Lever le voile sur les vulnérabilités cybernétiques dans les chaînes d'approvisionnement gouvernementales
Eine Version dieses Artikels erschien in TechCrunch. Es wurde hier aktualisiert und syndiziert.
Als ob wir im Jahr, das nicht genannt werden kann, nicht schon genug Störungen gehabt hätten, begann 2021 für die US-Regierung mit einem ohrenbetäubenden Paukenschlag in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der SolarWinds-Vorfall war ein verheerender, ausgeklügelter Angriff der Nationalstaaten, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sich bemühte, ihre Endgeräte zu sichern. Praktisch jeder Endbenutzer der SolarWinds-Software war gefährdet, und der Vorfall machte deutlich, dass Cybersicherheit und Verteidigung in den Software-Lieferketten von entscheidender Bedeutung sind.
Il est évident que la cybersécurité est importante, mais qu'est-ce que cela signifie concrètement dans le contexte des chaînes d'approvisionnement ?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software produziert, die jedes Jahr Milliarden von Codezeilen ausmacht, und das nimmt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, nur noch zu. Die Zahl der Entwickler weltweit ist auf dem besten Weg, um fast 29 Millionen bis 2024, und derzeit gibt es keine formelle Zertifizierung, mit der ihre Fähigkeit zum sicheren Programmieren bewertet und zertifiziert werden könnte. Das heißt nicht, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitslücken in die Software gelangen, der wir unsere Daten anvertrauen.
Entwickler werden anhand ihrer Fähigkeit bewertet, Funktionen zu erstellen und Code so schnell wie möglich auszuliefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber diese Meinung beginnt sich zu ändern, da immer mehr Unternehmen das Potenzial erkennen, das in der Verhinderung gängiger Sicherheitslücken in der frühesten Phase der Softwareentwicklung liegt. Realisierung und Implementierung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungskursen jeglicher Kontext rund um sichere Codierungspraktiken ausgelassen wird, liegt es oft am Arbeitsplatz eines Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und der Wissensaustausch selten oder irrelevant sind, werden sie wahrscheinlich unwirksam sein. Daher ist der Kreislauf wiederkehrender Sicherheitslücken aufgrund mangelnder Qualifikationsentwicklung nach wie vor ungebrochen.
Natürlich liegt es nicht in der Verantwortung eines durchschnittlichen Softwareentwicklers, die weltweiten Cybersicherheitsprobleme zu lösen. Schließlich stellen Unternehmen diese sehr teuren Sicherheitsexperten aus einem bestimmten Grund ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich dazu beitragen, die Belastung zu verringern.
Aber was bedeutet das für uns — und die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln —, wenn es darum geht, einen verheerenden Cyberangriff zu verhindern? Dies wird zumindest eine Änderung des Status Quo der Softwarebeschaffung erfordern.
Die Fallstricke, die einer sicheren Software-Lieferkette im Weg stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider genauso zu, wenn es um Softwarelieferungen geht. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verschärften bewährten Sicherheitsmethoden, Investitionen in die Weiterbildung von Entwicklern und der Umstellung auf eine funktionierende DevSecOps-Umgebung auf die Party gegangen ist (d. h. jeder trägt die Verantwortung dafür, dass Software so sicher wie möglich hergestellt wird); wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicher, das Sicherheitsteam sollte dabei helfen, die Sicherheit von Erweiterungen des Tech-Stacks durch Dritte zu beurteilen, aber Entscheidungen können auf der Grundlage geschäftlicher Anforderungen getroffen werden, ohne dass eine große Auswahl an Lösungen besteht. An diesem Punkt kann es sich um eine Vertrauensübung handeln. Kümmert sich der Anbieter genauso um Sicherheit wie Ihr Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, dass nur Sie sie verstehen können, ebenso wie die Vermögenswerte, die Sie schützen müssen?
Transparenz ist ein äußerst wichtiger Faktor bei der Bewertung der Sicherheitsfähigkeit von Softwareergänzungen von Anbietern. Sind sie im Voraus mit ihren eigenen Sicherheitspraktiken? Sie sollten stolz auf ihren Ansatz zur Datensicherheit sein, und dieser sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgends veröffentlicht werden oder keine Informationen verfügbar sind, besteht eine hohe Wahrscheinlichkeit, dass Sicherheit nicht an erster Stelle steht. Der Anbieter sollte in der Lage sein, technische Fragen und unabhängige Zertifizierungen wie ISO 27001 und SOC2 würde auch nicht schaden. Und wenn Sie im Rahmen Ihrer internen Sorgfaltspflichten und Sicherheitspraktiken nicht „unter die Haube schauen“ und nach Sicherheitslücken suchen können, vergessen Sie es.
Da die Nachfrage die Umsetzung von Softwareanforderungen so schnell vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme integriert wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Käufer an der Spitze stehen, und beides sollten ihre Entwickler vor Ort haben, um häufig auftretende Sicherheitslücken und -fehler zu erkennen, bevor sie ausgeliefert werden. Es könnten Hunderte — oder Tausende — von Abhängigkeiten gefährdet sein, wenn das bestehende Spinnennetz der technischen Lösungen um eine neue Erweiterung erweitert wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Also, was ist die Lösung? Alles intern codieren, von Grund auf neu? Wenn es 1998 wäre, könnte das Sinn machen. Aber genauso wie wir Jeeves nicht mehr „fragen“, wo sich die nächste Autowaschanlage befindet, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch keine Wunderwaffe, aber es gibt Lösungen
Für Käufer sollte die Sicherheitsbewertung der Herstellersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikomanagementplans sein. Stellen Sie Fragen zu ihren Zertifizierungen, Praktiken und dem Ruf ihrer Entwickler im Bereich Sicherheit.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen bereit sein, nachzuweisen, dass Sicherheit oberste Priorität hat, und sollten sich auf Weiterqualifizierung konzentrieren. Entwickler mit Sicherheitskenntnissen sind sehr gefragt, und mit die richtigen Tools und Unterstützung, sie können aus Ihrem bestehenden Team aufgebaut werden und sind in der Lage, Angriffe abzuwehren, die auf häufig vorkommenden Sicherheitslücken beruhen. Aber werfen Sie ihnen kein altes Training auf die Sprünge. Geben Sie ihnen Zeit, um erfolgreich zu sein — mit Sicherheitstools, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es sich so einfach wie möglich und beobachten Sie, wie die lästigen Bugs im Code, der das Unternehmen antreibt, immer dünner werden.
Unter dem Strich verschärfen sich alle Softwarerisiken sofort, wenn sie Teil der Lieferkette sind, und betreffen alle Benutzer und alle Systeme, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder sowohl der Anbieter als auch das Unternehmen ihr Sicherheitsprogramm nicht einhalten -, werden verheerendere, weitreichendere Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden — und das ist ein kritisches Problem für alle.
Il est évident que la cybersécurité est importante, mais qu'est-ce que cela signifie concrètement dans le contexte des chaînes d'approvisionnement ?
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in TechCrunch. Es wurde hier aktualisiert und syndiziert.
Als ob wir im Jahr, das nicht genannt werden kann, nicht schon genug Störungen gehabt hätten, begann 2021 für die US-Regierung mit einem ohrenbetäubenden Paukenschlag in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der SolarWinds-Vorfall war ein verheerender, ausgeklügelter Angriff der Nationalstaaten, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sich bemühte, ihre Endgeräte zu sichern. Praktisch jeder Endbenutzer der SolarWinds-Software war gefährdet, und der Vorfall machte deutlich, dass Cybersicherheit und Verteidigung in den Software-Lieferketten von entscheidender Bedeutung sind.
Il est évident que la cybersécurité est importante, mais qu'est-ce que cela signifie concrètement dans le contexte des chaînes d'approvisionnement ?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software produziert, die jedes Jahr Milliarden von Codezeilen ausmacht, und das nimmt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, nur noch zu. Die Zahl der Entwickler weltweit ist auf dem besten Weg, um fast 29 Millionen bis 2024, und derzeit gibt es keine formelle Zertifizierung, mit der ihre Fähigkeit zum sicheren Programmieren bewertet und zertifiziert werden könnte. Das heißt nicht, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitslücken in die Software gelangen, der wir unsere Daten anvertrauen.
Entwickler werden anhand ihrer Fähigkeit bewertet, Funktionen zu erstellen und Code so schnell wie möglich auszuliefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber diese Meinung beginnt sich zu ändern, da immer mehr Unternehmen das Potenzial erkennen, das in der Verhinderung gängiger Sicherheitslücken in der frühesten Phase der Softwareentwicklung liegt. Realisierung und Implementierung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungskursen jeglicher Kontext rund um sichere Codierungspraktiken ausgelassen wird, liegt es oft am Arbeitsplatz eines Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und der Wissensaustausch selten oder irrelevant sind, werden sie wahrscheinlich unwirksam sein. Daher ist der Kreislauf wiederkehrender Sicherheitslücken aufgrund mangelnder Qualifikationsentwicklung nach wie vor ungebrochen.
Natürlich liegt es nicht in der Verantwortung eines durchschnittlichen Softwareentwicklers, die weltweiten Cybersicherheitsprobleme zu lösen. Schließlich stellen Unternehmen diese sehr teuren Sicherheitsexperten aus einem bestimmten Grund ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich dazu beitragen, die Belastung zu verringern.
Aber was bedeutet das für uns — und die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln —, wenn es darum geht, einen verheerenden Cyberangriff zu verhindern? Dies wird zumindest eine Änderung des Status Quo der Softwarebeschaffung erfordern.
Die Fallstricke, die einer sicheren Software-Lieferkette im Weg stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider genauso zu, wenn es um Softwarelieferungen geht. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verschärften bewährten Sicherheitsmethoden, Investitionen in die Weiterbildung von Entwicklern und der Umstellung auf eine funktionierende DevSecOps-Umgebung auf die Party gegangen ist (d. h. jeder trägt die Verantwortung dafür, dass Software so sicher wie möglich hergestellt wird); wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicher, das Sicherheitsteam sollte dabei helfen, die Sicherheit von Erweiterungen des Tech-Stacks durch Dritte zu beurteilen, aber Entscheidungen können auf der Grundlage geschäftlicher Anforderungen getroffen werden, ohne dass eine große Auswahl an Lösungen besteht. An diesem Punkt kann es sich um eine Vertrauensübung handeln. Kümmert sich der Anbieter genauso um Sicherheit wie Ihr Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, dass nur Sie sie verstehen können, ebenso wie die Vermögenswerte, die Sie schützen müssen?
Transparenz ist ein äußerst wichtiger Faktor bei der Bewertung der Sicherheitsfähigkeit von Softwareergänzungen von Anbietern. Sind sie im Voraus mit ihren eigenen Sicherheitspraktiken? Sie sollten stolz auf ihren Ansatz zur Datensicherheit sein, und dieser sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgends veröffentlicht werden oder keine Informationen verfügbar sind, besteht eine hohe Wahrscheinlichkeit, dass Sicherheit nicht an erster Stelle steht. Der Anbieter sollte in der Lage sein, technische Fragen und unabhängige Zertifizierungen wie ISO 27001 und SOC2 würde auch nicht schaden. Und wenn Sie im Rahmen Ihrer internen Sorgfaltspflichten und Sicherheitspraktiken nicht „unter die Haube schauen“ und nach Sicherheitslücken suchen können, vergessen Sie es.
Da die Nachfrage die Umsetzung von Softwareanforderungen so schnell vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme integriert wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Käufer an der Spitze stehen, und beides sollten ihre Entwickler vor Ort haben, um häufig auftretende Sicherheitslücken und -fehler zu erkennen, bevor sie ausgeliefert werden. Es könnten Hunderte — oder Tausende — von Abhängigkeiten gefährdet sein, wenn das bestehende Spinnennetz der technischen Lösungen um eine neue Erweiterung erweitert wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Also, was ist die Lösung? Alles intern codieren, von Grund auf neu? Wenn es 1998 wäre, könnte das Sinn machen. Aber genauso wie wir Jeeves nicht mehr „fragen“, wo sich die nächste Autowaschanlage befindet, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch keine Wunderwaffe, aber es gibt Lösungen
Für Käufer sollte die Sicherheitsbewertung der Herstellersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikomanagementplans sein. Stellen Sie Fragen zu ihren Zertifizierungen, Praktiken und dem Ruf ihrer Entwickler im Bereich Sicherheit.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen bereit sein, nachzuweisen, dass Sicherheit oberste Priorität hat, und sollten sich auf Weiterqualifizierung konzentrieren. Entwickler mit Sicherheitskenntnissen sind sehr gefragt, und mit die richtigen Tools und Unterstützung, sie können aus Ihrem bestehenden Team aufgebaut werden und sind in der Lage, Angriffe abzuwehren, die auf häufig vorkommenden Sicherheitslücken beruhen. Aber werfen Sie ihnen kein altes Training auf die Sprünge. Geben Sie ihnen Zeit, um erfolgreich zu sein — mit Sicherheitstools, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es sich so einfach wie möglich und beobachten Sie, wie die lästigen Bugs im Code, der das Unternehmen antreibt, immer dünner werden.
Unter dem Strich verschärfen sich alle Softwarerisiken sofort, wenn sie Teil der Lieferkette sind, und betreffen alle Benutzer und alle Systeme, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder sowohl der Anbieter als auch das Unternehmen ihr Sicherheitsprogramm nicht einhalten -, werden verheerendere, weitreichendere Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden — und das ist ein kritisches Problem für alle.
Eine Version dieses Artikels erschien in TechCrunch. Es wurde hier aktualisiert und syndiziert.
Als ob wir im Jahr, das nicht genannt werden kann, nicht schon genug Störungen gehabt hätten, begann 2021 für die US-Regierung mit einem ohrenbetäubenden Paukenschlag in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der SolarWinds-Vorfall war ein verheerender, ausgeklügelter Angriff der Nationalstaaten, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sich bemühte, ihre Endgeräte zu sichern. Praktisch jeder Endbenutzer der SolarWinds-Software war gefährdet, und der Vorfall machte deutlich, dass Cybersicherheit und Verteidigung in den Software-Lieferketten von entscheidender Bedeutung sind.
Il est évident que la cybersécurité est importante, mais qu'est-ce que cela signifie concrètement dans le contexte des chaînes d'approvisionnement ?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software produziert, die jedes Jahr Milliarden von Codezeilen ausmacht, und das nimmt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, nur noch zu. Die Zahl der Entwickler weltweit ist auf dem besten Weg, um fast 29 Millionen bis 2024, und derzeit gibt es keine formelle Zertifizierung, mit der ihre Fähigkeit zum sicheren Programmieren bewertet und zertifiziert werden könnte. Das heißt nicht, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitslücken in die Software gelangen, der wir unsere Daten anvertrauen.
Entwickler werden anhand ihrer Fähigkeit bewertet, Funktionen zu erstellen und Code so schnell wie möglich auszuliefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber diese Meinung beginnt sich zu ändern, da immer mehr Unternehmen das Potenzial erkennen, das in der Verhinderung gängiger Sicherheitslücken in der frühesten Phase der Softwareentwicklung liegt. Realisierung und Implementierung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungskursen jeglicher Kontext rund um sichere Codierungspraktiken ausgelassen wird, liegt es oft am Arbeitsplatz eines Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und der Wissensaustausch selten oder irrelevant sind, werden sie wahrscheinlich unwirksam sein. Daher ist der Kreislauf wiederkehrender Sicherheitslücken aufgrund mangelnder Qualifikationsentwicklung nach wie vor ungebrochen.
Natürlich liegt es nicht in der Verantwortung eines durchschnittlichen Softwareentwicklers, die weltweiten Cybersicherheitsprobleme zu lösen. Schließlich stellen Unternehmen diese sehr teuren Sicherheitsexperten aus einem bestimmten Grund ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich dazu beitragen, die Belastung zu verringern.
Aber was bedeutet das für uns — und die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln —, wenn es darum geht, einen verheerenden Cyberangriff zu verhindern? Dies wird zumindest eine Änderung des Status Quo der Softwarebeschaffung erfordern.
Die Fallstricke, die einer sicheren Software-Lieferkette im Weg stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider genauso zu, wenn es um Softwarelieferungen geht. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verschärften bewährten Sicherheitsmethoden, Investitionen in die Weiterbildung von Entwicklern und der Umstellung auf eine funktionierende DevSecOps-Umgebung auf die Party gegangen ist (d. h. jeder trägt die Verantwortung dafür, dass Software so sicher wie möglich hergestellt wird); wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicher, das Sicherheitsteam sollte dabei helfen, die Sicherheit von Erweiterungen des Tech-Stacks durch Dritte zu beurteilen, aber Entscheidungen können auf der Grundlage geschäftlicher Anforderungen getroffen werden, ohne dass eine große Auswahl an Lösungen besteht. An diesem Punkt kann es sich um eine Vertrauensübung handeln. Kümmert sich der Anbieter genauso um Sicherheit wie Ihr Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, dass nur Sie sie verstehen können, ebenso wie die Vermögenswerte, die Sie schützen müssen?
Transparenz ist ein äußerst wichtiger Faktor bei der Bewertung der Sicherheitsfähigkeit von Softwareergänzungen von Anbietern. Sind sie im Voraus mit ihren eigenen Sicherheitspraktiken? Sie sollten stolz auf ihren Ansatz zur Datensicherheit sein, und dieser sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgends veröffentlicht werden oder keine Informationen verfügbar sind, besteht eine hohe Wahrscheinlichkeit, dass Sicherheit nicht an erster Stelle steht. Der Anbieter sollte in der Lage sein, technische Fragen und unabhängige Zertifizierungen wie ISO 27001 und SOC2 würde auch nicht schaden. Und wenn Sie im Rahmen Ihrer internen Sorgfaltspflichten und Sicherheitspraktiken nicht „unter die Haube schauen“ und nach Sicherheitslücken suchen können, vergessen Sie es.
Da die Nachfrage die Umsetzung von Softwareanforderungen so schnell vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme integriert wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Käufer an der Spitze stehen, und beides sollten ihre Entwickler vor Ort haben, um häufig auftretende Sicherheitslücken und -fehler zu erkennen, bevor sie ausgeliefert werden. Es könnten Hunderte — oder Tausende — von Abhängigkeiten gefährdet sein, wenn das bestehende Spinnennetz der technischen Lösungen um eine neue Erweiterung erweitert wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Also, was ist die Lösung? Alles intern codieren, von Grund auf neu? Wenn es 1998 wäre, könnte das Sinn machen. Aber genauso wie wir Jeeves nicht mehr „fragen“, wo sich die nächste Autowaschanlage befindet, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch keine Wunderwaffe, aber es gibt Lösungen
Für Käufer sollte die Sicherheitsbewertung der Herstellersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikomanagementplans sein. Stellen Sie Fragen zu ihren Zertifizierungen, Praktiken und dem Ruf ihrer Entwickler im Bereich Sicherheit.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen bereit sein, nachzuweisen, dass Sicherheit oberste Priorität hat, und sollten sich auf Weiterqualifizierung konzentrieren. Entwickler mit Sicherheitskenntnissen sind sehr gefragt, und mit die richtigen Tools und Unterstützung, sie können aus Ihrem bestehenden Team aufgebaut werden und sind in der Lage, Angriffe abzuwehren, die auf häufig vorkommenden Sicherheitslücken beruhen. Aber werfen Sie ihnen kein altes Training auf die Sprünge. Geben Sie ihnen Zeit, um erfolgreich zu sein — mit Sicherheitstools, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es sich so einfach wie möglich und beobachten Sie, wie die lästigen Bugs im Code, der das Unternehmen antreibt, immer dünner werden.
Unter dem Strich verschärfen sich alle Softwarerisiken sofort, wenn sie Teil der Lieferkette sind, und betreffen alle Benutzer und alle Systeme, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder sowohl der Anbieter als auch das Unternehmen ihr Sicherheitsprogramm nicht einhalten -, werden verheerendere, weitreichendere Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden — und das ist ein kritisches Problem für alle.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in TechCrunch. Es wurde hier aktualisiert und syndiziert.
Als ob wir im Jahr, das nicht genannt werden kann, nicht schon genug Störungen gehabt hätten, begann 2021 für die US-Regierung mit einem ohrenbetäubenden Paukenschlag in Form einer der schlimmsten Datenschutzverletzungen aller Zeiten. Der SolarWinds-Vorfall war ein verheerender, ausgeklügelter Angriff der Nationalstaaten, der mehrere Regierungsbehörden und große Organisationen in Panik versetzte und sich bemühte, ihre Endgeräte zu sichern. Praktisch jeder Endbenutzer der SolarWinds-Software war gefährdet, und der Vorfall machte deutlich, dass Cybersicherheit und Verteidigung in den Software-Lieferketten von entscheidender Bedeutung sind.
Il est évident que la cybersécurité est importante, mais qu'est-ce que cela signifie concrètement dans le contexte des chaînes d'approvisionnement ?
Der Stand der Cybersicherheit in einem durchschnittlichen Entwicklungsteam
Jeden Tag wird eine enorme Menge an Software produziert, die jedes Jahr Milliarden von Codezeilen ausmacht, und das nimmt mit der Nachfrage, die durch unseren zunehmend digitalen Lebensstil entsteht, nur noch zu. Die Zahl der Entwickler weltweit ist auf dem besten Weg, um fast 29 Millionen bis 2024, und derzeit gibt es keine formelle Zertifizierung, mit der ihre Fähigkeit zum sicheren Programmieren bewertet und zertifiziert werden könnte. Das heißt nicht, dass jeder Entwickler unsicheren Code produziert oder wiederverwendet, aber es besteht zweifellos ein anhaltendes Risiko, dass grundlegende Sicherheitslücken in die Software gelangen, der wir unsere Daten anvertrauen.
Entwickler werden anhand ihrer Fähigkeit bewertet, Funktionen zu erstellen und Code so schnell wie möglich auszuliefern. Sicherheit war in den meisten Unternehmen kein Maßstab für ihren Erfolg, aber diese Meinung beginnt sich zu ändern, da immer mehr Unternehmen das Potenzial erkennen, das in der Verhinderung gängiger Sicherheitslücken in der frühesten Phase der Softwareentwicklung liegt. Realisierung und Implementierung sind jedoch zwei verschiedene Dinge, und da in den meisten tertiären Entwicklungskursen jeglicher Kontext rund um sichere Codierungspraktiken ausgelassen wird, liegt es oft am Arbeitsplatz eines Entwicklers, das Defizit auszugleichen. Wenn der Aufbau von Fähigkeiten und der Wissensaustausch selten oder irrelevant sind, werden sie wahrscheinlich unwirksam sein. Daher ist der Kreislauf wiederkehrender Sicherheitslücken aufgrund mangelnder Qualifikationsentwicklung nach wie vor ungebrochen.
Natürlich liegt es nicht in der Verantwortung eines durchschnittlichen Softwareentwicklers, die weltweiten Cybersicherheitsprobleme zu lösen. Schließlich stellen Unternehmen diese sehr teuren Sicherheitsexperten aus einem bestimmten Grund ein. Sicherheitsgurus sind jedoch Mangelware, und Entwickler können sicherlich dazu beitragen, die Belastung zu verringern.
Aber was bedeutet das für uns — und die Anbieter, die Software für kritische Infrastrukturen und sensible Organisationen entwickeln —, wenn es darum geht, einen verheerenden Cyberangriff zu verhindern? Dies wird zumindest eine Änderung des Status Quo der Softwarebeschaffung erfordern.
Die Fallstricke, die einer sicheren Software-Lieferkette im Weg stehen
Das alte Sprichwort, dass eine Kette nur so stark ist wie ihr schwächstes Glied, trifft leider genauso zu, wenn es um Softwarelieferungen geht. Es spielt wirklich keine Rolle, ob Ihr Unternehmen mit verschärften bewährten Sicherheitsmethoden, Investitionen in die Weiterbildung von Entwicklern und der Umstellung auf eine funktionierende DevSecOps-Umgebung auf die Party gegangen ist (d. h. jeder trägt die Verantwortung dafür, dass Software so sicher wie möglich hergestellt wird); wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen.
Sicher, das Sicherheitsteam sollte dabei helfen, die Sicherheit von Erweiterungen des Tech-Stacks durch Dritte zu beurteilen, aber Entscheidungen können auf der Grundlage geschäftlicher Anforderungen getroffen werden, ohne dass eine große Auswahl an Lösungen besteht. An diesem Punkt kann es sich um eine Vertrauensübung handeln. Kümmert sich der Anbieter genauso um Sicherheit wie Ihr Unternehmen? Und kann der Anbieter die Risiken tatsächlich so einschätzen, dass nur Sie sie verstehen können, ebenso wie die Vermögenswerte, die Sie schützen müssen?
Transparenz ist ein äußerst wichtiger Faktor bei der Bewertung der Sicherheitsfähigkeit von Softwareergänzungen von Anbietern. Sind sie im Voraus mit ihren eigenen Sicherheitspraktiken? Sie sollten stolz auf ihren Ansatz zur Datensicherheit sein, und dieser sollte oberste Priorität haben. Wenn die Sicherheitspraktiken nirgends veröffentlicht werden oder keine Informationen verfügbar sind, besteht eine hohe Wahrscheinlichkeit, dass Sicherheit nicht an erster Stelle steht. Der Anbieter sollte in der Lage sein, technische Fragen und unabhängige Zertifizierungen wie ISO 27001 und SOC2 würde auch nicht schaden. Und wenn Sie im Rahmen Ihrer internen Sorgfaltspflichten und Sicherheitspraktiken nicht „unter die Haube schauen“ und nach Sicherheitslücken suchen können, vergessen Sie es.
Da die Nachfrage die Umsetzung von Softwareanforderungen so schnell vorantreibt, insbesondere wenn der Code des Anbieters in bestehende Systeme integriert wird, um Aktionen in einem neuen Kontext auszuführen, müssen sowohl der Anbieter als auch der Käufer an der Spitze stehen, und beides sollten ihre Entwickler vor Ort haben, um häufig auftretende Sicherheitslücken und -fehler zu erkennen, bevor sie ausgeliefert werden. Es könnten Hunderte — oder Tausende — von Abhängigkeiten gefährdet sein, wenn das bestehende Spinnennetz der technischen Lösungen um eine neue Erweiterung erweitert wird, und ein kleiner Fehler könnte zu einem katastrophalen Untergang führen.
Also, was ist die Lösung? Alles intern codieren, von Grund auf neu? Wenn es 1998 wäre, könnte das Sinn machen. Aber genauso wie wir Jeeves nicht mehr „fragen“, wo sich die nächste Autowaschanlage befindet, müssen wir realistische Sicherheitsvorkehrungen treffen, die im heutigen Kontext funktionieren.
Es gibt immer noch keine Wunderwaffe, aber es gibt Lösungen
Für Käufer sollte die Sicherheitsbewertung der Herstellersoftware und der Entwicklungspraktiken eine Priorität des gesamten Sicherheitsprogramms und des Risikomanagementplans sein. Stellen Sie Fragen zu ihren Zertifizierungen, Praktiken und dem Ruf ihrer Entwickler im Bereich Sicherheit.
Anbieter (und in der Tat alle Unternehmen, die Software entwickeln) müssen bereit sein, nachzuweisen, dass Sicherheit oberste Priorität hat, und sollten sich auf Weiterqualifizierung konzentrieren. Entwickler mit Sicherheitskenntnissen sind sehr gefragt, und mit die richtigen Tools und Unterstützung, sie können aus Ihrem bestehenden Team aufgebaut werden und sind in der Lage, Angriffe abzuwehren, die auf häufig vorkommenden Sicherheitslücken beruhen. Aber werfen Sie ihnen kein altes Training auf die Sprünge. Geben Sie ihnen Zeit, um erfolgreich zu sein — mit Sicherheitstools, die ihre bestehenden Arbeitsabläufe ergänzen. Machen Sie es sich so einfach wie möglich und beobachten Sie, wie die lästigen Bugs im Code, der das Unternehmen antreibt, immer dünner werden.
Unter dem Strich verschärfen sich alle Softwarerisiken sofort, wenn sie Teil der Lieferkette sind, und betreffen alle Benutzer und alle Systeme, in denen anfällige Komponenten verwendet wurden. Wenn die Anbieter die Sicherheit nicht so ernst nehmen wie die Unternehmen, die ihre Software implementieren - oder sowohl der Anbieter als auch das Unternehmen ihr Sicherheitsprogramm nicht einhalten -, werden verheerendere, weitreichendere Angriffe auf die Lieferkette wie SolarWinds unweigerlich zur Norm werden — und das ist ein kritisches Problem für alle.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
