider haben wir mehr als zwanzig Jahre auf diesen Tag gewartet, und wir werden noch mindestens auf einen weiteren warten. Es ist die Sicherheitslücke, die wie eine Kakerlake, hat bisher jede Taktik überlebt, um sie endgültig auszurotten.
Es ist gelinde gesagt frustrierend, da das Mittel seit fast der gleichen Zeit bekannt ist. Die Priorisierung bewährter Sicherheitsmethoden in jeder Phase der Softwareentwicklung (insbesondere von Anfang an) ist jedoch nach wie vor zu niedrig und angesichts des enormen Anstiegs der Codeproduktion seit der Entdeckung der SQL-Injektion sicherlich unzureichend.
(Möchten Sie mehr über die Codierungsmuster erfahren, die zu einer SQL-Injektion führen könnten? Nehmen Sie die Herausforderung an hier).
Entwickler und AppSec werden beste Freunde
Ah, Entwickler und das AppSec-Team. Werden sie jemals miteinander auskommen oder sind sie für ein Leben voller Rivalität wie Rocky gegen Apollo bestimmt? Die kurze Antwort lautet ja, sie können miteinander auskommen, aber im Moment sind ihre Prioritäten oft sehr unterschiedlich.
Wenn sie sich in einer Projektumgebung treffen, befinden sie sich auf entgegengesetzten Seiten und stoßen genau an der letzten Hürde aufeinander: wenn AppSec-Spezialisten den Code eines Entwicklers durchforsten. Der Entwickler hat wunderschöne, funktionale Funktionen entwickelt (was für ihn oberste Priorität hat), die bei der Entdeckung von Sicherheitslücken auseinanderfallen. Der Guru für Softwaresicherheit hat sein Baby tatsächlich als hässlich bezeichnet und den Entwickler gezwungen, zurückzugehen und alle Fehler zu beheben, was die Bereitstellung oft verzögert.
In unserem aktuellen Stand wird dies erst behoben werden, wenn Entwickler und AppSec-Teams auf ein gemeinsames Ziel hinarbeiten, nämlich die Entwicklung sicherer Software. Das wird 2020 nicht als Standardprozess eingeführt werden (und bei vielen Unternehmen auch noch einige Jahre danach), aber mit dem Aufkommen der DevSecOps-Bewegung und darüber hinaus erkennen Entwickler die Notwendigkeit, sich im Bereich Sicherheit weiterzubilden und nach einem höheren Standard zu arbeiten, der Sicherheitsziele von Anfang an beinhaltet.
Ein Überangebot an Sicherheitsexperten
2020, 2025, 2030... es ist fast garantiert, dass wir weltweit zu wenig Personal haben werden, wenn es um Sicherheitsexpertise geht.
Laut einem Bericht von ISC (2) gibt es rund 2,93 Millionen Stellen im Bereich Cybersicherheit derzeit nicht gefüllt. Es wird mit ziemlicher Sicherheit schlimmer werden, bevor es besser wird, und es gibt keine versteckte Sicherheitsarmee, die darauf wartet, uns in den nächsten Jahren zu Hilfe zu eilen.
In naher Zukunft besteht unsere beste Chance, diesen Fachkräftemangel zu beheben, darin, Sicherheit zu einer organisatorischen Priorität zu machen und unsere bestehenden Mitarbeiter weiterzubilden. Das bedeutet, Entwickler mit den Schulungen und Tools auszustatten, um sicher zu programmieren, sowie eine unternehmensweite Sicherheitskultur zu schaffen. Die meisten aktuellen AppSec-Teams kämpfen wahrscheinlich gegen bekannte, alte Sicherheitslücken (siehe Punkt 1 oben). Wenn wir sicherstellen, dass sie keine wertvolle Zeit und Mühe aufwenden müssen, um diese häufigen Probleme zu beheben, haben sie mehr Spielraum, um sich auf schwierige Sicherheitsprobleme zu konzentrieren (derzeit umfassen diese wahrscheinlich Probleme mit APIs sowie die Entwicklung von Tools, die in die Entwicklungspipelines passen).
Es wird weniger Code produziert
Die Welt wird mit atemberaubender Geschwindigkeit digitalisiert, und die gesellschaftliche Nachfrage wird nicht schwanken. Jedes Jahr werden ungefähr 111 Milliarden Codezeilen geschrieben, und diese Zahl wird nur noch größer und erschreckender werden (jedenfalls für die ohnehin schon überlasteten AppSec-Teams).
Ein erhöhtes Codevolumen erhöht unweigerlich potenzielle Sicherheitslücken. Daher ist jeder Gedanke, dass 2020 ein langsameres Jahr für Softwareproduktion und Sicherheitslücken sein wird, ungefähr so realistisch wie Einhornrennen im Grand National.
Eine Reduzierung der gestohlenen Datensätze
Wie gesagt, mehr Code bedeutet mehr Sicherheitslücken, und das bietet Angreifern mehr Möglichkeiten, einen Weg zu finden, Daten zu stehlen.
2019 wurden weltweit mindestens 5,3 Milliarden Datensätze gestohlen, und die Verteidigung gegen Angreifer ist immer noch ein bisschen ein verzweifeltes, reaktives Gerangel. Diese Zahl wird sich in den nächsten zwölf Monaten vielleicht nicht verdoppeln, aber ich denke, sie wird nahe kommen.
Schauen wir uns als Beispiel die historischen Trends der gemeldeten gestohlenen Daten in den USA im Vergleich zum Vorjahr an:
Betrachtet man den Zeitraum zwischen 2005 und 2010, so ist ein stetiger Anstieg mit einem leichten Auf und Ab zwischen den Jahren zu verzeichnen. Das ist interessant, aber ein wichtiger Faktor, den es hervorzuheben gilt, ist, dass 2009 die Zahl der gemeldeten Verstöße im Vergleich zu 2008 stark zurückgegangen ist. Die Zahl der gestohlenen Datensätze stieg jedoch deutlich an, obwohl es weniger Verstöße gab.
Datensätze sind das neue Gold; sie haben einen Wert für einen Angreifer. Die Grafik spiegelt einen allgemeinen Aufwärtstrend bei Sicherheitsverletzungen wider und Zahl der gestohlenen Aufzeichnungen, mit einem enormen Höchststand im Jahr 2017. Die Zahl der Angriffe ging 2018 tendenziell zurück, was möglicherweise auf strengere Sicherheitsmaßnahmen zurückzuführen ist, aber die Anzahl der erlangten Aufzeichnungen war so hoch wie nie zuvor. Cyberangriffe werden immer raffinierter und umfangreicher werden und werden nicht so schnell verschwinden. Und weltweit ist es unwahrscheinlich, dass wir 2020 einen Abschwung erleben werden, da Unternehmen schnell mehr Software als je zuvor produzieren. Sie sind die Torwächter unserer Daten und müssen intelligenter arbeiten, um unsere Privatsphäre zu schützen.
Entwickler fordern längere, häufigere videogestützte Sicherheitsschulungen
Wenn es eine Sache gibt, die Entwickler lieben, dann ist es das Anschauen stundenlanger computergestützter Schulungsvideos (CBT). Tatsächlich ist die Nachfrage nach diesen fesselnden Inhalten so groß, dass Netflix eine ganz neue Unterkategorie ankündigen wird, die generischen Videos zur Sicherheitsschulung gewidmet ist.
Äh, nein. Nicht jetzt, nicht im Jahr 2020, niemals.
Für Entwickler erfolgt die Einführung in das Thema Sicherheit häufig im Rahmen einer Compliance-Schulung am Arbeitsplatz. Sicheres Programmieren ist selten Teil ihrer Hochschulausbildung, und eine Schulung am Arbeitsplatz kann die allererste Begegnung mit Softwaresicherheit sein. Und es überrascht nicht, dass sie es oft nicht mögen.
Damit Entwickler Sicherheit ernst nehmen — und damit Schulungen sinnvoll sind — müssen sie relevant, ansprechend und kontextbezogen für ihre Arbeit sein. Einmalige Compliance-Schulungen — oder ein endloser Strom langweiliger Videos — sind nicht der Weg zum Herzen eines Entwicklers, und sie werden auch nicht dazu beitragen, Sicherheitslücken zu reduzieren.
Wenn Sie möchten, dass die Entwicklerkohorte die Chance hat, zu einer sicherheitsbewussten Abwehrkraft gegen häufig auftretende Sicherheitslücken zu werden, bringen Sie sie mit echten Codebeispielen zum Laufen — genau der Art, auf die sie bei ihren täglichen Aufgaben stoßen würden. Machen Sie das Lernen handlich, damit Sie leicht darauf aufbauen können, und fördern Sie es mit einem Gefühl von Spaß. Damit eine Sicherheitskultur gedeihen kann, muss sie positiv und ansprechend sein und im gesamten Unternehmen echte Fähigkeiten und Lösungen entwickeln.
Wer weiß? Mit der richtigen Schulung erkennt ein Entwickler vielleicht seinen Champion im Bereich der inneren Sicherheit und verbreitet die Vorteile der sicheren Codierung weit und breit.
Keine Todesfälle aufgrund eines Cybersicherheitsvorfalls
Okay, das ist eindeutig nicht zum Lachen. Ich habe oft gesagt, dass sich die Welt einfach nicht um Cybersicherheit schert, bis Menschen an einem Vorfall im Zusammenhang mit Cyberangriffen sterben.
Das Problem ist, dass dies bereits geschehen ist und weitgehend unbemerkt geblieben ist.
Cyberangriffe auf US-Krankenhäuser wurden 2019 mit einem Anstieg der Todesfälle durch Herzinfarkte in Verbindung gebracht. Natürlich verursachten die Angreifer bei den Patienten keine tödlichen kardialen Ereignisse, aber ihre Ransomware-Angriffe auf Krankenhaussysteme und -geräte verlangsamten die Behandlungszeiten für die Intensivpflege.
Das studieren Die University of Central Florida analysierte 3000 Krankenhäuser, von denen 311 von einer Datenschutzverletzung betroffen waren. Bei Patienten, die von einem Sicherheitsvorfall betroffen waren, brauchten sie durchschnittlich 2,7 Minuten länger, um mutmaßlichen Herzinfarktopfern ein EKG zu geben. Wahrscheinlich aufgrund von Verfahrensänderungen, neu eingeführten Sicherheitsmaßnahmen und Problemen mit dem IT-Support, die mehr Zeit in Anspruch nahmen als zuvor. Die Erkennung und Behandlung eines Herzinfarkts ist ein Wettlauf mit der Zeit, und diese Krankenhäuser verzeichneten im Durchschnitt pro 10.000 Herzinfarkte pro Jahr weitere 36 Todesfälle.
Das ist schockierend, und leider denke ich, dass es schlimmer werden wird, bevor es besser wird. Dies sollte uns eindringlich daran erinnern, dass wir alle mehr tun müssen, um die Softwaresicherheit zu erhöhen und sie in jedem Unternehmen in den Vordergrund zu rücken.
Weniger Stockbilder von „Hackern mit Kapuze“
Wenn Sie „Hacker“ in eine Bildersuche eingeben, werden Sie unweigerlich Tausende von Bildern einer vermummten, gesichtslosen Figur finden, die an einem Laptop tippt, oder einer ähnlichen Figur in einer Guy-Fawkes-Maske.
Dieses stereotype Bild eines Hackers wird wirklich müde und lässt jeden wie einen Bösewicht aussehen. Es gibt viele gute Jungs und Mädchen im Sicherheitsbereich, und die negativen Konnotationen rund um das Image des „Hackers“ erweisen allen einen schlechten Dienst.
Sehe ich, dass sich das bald ändern wird? Wahrscheinlich nicht, aber es ist schön zu träumen. Im Moment ist es wichtig, sich daran zu erinnern Sicherheit muss nicht gruselig sein.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
