Le facteur humain souvent négligé, source de failles de sécurité dans les applications web
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Comment les développeurs peuvent-ils écrire du code sécurisé si personne ne leur enseigne pourquoi cela est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter que ces failles de sécurité ne soient intégrées dans leurs frameworks de programmation respectifs ?
Comment les développeurs peuvent-ils écrire du code sécurisé si personne ne leur enseigne pourquoi cela est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter que ces failles de sécurité ne soient intégrées dans leurs frameworks de programmation respectifs ?
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Comment les développeurs peuvent-ils écrire du code sécurisé si personne ne leur enseigne pourquoi cela est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter que ces failles de sécurité ne soient intégrées dans leurs frameworks de programmation respectifs ?
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Comment les développeurs peuvent-ils écrire du code sécurisé si personne ne leur enseigne pourquoi cela est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter que ces failles de sécurité ne soient intégrées dans leurs frameworks de programmation respectifs ?
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Comment les développeurs peuvent-ils écrire du code sécurisé si personne ne leur enseigne pourquoi cela est important, quelles sont les conséquences d'un code non sécurisé et, surtout, comment éviter que ces failles de sécurité ne soient intégrées dans leurs frameworks de programmation respectifs ?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
