Les changements nécessaires dans le domaine de la sécurité des applications : mes prévisions pour 2019
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Le véritable défi auquel nous sommes confrontés n'est pas de lutter contre les jeunes pirates informatiques ou les dangereux syndicats de cybercriminalité organisée... il s'agit plutôt d'amener davantage de personnes à se préoccuper du fait que des violations de la protection des données puissent se produire.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
