Repenser les logiciels dans la hiérarchie organisationnelle
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Jeder hat wahrscheinlich irgendwann in seiner Karriere eines dieser operativen Berichts- oder Hierarchiediagramme gesehen, in denen definiert wird, wer in einer Organisation an wen berichtet. Manchmal einfach genannt Organigramm, es ist ein nützliches Tool, um die Leute wissen zu lassen, wer für sie arbeitet und wer ihre Chefs sind. In einem typischen Organigramm könnte beispielsweise der Leiter einer Programmiergruppe dem Direktor für Produktentwicklung unterstellt sein, der wiederum dem Vizepräsidenten für Innovation unterstellt ist. Und dann setzen sich die Zuständigkeitsbereiche in der Unternehmensstruktur fort. Wer hat sich nicht eines dieser Diagramme angesehen, um zu versuchen, seinen persönlichen kleinen Block zu finden, der sich irgendwo darin befindet?
Es ist kein Wunder, dass Menschen von Hierarchie und Struktur so fasziniert sind. Es ist das, was uns historisch gesehen als Spezies so lange am Leben erhalten hat, sogar in der Antike, als wir mit einer sehr gefährlichen Welt konfrontiert waren. Wir waren nie die stärksten oder schnellsten Kreaturen, aber wir haben in Teams gut zusammengearbeitet, wobei jeder seinen Platz und seine Verantwortung kannte, um unsere Familie, unseren Stamm oder unsere Gruppe zusammenzuhalten, am Leben und Gedeihen zu halten. Das moderne Organigramm ist eigentlich eine Fortsetzung dieser Zeiten und dieses uralten Erfolgs.
Eines hat jedoch fast jedes Organigramm gemeinsam, unabhängig von der Größe des Unternehmens oder anderen Faktoren. In den meisten Fällen stellen alle Bausteine in diesen Diagrammen Menschen oder Gruppen von Menschen dar. Wir sind noch nicht an dem Punkt angelangt, an dem Maschinen in der Lage sind, Menschen zu beaufsichtigen. Deshalb sind Organigramme vorerst eine ausschließlich menschliche Angelegenheit. Aber braucht unsere Software auch eine Organisationshierarchie?
Natürlich schlage ich nicht vor, dass wir unsere Unternehmensorganigramme um Software erweitern. Niemand möchte eine App für einen Chef haben. Wie würdest du sie überhaupt um eine Gehaltserhöhung bitten? Aber die Bedrohungslandschaft, mit der unsere Anwendungen und Programme heutzutage konfrontiert sind, ist der gefährlichen Umgebung nicht unähnlich, mit der unsere Vorfahren vor langer Zeit konfrontiert waren. Indem wir dabei helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software trotz der verheerend rauen Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Angriffe auf Apps und Software erreichen ein Allzeithoch
Um zu verstehen, dass bessere Organisationshierarchien für Software geschaffen werden müssen, ist es wichtig, zunächst die Bedrohungslandschaft zu verstehen. Heutzutage suchen die Angreifer und die für sie geeigneten Bots und die automatisierungsgesteuerte Software ständig nach Schwachstellen in den Abwehrmechanismen, die sie ausnutzen können. Und obwohl Phishing und andere Angriffe gegen Menschen immer noch gestartet werden, haben die erfahrensten Hacker den Großteil ihrer Bemühungen auf Angriffe auf Software verlagert.
Und während die gesamte Software ins Visier genommen wird, richten sich die erfolgreichsten Angriffe gegen Anwendungsprogrammierschnittstellen (APIs). Diese unscheinbaren APIs sind winzige Softwareteile, mit denen Entwickler eine Vielzahl kleiner, aber wichtiger Aufgaben für ihre Apps und Programme ausführen. Sie sind oft flexibel und einzigartig und werden manchmal sogar spontan erstellt, wenn dies im Entwicklungsprozess erforderlich ist.
APIs sind sicherlich flexibel, aber oft auch viel zu viel erlaubt für ihre Funktionen. Entwickler neigen dazu, ihnen viele Berechtigungen zu geben, damit sie beispielsweise weiterhin funktionieren können, auch wenn sich das Programm, an dessen Verwaltung sie mitarbeiten, ständig weiterentwickelt und verändert wird. Das heißt aber, wenn ein Angreifer sie kompromittiert, dann erhält er viel mehr als nur Zugriffsrechte, zum Beispiel auf einen Teil einer bestimmten Datenbank. Sie können sogar fast Administratorrechte für ein ganzes Netzwerk abgreifen.
Es ist kein Wunder, dass mehrere Sicherheitsforschungsunternehmen angeben, dass die überwältigende Mehrheit der Angriffe zum Stehlen von Zugangsdaten heute gegen Software wie APIs erfolgt. Akamai beziffert diese Zahl auf 75% des Gesamtbetrags, während Gartner das auch sagt Sicherheitslücken im Zusammenhang mit APIs sind zum häufigsten Angriffsvektor geworden. Und der jüngste Bericht von Salt Labs zeigt Angriffe gegen APIs steigt um fast 700% verglichen mit dem Vorjahr.
Erstellen eines Organigramms für Software
Unternehmen wehren sich unter anderem gegen Bedrohungen durch den Diebstahl von Zugangsdaten, indem sie in ihren Netzwerken die geringsten Rechte oder sogar Zero-Trust durchsetzen. Dadurch erhalten Benutzer nur noch knapp genug Berechtigungen, um ihren Job oder ihre Aufgaben zu erledigen. Dieser Zugriff wird oft durch Faktoren wie Zeit und Ort weiter eingeschränkt. Selbst wenn ein Angriff zum Stehlen von Anmeldeinformationen erfolgreich ist, nützt das dem Angreifer auf diese Weise nicht viel, da er nur für kurze Zeit die Erlaubnis hat, eingeschränkte Funktionen auszuführen.
Geringste Privilegien sind eine gute Verteidigung, werden aber normalerweise nur auf menschliche Benutzer angewendet. Wir neigen dazu zu vergessen, dass APIs auch über erhöhte Rechte verfügen und oft nicht annähernd so reguliert sind. Das ist einer der Gründe dafür kaputte Zugangskontrolle ist laut dem Open Web Application Security Project (OWASP), das Cyberangriffsmuster verfolgt, heute Staatsfeind Nummer eins.
Es ist leicht zu sagen, dass die Lösung für dieses kritische Problem darin besteht, Software einfach mit den geringsten Rechten zu versehen. Aber es ist viel schwieriger zu implementieren. Zunächst müssen Entwickler auf die Gefahren aufmerksam gemacht werden. Und in Zukunft sollten APIs und andere Software entweder offiziell als Teil eines Organigramms innerhalb des Computernetzwerks, in dem sie sich befinden werden, platziert oder zumindest als Teil eines Organigramms dargestellt werden. Wenn beispielsweise eine API Flugdaten in Echtzeit als Teil einer Buchungsanwendung abrufen soll, dann gibt es keinen Grund, warum sie auch in der Lage sein sollte, eine Verbindung zu Gehaltsabrechnungs- oder Finanzsystemen herzustellen. Auf dem Software-Organigramm gäbe es keine direkten oder gar gepunkteten Linien, die diese Systeme verbinden.
Es ist wahrscheinlich unrealistisch, dass Entwickler tatsächlich ein Organigramm erstellen, das die Tausenden oder sogar Millionen von APIs zeigt, die in ihrer Organisation arbeiten. Aber sich der Gefahr bewusst zu sein, die von ihnen ausgeht, und ihre Berechtigungen auf genau das zu beschränken, was sie für ihre Arbeit benötigen, wird wesentlich dazu beitragen, die grassierenden Angriffe auf den Diebstahl von Anmeldeinformationen zu stoppen, mit denen heutzutage jeder konfrontiert ist. Es beginnt mit der Sensibilisierung und endet damit, APIs und Software mit der gleichen Sorgfalt zu behandeln wie menschliche Benutzer.
Möchten Sie Ihr Entwicklungsteam erweitern? Bewältigen Sie API-Sicherheitsprobleme und mehr mit unseren agile Lernplattform und Sicherheitstools, bei denen Entwickler an erster Stelle stehen.
En contribuant à définir les responsabilités de nos applications et logiciels au sein d'une hiérarchie stricte et en appliquant ces directives avec le minimum de droits, nous pouvons garantir que nos applications et logiciels survivent et prospèrent malgré les menaces auxquelles ils sont exposés.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Jeder hat wahrscheinlich irgendwann in seiner Karriere eines dieser operativen Berichts- oder Hierarchiediagramme gesehen, in denen definiert wird, wer in einer Organisation an wen berichtet. Manchmal einfach genannt Organigramm, es ist ein nützliches Tool, um die Leute wissen zu lassen, wer für sie arbeitet und wer ihre Chefs sind. In einem typischen Organigramm könnte beispielsweise der Leiter einer Programmiergruppe dem Direktor für Produktentwicklung unterstellt sein, der wiederum dem Vizepräsidenten für Innovation unterstellt ist. Und dann setzen sich die Zuständigkeitsbereiche in der Unternehmensstruktur fort. Wer hat sich nicht eines dieser Diagramme angesehen, um zu versuchen, seinen persönlichen kleinen Block zu finden, der sich irgendwo darin befindet?
Es ist kein Wunder, dass Menschen von Hierarchie und Struktur so fasziniert sind. Es ist das, was uns historisch gesehen als Spezies so lange am Leben erhalten hat, sogar in der Antike, als wir mit einer sehr gefährlichen Welt konfrontiert waren. Wir waren nie die stärksten oder schnellsten Kreaturen, aber wir haben in Teams gut zusammengearbeitet, wobei jeder seinen Platz und seine Verantwortung kannte, um unsere Familie, unseren Stamm oder unsere Gruppe zusammenzuhalten, am Leben und Gedeihen zu halten. Das moderne Organigramm ist eigentlich eine Fortsetzung dieser Zeiten und dieses uralten Erfolgs.
Eines hat jedoch fast jedes Organigramm gemeinsam, unabhängig von der Größe des Unternehmens oder anderen Faktoren. In den meisten Fällen stellen alle Bausteine in diesen Diagrammen Menschen oder Gruppen von Menschen dar. Wir sind noch nicht an dem Punkt angelangt, an dem Maschinen in der Lage sind, Menschen zu beaufsichtigen. Deshalb sind Organigramme vorerst eine ausschließlich menschliche Angelegenheit. Aber braucht unsere Software auch eine Organisationshierarchie?
Natürlich schlage ich nicht vor, dass wir unsere Unternehmensorganigramme um Software erweitern. Niemand möchte eine App für einen Chef haben. Wie würdest du sie überhaupt um eine Gehaltserhöhung bitten? Aber die Bedrohungslandschaft, mit der unsere Anwendungen und Programme heutzutage konfrontiert sind, ist der gefährlichen Umgebung nicht unähnlich, mit der unsere Vorfahren vor langer Zeit konfrontiert waren. Indem wir dabei helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software trotz der verheerend rauen Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Angriffe auf Apps und Software erreichen ein Allzeithoch
Um zu verstehen, dass bessere Organisationshierarchien für Software geschaffen werden müssen, ist es wichtig, zunächst die Bedrohungslandschaft zu verstehen. Heutzutage suchen die Angreifer und die für sie geeigneten Bots und die automatisierungsgesteuerte Software ständig nach Schwachstellen in den Abwehrmechanismen, die sie ausnutzen können. Und obwohl Phishing und andere Angriffe gegen Menschen immer noch gestartet werden, haben die erfahrensten Hacker den Großteil ihrer Bemühungen auf Angriffe auf Software verlagert.
Und während die gesamte Software ins Visier genommen wird, richten sich die erfolgreichsten Angriffe gegen Anwendungsprogrammierschnittstellen (APIs). Diese unscheinbaren APIs sind winzige Softwareteile, mit denen Entwickler eine Vielzahl kleiner, aber wichtiger Aufgaben für ihre Apps und Programme ausführen. Sie sind oft flexibel und einzigartig und werden manchmal sogar spontan erstellt, wenn dies im Entwicklungsprozess erforderlich ist.
APIs sind sicherlich flexibel, aber oft auch viel zu viel erlaubt für ihre Funktionen. Entwickler neigen dazu, ihnen viele Berechtigungen zu geben, damit sie beispielsweise weiterhin funktionieren können, auch wenn sich das Programm, an dessen Verwaltung sie mitarbeiten, ständig weiterentwickelt und verändert wird. Das heißt aber, wenn ein Angreifer sie kompromittiert, dann erhält er viel mehr als nur Zugriffsrechte, zum Beispiel auf einen Teil einer bestimmten Datenbank. Sie können sogar fast Administratorrechte für ein ganzes Netzwerk abgreifen.
Es ist kein Wunder, dass mehrere Sicherheitsforschungsunternehmen angeben, dass die überwältigende Mehrheit der Angriffe zum Stehlen von Zugangsdaten heute gegen Software wie APIs erfolgt. Akamai beziffert diese Zahl auf 75% des Gesamtbetrags, während Gartner das auch sagt Sicherheitslücken im Zusammenhang mit APIs sind zum häufigsten Angriffsvektor geworden. Und der jüngste Bericht von Salt Labs zeigt Angriffe gegen APIs steigt um fast 700% verglichen mit dem Vorjahr.
Erstellen eines Organigramms für Software
Unternehmen wehren sich unter anderem gegen Bedrohungen durch den Diebstahl von Zugangsdaten, indem sie in ihren Netzwerken die geringsten Rechte oder sogar Zero-Trust durchsetzen. Dadurch erhalten Benutzer nur noch knapp genug Berechtigungen, um ihren Job oder ihre Aufgaben zu erledigen. Dieser Zugriff wird oft durch Faktoren wie Zeit und Ort weiter eingeschränkt. Selbst wenn ein Angriff zum Stehlen von Anmeldeinformationen erfolgreich ist, nützt das dem Angreifer auf diese Weise nicht viel, da er nur für kurze Zeit die Erlaubnis hat, eingeschränkte Funktionen auszuführen.
Geringste Privilegien sind eine gute Verteidigung, werden aber normalerweise nur auf menschliche Benutzer angewendet. Wir neigen dazu zu vergessen, dass APIs auch über erhöhte Rechte verfügen und oft nicht annähernd so reguliert sind. Das ist einer der Gründe dafür kaputte Zugangskontrolle ist laut dem Open Web Application Security Project (OWASP), das Cyberangriffsmuster verfolgt, heute Staatsfeind Nummer eins.
Es ist leicht zu sagen, dass die Lösung für dieses kritische Problem darin besteht, Software einfach mit den geringsten Rechten zu versehen. Aber es ist viel schwieriger zu implementieren. Zunächst müssen Entwickler auf die Gefahren aufmerksam gemacht werden. Und in Zukunft sollten APIs und andere Software entweder offiziell als Teil eines Organigramms innerhalb des Computernetzwerks, in dem sie sich befinden werden, platziert oder zumindest als Teil eines Organigramms dargestellt werden. Wenn beispielsweise eine API Flugdaten in Echtzeit als Teil einer Buchungsanwendung abrufen soll, dann gibt es keinen Grund, warum sie auch in der Lage sein sollte, eine Verbindung zu Gehaltsabrechnungs- oder Finanzsystemen herzustellen. Auf dem Software-Organigramm gäbe es keine direkten oder gar gepunkteten Linien, die diese Systeme verbinden.
Es ist wahrscheinlich unrealistisch, dass Entwickler tatsächlich ein Organigramm erstellen, das die Tausenden oder sogar Millionen von APIs zeigt, die in ihrer Organisation arbeiten. Aber sich der Gefahr bewusst zu sein, die von ihnen ausgeht, und ihre Berechtigungen auf genau das zu beschränken, was sie für ihre Arbeit benötigen, wird wesentlich dazu beitragen, die grassierenden Angriffe auf den Diebstahl von Anmeldeinformationen zu stoppen, mit denen heutzutage jeder konfrontiert ist. Es beginnt mit der Sensibilisierung und endet damit, APIs und Software mit der gleichen Sorgfalt zu behandeln wie menschliche Benutzer.
Möchten Sie Ihr Entwicklungsteam erweitern? Bewältigen Sie API-Sicherheitsprobleme und mehr mit unseren agile Lernplattform und Sicherheitstools, bei denen Entwickler an erster Stelle stehen.
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Jeder hat wahrscheinlich irgendwann in seiner Karriere eines dieser operativen Berichts- oder Hierarchiediagramme gesehen, in denen definiert wird, wer in einer Organisation an wen berichtet. Manchmal einfach genannt Organigramm, es ist ein nützliches Tool, um die Leute wissen zu lassen, wer für sie arbeitet und wer ihre Chefs sind. In einem typischen Organigramm könnte beispielsweise der Leiter einer Programmiergruppe dem Direktor für Produktentwicklung unterstellt sein, der wiederum dem Vizepräsidenten für Innovation unterstellt ist. Und dann setzen sich die Zuständigkeitsbereiche in der Unternehmensstruktur fort. Wer hat sich nicht eines dieser Diagramme angesehen, um zu versuchen, seinen persönlichen kleinen Block zu finden, der sich irgendwo darin befindet?
Es ist kein Wunder, dass Menschen von Hierarchie und Struktur so fasziniert sind. Es ist das, was uns historisch gesehen als Spezies so lange am Leben erhalten hat, sogar in der Antike, als wir mit einer sehr gefährlichen Welt konfrontiert waren. Wir waren nie die stärksten oder schnellsten Kreaturen, aber wir haben in Teams gut zusammengearbeitet, wobei jeder seinen Platz und seine Verantwortung kannte, um unsere Familie, unseren Stamm oder unsere Gruppe zusammenzuhalten, am Leben und Gedeihen zu halten. Das moderne Organigramm ist eigentlich eine Fortsetzung dieser Zeiten und dieses uralten Erfolgs.
Eines hat jedoch fast jedes Organigramm gemeinsam, unabhängig von der Größe des Unternehmens oder anderen Faktoren. In den meisten Fällen stellen alle Bausteine in diesen Diagrammen Menschen oder Gruppen von Menschen dar. Wir sind noch nicht an dem Punkt angelangt, an dem Maschinen in der Lage sind, Menschen zu beaufsichtigen. Deshalb sind Organigramme vorerst eine ausschließlich menschliche Angelegenheit. Aber braucht unsere Software auch eine Organisationshierarchie?
Natürlich schlage ich nicht vor, dass wir unsere Unternehmensorganigramme um Software erweitern. Niemand möchte eine App für einen Chef haben. Wie würdest du sie überhaupt um eine Gehaltserhöhung bitten? Aber die Bedrohungslandschaft, mit der unsere Anwendungen und Programme heutzutage konfrontiert sind, ist der gefährlichen Umgebung nicht unähnlich, mit der unsere Vorfahren vor langer Zeit konfrontiert waren. Indem wir dabei helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software trotz der verheerend rauen Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Angriffe auf Apps und Software erreichen ein Allzeithoch
Um zu verstehen, dass bessere Organisationshierarchien für Software geschaffen werden müssen, ist es wichtig, zunächst die Bedrohungslandschaft zu verstehen. Heutzutage suchen die Angreifer und die für sie geeigneten Bots und die automatisierungsgesteuerte Software ständig nach Schwachstellen in den Abwehrmechanismen, die sie ausnutzen können. Und obwohl Phishing und andere Angriffe gegen Menschen immer noch gestartet werden, haben die erfahrensten Hacker den Großteil ihrer Bemühungen auf Angriffe auf Software verlagert.
Und während die gesamte Software ins Visier genommen wird, richten sich die erfolgreichsten Angriffe gegen Anwendungsprogrammierschnittstellen (APIs). Diese unscheinbaren APIs sind winzige Softwareteile, mit denen Entwickler eine Vielzahl kleiner, aber wichtiger Aufgaben für ihre Apps und Programme ausführen. Sie sind oft flexibel und einzigartig und werden manchmal sogar spontan erstellt, wenn dies im Entwicklungsprozess erforderlich ist.
APIs sind sicherlich flexibel, aber oft auch viel zu viel erlaubt für ihre Funktionen. Entwickler neigen dazu, ihnen viele Berechtigungen zu geben, damit sie beispielsweise weiterhin funktionieren können, auch wenn sich das Programm, an dessen Verwaltung sie mitarbeiten, ständig weiterentwickelt und verändert wird. Das heißt aber, wenn ein Angreifer sie kompromittiert, dann erhält er viel mehr als nur Zugriffsrechte, zum Beispiel auf einen Teil einer bestimmten Datenbank. Sie können sogar fast Administratorrechte für ein ganzes Netzwerk abgreifen.
Es ist kein Wunder, dass mehrere Sicherheitsforschungsunternehmen angeben, dass die überwältigende Mehrheit der Angriffe zum Stehlen von Zugangsdaten heute gegen Software wie APIs erfolgt. Akamai beziffert diese Zahl auf 75% des Gesamtbetrags, während Gartner das auch sagt Sicherheitslücken im Zusammenhang mit APIs sind zum häufigsten Angriffsvektor geworden. Und der jüngste Bericht von Salt Labs zeigt Angriffe gegen APIs steigt um fast 700% verglichen mit dem Vorjahr.
Erstellen eines Organigramms für Software
Unternehmen wehren sich unter anderem gegen Bedrohungen durch den Diebstahl von Zugangsdaten, indem sie in ihren Netzwerken die geringsten Rechte oder sogar Zero-Trust durchsetzen. Dadurch erhalten Benutzer nur noch knapp genug Berechtigungen, um ihren Job oder ihre Aufgaben zu erledigen. Dieser Zugriff wird oft durch Faktoren wie Zeit und Ort weiter eingeschränkt. Selbst wenn ein Angriff zum Stehlen von Anmeldeinformationen erfolgreich ist, nützt das dem Angreifer auf diese Weise nicht viel, da er nur für kurze Zeit die Erlaubnis hat, eingeschränkte Funktionen auszuführen.
Geringste Privilegien sind eine gute Verteidigung, werden aber normalerweise nur auf menschliche Benutzer angewendet. Wir neigen dazu zu vergessen, dass APIs auch über erhöhte Rechte verfügen und oft nicht annähernd so reguliert sind. Das ist einer der Gründe dafür kaputte Zugangskontrolle ist laut dem Open Web Application Security Project (OWASP), das Cyberangriffsmuster verfolgt, heute Staatsfeind Nummer eins.
Es ist leicht zu sagen, dass die Lösung für dieses kritische Problem darin besteht, Software einfach mit den geringsten Rechten zu versehen. Aber es ist viel schwieriger zu implementieren. Zunächst müssen Entwickler auf die Gefahren aufmerksam gemacht werden. Und in Zukunft sollten APIs und andere Software entweder offiziell als Teil eines Organigramms innerhalb des Computernetzwerks, in dem sie sich befinden werden, platziert oder zumindest als Teil eines Organigramms dargestellt werden. Wenn beispielsweise eine API Flugdaten in Echtzeit als Teil einer Buchungsanwendung abrufen soll, dann gibt es keinen Grund, warum sie auch in der Lage sein sollte, eine Verbindung zu Gehaltsabrechnungs- oder Finanzsystemen herzustellen. Auf dem Software-Organigramm gäbe es keine direkten oder gar gepunkteten Linien, die diese Systeme verbinden.
Es ist wahrscheinlich unrealistisch, dass Entwickler tatsächlich ein Organigramm erstellen, das die Tausenden oder sogar Millionen von APIs zeigt, die in ihrer Organisation arbeiten. Aber sich der Gefahr bewusst zu sein, die von ihnen ausgeht, und ihre Berechtigungen auf genau das zu beschränken, was sie für ihre Arbeit benötigen, wird wesentlich dazu beitragen, die grassierenden Angriffe auf den Diebstahl von Anmeldeinformationen zu stoppen, mit denen heutzutage jeder konfrontiert ist. Es beginnt mit der Sensibilisierung und endet damit, APIs und Software mit der gleichen Sorgfalt zu behandeln wie menschliche Benutzer.
Möchten Sie Ihr Entwicklungsteam erweitern? Bewältigen Sie API-Sicherheitsprobleme und mehr mit unseren agile Lernplattform und Sicherheitstools, bei denen Entwickler an erster Stelle stehen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.
Jeder hat wahrscheinlich irgendwann in seiner Karriere eines dieser operativen Berichts- oder Hierarchiediagramme gesehen, in denen definiert wird, wer in einer Organisation an wen berichtet. Manchmal einfach genannt Organigramm, es ist ein nützliches Tool, um die Leute wissen zu lassen, wer für sie arbeitet und wer ihre Chefs sind. In einem typischen Organigramm könnte beispielsweise der Leiter einer Programmiergruppe dem Direktor für Produktentwicklung unterstellt sein, der wiederum dem Vizepräsidenten für Innovation unterstellt ist. Und dann setzen sich die Zuständigkeitsbereiche in der Unternehmensstruktur fort. Wer hat sich nicht eines dieser Diagramme angesehen, um zu versuchen, seinen persönlichen kleinen Block zu finden, der sich irgendwo darin befindet?
Es ist kein Wunder, dass Menschen von Hierarchie und Struktur so fasziniert sind. Es ist das, was uns historisch gesehen als Spezies so lange am Leben erhalten hat, sogar in der Antike, als wir mit einer sehr gefährlichen Welt konfrontiert waren. Wir waren nie die stärksten oder schnellsten Kreaturen, aber wir haben in Teams gut zusammengearbeitet, wobei jeder seinen Platz und seine Verantwortung kannte, um unsere Familie, unseren Stamm oder unsere Gruppe zusammenzuhalten, am Leben und Gedeihen zu halten. Das moderne Organigramm ist eigentlich eine Fortsetzung dieser Zeiten und dieses uralten Erfolgs.
Eines hat jedoch fast jedes Organigramm gemeinsam, unabhängig von der Größe des Unternehmens oder anderen Faktoren. In den meisten Fällen stellen alle Bausteine in diesen Diagrammen Menschen oder Gruppen von Menschen dar. Wir sind noch nicht an dem Punkt angelangt, an dem Maschinen in der Lage sind, Menschen zu beaufsichtigen. Deshalb sind Organigramme vorerst eine ausschließlich menschliche Angelegenheit. Aber braucht unsere Software auch eine Organisationshierarchie?
Natürlich schlage ich nicht vor, dass wir unsere Unternehmensorganigramme um Software erweitern. Niemand möchte eine App für einen Chef haben. Wie würdest du sie überhaupt um eine Gehaltserhöhung bitten? Aber die Bedrohungslandschaft, mit der unsere Anwendungen und Programme heutzutage konfrontiert sind, ist der gefährlichen Umgebung nicht unähnlich, mit der unsere Vorfahren vor langer Zeit konfrontiert waren. Indem wir dabei helfen, die Verantwortlichkeiten unserer Apps und Software innerhalb einer engen Hierarchie zu definieren und diese Richtlinien mit den geringsten Rechten durchzusetzen, können wir sicherstellen, dass unsere Apps und Software trotz der verheerend rauen Bedrohungslandschaft, der sie ausgesetzt sind, überleben und gedeihen.
Angriffe auf Apps und Software erreichen ein Allzeithoch
Um zu verstehen, dass bessere Organisationshierarchien für Software geschaffen werden müssen, ist es wichtig, zunächst die Bedrohungslandschaft zu verstehen. Heutzutage suchen die Angreifer und die für sie geeigneten Bots und die automatisierungsgesteuerte Software ständig nach Schwachstellen in den Abwehrmechanismen, die sie ausnutzen können. Und obwohl Phishing und andere Angriffe gegen Menschen immer noch gestartet werden, haben die erfahrensten Hacker den Großteil ihrer Bemühungen auf Angriffe auf Software verlagert.
Und während die gesamte Software ins Visier genommen wird, richten sich die erfolgreichsten Angriffe gegen Anwendungsprogrammierschnittstellen (APIs). Diese unscheinbaren APIs sind winzige Softwareteile, mit denen Entwickler eine Vielzahl kleiner, aber wichtiger Aufgaben für ihre Apps und Programme ausführen. Sie sind oft flexibel und einzigartig und werden manchmal sogar spontan erstellt, wenn dies im Entwicklungsprozess erforderlich ist.
APIs sind sicherlich flexibel, aber oft auch viel zu viel erlaubt für ihre Funktionen. Entwickler neigen dazu, ihnen viele Berechtigungen zu geben, damit sie beispielsweise weiterhin funktionieren können, auch wenn sich das Programm, an dessen Verwaltung sie mitarbeiten, ständig weiterentwickelt und verändert wird. Das heißt aber, wenn ein Angreifer sie kompromittiert, dann erhält er viel mehr als nur Zugriffsrechte, zum Beispiel auf einen Teil einer bestimmten Datenbank. Sie können sogar fast Administratorrechte für ein ganzes Netzwerk abgreifen.
Es ist kein Wunder, dass mehrere Sicherheitsforschungsunternehmen angeben, dass die überwältigende Mehrheit der Angriffe zum Stehlen von Zugangsdaten heute gegen Software wie APIs erfolgt. Akamai beziffert diese Zahl auf 75% des Gesamtbetrags, während Gartner das auch sagt Sicherheitslücken im Zusammenhang mit APIs sind zum häufigsten Angriffsvektor geworden. Und der jüngste Bericht von Salt Labs zeigt Angriffe gegen APIs steigt um fast 700% verglichen mit dem Vorjahr.
Erstellen eines Organigramms für Software
Unternehmen wehren sich unter anderem gegen Bedrohungen durch den Diebstahl von Zugangsdaten, indem sie in ihren Netzwerken die geringsten Rechte oder sogar Zero-Trust durchsetzen. Dadurch erhalten Benutzer nur noch knapp genug Berechtigungen, um ihren Job oder ihre Aufgaben zu erledigen. Dieser Zugriff wird oft durch Faktoren wie Zeit und Ort weiter eingeschränkt. Selbst wenn ein Angriff zum Stehlen von Anmeldeinformationen erfolgreich ist, nützt das dem Angreifer auf diese Weise nicht viel, da er nur für kurze Zeit die Erlaubnis hat, eingeschränkte Funktionen auszuführen.
Geringste Privilegien sind eine gute Verteidigung, werden aber normalerweise nur auf menschliche Benutzer angewendet. Wir neigen dazu zu vergessen, dass APIs auch über erhöhte Rechte verfügen und oft nicht annähernd so reguliert sind. Das ist einer der Gründe dafür kaputte Zugangskontrolle ist laut dem Open Web Application Security Project (OWASP), das Cyberangriffsmuster verfolgt, heute Staatsfeind Nummer eins.
Es ist leicht zu sagen, dass die Lösung für dieses kritische Problem darin besteht, Software einfach mit den geringsten Rechten zu versehen. Aber es ist viel schwieriger zu implementieren. Zunächst müssen Entwickler auf die Gefahren aufmerksam gemacht werden. Und in Zukunft sollten APIs und andere Software entweder offiziell als Teil eines Organigramms innerhalb des Computernetzwerks, in dem sie sich befinden werden, platziert oder zumindest als Teil eines Organigramms dargestellt werden. Wenn beispielsweise eine API Flugdaten in Echtzeit als Teil einer Buchungsanwendung abrufen soll, dann gibt es keinen Grund, warum sie auch in der Lage sein sollte, eine Verbindung zu Gehaltsabrechnungs- oder Finanzsystemen herzustellen. Auf dem Software-Organigramm gäbe es keine direkten oder gar gepunkteten Linien, die diese Systeme verbinden.
Es ist wahrscheinlich unrealistisch, dass Entwickler tatsächlich ein Organigramm erstellen, das die Tausenden oder sogar Millionen von APIs zeigt, die in ihrer Organisation arbeiten. Aber sich der Gefahr bewusst zu sein, die von ihnen ausgeht, und ihre Berechtigungen auf genau das zu beschränken, was sie für ihre Arbeit benötigen, wird wesentlich dazu beitragen, die grassierenden Angriffe auf den Diebstahl von Anmeldeinformationen zu stoppen, mit denen heutzutage jeder konfrontiert ist. Es beginnt mit der Sensibilisierung und endet damit, APIs und Software mit der gleichen Sorgfalt zu behandeln wie menschliche Benutzer.
Möchten Sie Ihr Entwicklungsteam erweitern? Bewältigen Sie API-Sicherheitsprobleme und mehr mit unseren agile Lernplattform und Sicherheitstools, bei denen Entwickler an erster Stelle stehen.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
