Les erreurs logicielles les plus dangereuses de l'année 2019 : de nouveaux indices suggérant que l'histoire se répète
Dieser Artikel erschien ursprünglich in Buzz zur Informationssicherheit, und wurde von mehreren anderen Verkaufsstellen abgeholt. Es wurde hier für die Syndizierung aktualisiert.
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der CWE Top 25 der gefährlichsten Softwarefehler das betraf die Welt im Jahr 2019. Diese Liste ist nicht meinungsbasiert, sie ist das Ergebnis einer facettenreichen Analyse unter Verwendung der Arbeit von Organisationen wie NISTsowie veröffentlichte Daten zu Common Vulnerabilities and Exposures (CVE). Um die „häufigsten“ Sicherheitslücken zu ermitteln, wird anhand ihres Schweregrads, ihrer Ausnutzbarkeit und ihrer Häufigkeit in aktueller Software eine Bewertung vergeben. Es ist nicht die Art von Liste, die positive Auszeichnungen erhalten wird, das ist sicher.
Im Gegensatz zu den meisten jährlichen Zusammenfassungen sind viele der Teilnehmer auf dieser Liste jedoch schon einmal erschienen... immer und immer wieder. Wenn das die Billboard Hot 100-Charts wären, wäre sie wie die von Britney SpearsBaby noch einmal und die Backstreet BoysIch will es so erscheint jedes Jahr seit ihrer ersten Veröffentlichung. Und warum habe ich diese Songs ausgewählt? Nun, sie sind ungefähr zwanzig Jahre alt (fühlen Sie sich schon uralt?) , ähnlich wie einige dieser gefährlichen Softwarefehler, die uns bis 2020 plagen, obwohl sie vor Jahrzehnten entdeckt wurden.
Warum sind alte Käfer immer noch so gefährlich? Wissen wir nicht, wie man sie repariert?
Nummer sechs auf der aktuellen MITRE-Liste ist CWE-89, besser bekannt als SQL Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele von uns noch Jeeves statt Google ihre brennenden Fragen stellten. Bald darauf wurde ein Fix bekannt gegeben, und doch ist dies nach wie vor eine der am häufigsten verwendeten Hacking-Techniken im Jahr 2019. von Akamai Stand des Internets Ein Bericht ergab, dass SQLi in zwei Dritteln der alles Angriffe auf Webanwendungen.
Was die Komplexität angeht, ist SQL Injection alles andere als ein genialer Exploit. Es ist eine einfache Lösung für einen Webentwickler, und wir tun wissen ohne zu zögern, wie man verhindern kann, dass diese Sicherheitslücke einem Angreifer wertvolle Daten preisgibt... das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Dies mag vor zwanzig Jahren einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger die Norm bleiben.
Entwickler arbeiten (meistens) in einem kaputten System.
Es ist allzu einfach, sich zurückzulehnen und Entwicklern die Schuld für die Bereitstellung von „schlechtem“ Code zu geben. Die Wahrheit ist, dass sich ihre Prioritäten stark von denen des Sicherheitsteams unterscheiden. Einem durchschnittlichen Entwicklungsteam wird gesagt, dass es so schnell wie möglich schöne, funktionale Software erstellen soll. Der unersättliche Bedarf der Gesellschaft an Software sorgt dafür, dass die Entwicklungsteams bereits überlastet sind und Sicherheit nicht an erster Stelle steht. Gibt es nicht gerade deswegen AppSec-Spezialisten? Softwareingenieure sind an ein etwas kaltes Verhältnis zur Sicherheit gewöhnt. Sie hören nur von ihnen, wenn Probleme auftreten, und diese Probleme können die Produktion ihrer harten Arbeit behindern.
Auf der anderen Seite des Zauns haben AppSec-Spezialisten es satt, jahrzehntelange Fehler zu beheben, die bei jedem Scan und jeder manuellen Codeüberprüfung immer wieder auftauchen. Diese Spezialisten sind teuer und rar, und ihre Zeit lässt sich weitaus besser mit komplexen Sicherheitslücken verbringen, als bekannte Fehler immer wieder zu beheben.
Es gibt eine unausgesprochene Kultur des Schuldzuweisens zwischen diesen Teams, aber sie haben (oder sollten) dasselbe Ziel haben: sichere Software. Entwickler arbeiten in einer Umgebung, die ihnen in Bezug auf sichere Codierung selten die besten Erfolgschancen bietet. Bewährte Sicherheitsverfahren werden im Rahmen ihrer Hochschulausbildung selten vermittelt, und Schulungen am Arbeitsplatz sind oft viel zu selten oder völlig ineffektiv. Es mangelt deutlich an Sicherheitsbewusstsein und fundierter, relevanter Ausbildung, und das Ergebnis sind die astronomischen Kosten für die Behebung alter Fehler in festgeschriebenem Code sowie die unmittelbare Gefahr einer Datenschutzverletzung, die den Ruf vernichtet.
Der Faktor Mensch, auch bekannt als „Warum machen all diese Tools unsere Daten nicht sicherer?“
Ein weiteres Problem, das häufig auftritt, ist, dass anstelle von Schulungen ein riesiges Arsenal an Sicherheitstools zur Aufgabe gemacht wird, Probleme zu finden, bevor Software in die Wildnis eingeführt wird. Die Tools zum Scannen und Schutz von Array-Anwendungen (SAST/DAST/RASP/IAST) können sicherlich bei der sicheren Softwareproduktion helfen, aber sie haben ihre eigenen Probleme. Ein vollständiges Vertrauen in sie garantiert keine Sicherheit, denn:
- Kein „einziges“ Tool kann nach jeder Sicherheitslücke suchen, in jedem Framework, in jedem Anwendungsfall
- Sie können langsam sein, insbesondere wenn sie gleichzeitig ausgeführt werden, um sowohl statische als auch dynamische Codeanalysen zu ermöglichen
- Fehlalarme sind nach wie vor ein Problem; diese führen häufig zum Stillstand der Produktion und erfordern eine unnötige manuelle Codeüberprüfung, um die Warnmeldungen zu verstehen
- Sie erzeugen ein falsches Sicherheitsgefühl, da sichere Codierung in der Erwartung, dass diese Tools alle Probleme erkennen, an erster Stelle steht.
Die Tools werden sicherlich Sicherheitslücken aufdecken, die gepatcht werden können, aber werden sie alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und ein Angreifer braucht nur eine offene Tür, um Zutritt zu erhalten und Ihren Tag wirklich zu ruinieren.
Zum Glück erkennen viele Unternehmen, dass der Faktor Mensch eine Rolle spielt Software-Sicherheitslücken. Die meisten Entwickler sind nicht ausreichend für sicheres Programmieren geschult, und ihr allgemeines Sicherheitsbewusstsein ist gering. Sie befinden sich jedoch ganz am Anfang des Softwareentwicklungszyklus und sind in der besten Position, um zu verhindern, dass Sicherheitslücken jemals ihren Weg in festgeschriebenen Code finden. Wenn sie von Anfang an sicher codieren würden, wären sie die vorderste Verteidigungslinie gegen verheerende Cyberangriffe, die uns jedes Jahr Milliarden kosten.
Entwicklern muss die Chance gegeben werden, erfolgreich zu sein, und zwar mit Schulungen, die ihre Sprache sprechen, für ihren Job relevant sind und sie aktiv für Sicherheit begeistern. Fehlerfreier Code sollte ein Punkt sein, auf den man stolz sein kann, ähnlich wie die Entwicklung von etwas, das funktionell umwerfend ist, einem den Respekt seiner Kollegen einbringt.
Ein modernes Sicherheitsprogramm sollte eine Unternehmenspriorität sein.
Entwicklungsteams können sich nicht selbst an ihren Stiefeln hochziehen und im gesamten Unternehmen ein positives Sicherheitsbewusstsein entwickeln. Sie benötigen die richtigen Tools, Kenntnisse und Unterstützung, um Sicherheit von Anfang an in den Softwareentwicklungsprozess einzubeziehen.
Alte Trainingsmethoden funktionieren eindeutig nicht, wenn die MITRE-Liste immer noch so viele alte Sicherheitslücken enthält. Probieren Sie also etwas Neues aus. Suchen Sie nach Trainingslösungen, die:
- Praktisch; Entwickler lieben es, „durch Handeln zu lernen“, anstatt sich in Videos die Redner anzusehen
- Relevant; lassen Sie sie nicht in C# trainieren, wenn sie täglich Java verwenden
- Fesselnd; das Lernen in kleinen Schritten ist leicht verdaulich und ermöglicht es Entwicklern, auf Vorkenntnissen aufzubauen
- Messbar; kreuzen Sie nicht einfach ein Kästchen an und fahren Sie fort. Stellen Sie sicher, dass das Training effektiv ist, und schaffen Sie Verbesserungsmöglichkeiten
- Unterhaltsam. Schauen Sie sich an, wie Sie zusätzlich zur Unterstützung einer positiven Sicherheitskultur ein Sicherheitsbewusstsein aufbauen können und wie dies zu einer kohärenten Teamumgebung führen kann.
Sicherheit sollte für jeden in der Organisation oberste Priorität haben. Der CISO muss sichtbar und transparent sein, was die Bemühungen auf allen Ebenen angeht, um die Sicherheit unserer Daten zu gewährleisten. Ich meine, wer will das gleiche alte Lied immer wieder hören? Es ist an der Zeit, ernsthaft damit zu beginnen, alte Käfer endgültig zu vernichten.
Vers la fin de l'année dernière, la remarquable communauté MITRE a publié sa liste des 25 erreurs logicielles les plus dangereuses de CWE qui ont affecté le monde en 2019. La plupart d'entre elles n'étaient pas surprenantes.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel erschien ursprünglich in Buzz zur Informationssicherheit, und wurde von mehreren anderen Verkaufsstellen abgeholt. Es wurde hier für die Syndizierung aktualisiert.
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der CWE Top 25 der gefährlichsten Softwarefehler das betraf die Welt im Jahr 2019. Diese Liste ist nicht meinungsbasiert, sie ist das Ergebnis einer facettenreichen Analyse unter Verwendung der Arbeit von Organisationen wie NISTsowie veröffentlichte Daten zu Common Vulnerabilities and Exposures (CVE). Um die „häufigsten“ Sicherheitslücken zu ermitteln, wird anhand ihres Schweregrads, ihrer Ausnutzbarkeit und ihrer Häufigkeit in aktueller Software eine Bewertung vergeben. Es ist nicht die Art von Liste, die positive Auszeichnungen erhalten wird, das ist sicher.
Im Gegensatz zu den meisten jährlichen Zusammenfassungen sind viele der Teilnehmer auf dieser Liste jedoch schon einmal erschienen... immer und immer wieder. Wenn das die Billboard Hot 100-Charts wären, wäre sie wie die von Britney SpearsBaby noch einmal und die Backstreet BoysIch will es so erscheint jedes Jahr seit ihrer ersten Veröffentlichung. Und warum habe ich diese Songs ausgewählt? Nun, sie sind ungefähr zwanzig Jahre alt (fühlen Sie sich schon uralt?) , ähnlich wie einige dieser gefährlichen Softwarefehler, die uns bis 2020 plagen, obwohl sie vor Jahrzehnten entdeckt wurden.
Warum sind alte Käfer immer noch so gefährlich? Wissen wir nicht, wie man sie repariert?
Nummer sechs auf der aktuellen MITRE-Liste ist CWE-89, besser bekannt als SQL Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele von uns noch Jeeves statt Google ihre brennenden Fragen stellten. Bald darauf wurde ein Fix bekannt gegeben, und doch ist dies nach wie vor eine der am häufigsten verwendeten Hacking-Techniken im Jahr 2019. von Akamai Stand des Internets Ein Bericht ergab, dass SQLi in zwei Dritteln der alles Angriffe auf Webanwendungen.
Was die Komplexität angeht, ist SQL Injection alles andere als ein genialer Exploit. Es ist eine einfache Lösung für einen Webentwickler, und wir tun wissen ohne zu zögern, wie man verhindern kann, dass diese Sicherheitslücke einem Angreifer wertvolle Daten preisgibt... das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Dies mag vor zwanzig Jahren einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger die Norm bleiben.
Entwickler arbeiten (meistens) in einem kaputten System.
Es ist allzu einfach, sich zurückzulehnen und Entwicklern die Schuld für die Bereitstellung von „schlechtem“ Code zu geben. Die Wahrheit ist, dass sich ihre Prioritäten stark von denen des Sicherheitsteams unterscheiden. Einem durchschnittlichen Entwicklungsteam wird gesagt, dass es so schnell wie möglich schöne, funktionale Software erstellen soll. Der unersättliche Bedarf der Gesellschaft an Software sorgt dafür, dass die Entwicklungsteams bereits überlastet sind und Sicherheit nicht an erster Stelle steht. Gibt es nicht gerade deswegen AppSec-Spezialisten? Softwareingenieure sind an ein etwas kaltes Verhältnis zur Sicherheit gewöhnt. Sie hören nur von ihnen, wenn Probleme auftreten, und diese Probleme können die Produktion ihrer harten Arbeit behindern.
Auf der anderen Seite des Zauns haben AppSec-Spezialisten es satt, jahrzehntelange Fehler zu beheben, die bei jedem Scan und jeder manuellen Codeüberprüfung immer wieder auftauchen. Diese Spezialisten sind teuer und rar, und ihre Zeit lässt sich weitaus besser mit komplexen Sicherheitslücken verbringen, als bekannte Fehler immer wieder zu beheben.
Es gibt eine unausgesprochene Kultur des Schuldzuweisens zwischen diesen Teams, aber sie haben (oder sollten) dasselbe Ziel haben: sichere Software. Entwickler arbeiten in einer Umgebung, die ihnen in Bezug auf sichere Codierung selten die besten Erfolgschancen bietet. Bewährte Sicherheitsverfahren werden im Rahmen ihrer Hochschulausbildung selten vermittelt, und Schulungen am Arbeitsplatz sind oft viel zu selten oder völlig ineffektiv. Es mangelt deutlich an Sicherheitsbewusstsein und fundierter, relevanter Ausbildung, und das Ergebnis sind die astronomischen Kosten für die Behebung alter Fehler in festgeschriebenem Code sowie die unmittelbare Gefahr einer Datenschutzverletzung, die den Ruf vernichtet.
Der Faktor Mensch, auch bekannt als „Warum machen all diese Tools unsere Daten nicht sicherer?“
Ein weiteres Problem, das häufig auftritt, ist, dass anstelle von Schulungen ein riesiges Arsenal an Sicherheitstools zur Aufgabe gemacht wird, Probleme zu finden, bevor Software in die Wildnis eingeführt wird. Die Tools zum Scannen und Schutz von Array-Anwendungen (SAST/DAST/RASP/IAST) können sicherlich bei der sicheren Softwareproduktion helfen, aber sie haben ihre eigenen Probleme. Ein vollständiges Vertrauen in sie garantiert keine Sicherheit, denn:
- Kein „einziges“ Tool kann nach jeder Sicherheitslücke suchen, in jedem Framework, in jedem Anwendungsfall
- Sie können langsam sein, insbesondere wenn sie gleichzeitig ausgeführt werden, um sowohl statische als auch dynamische Codeanalysen zu ermöglichen
- Fehlalarme sind nach wie vor ein Problem; diese führen häufig zum Stillstand der Produktion und erfordern eine unnötige manuelle Codeüberprüfung, um die Warnmeldungen zu verstehen
- Sie erzeugen ein falsches Sicherheitsgefühl, da sichere Codierung in der Erwartung, dass diese Tools alle Probleme erkennen, an erster Stelle steht.
Die Tools werden sicherlich Sicherheitslücken aufdecken, die gepatcht werden können, aber werden sie alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und ein Angreifer braucht nur eine offene Tür, um Zutritt zu erhalten und Ihren Tag wirklich zu ruinieren.
Zum Glück erkennen viele Unternehmen, dass der Faktor Mensch eine Rolle spielt Software-Sicherheitslücken. Die meisten Entwickler sind nicht ausreichend für sicheres Programmieren geschult, und ihr allgemeines Sicherheitsbewusstsein ist gering. Sie befinden sich jedoch ganz am Anfang des Softwareentwicklungszyklus und sind in der besten Position, um zu verhindern, dass Sicherheitslücken jemals ihren Weg in festgeschriebenen Code finden. Wenn sie von Anfang an sicher codieren würden, wären sie die vorderste Verteidigungslinie gegen verheerende Cyberangriffe, die uns jedes Jahr Milliarden kosten.
Entwicklern muss die Chance gegeben werden, erfolgreich zu sein, und zwar mit Schulungen, die ihre Sprache sprechen, für ihren Job relevant sind und sie aktiv für Sicherheit begeistern. Fehlerfreier Code sollte ein Punkt sein, auf den man stolz sein kann, ähnlich wie die Entwicklung von etwas, das funktionell umwerfend ist, einem den Respekt seiner Kollegen einbringt.
Ein modernes Sicherheitsprogramm sollte eine Unternehmenspriorität sein.
Entwicklungsteams können sich nicht selbst an ihren Stiefeln hochziehen und im gesamten Unternehmen ein positives Sicherheitsbewusstsein entwickeln. Sie benötigen die richtigen Tools, Kenntnisse und Unterstützung, um Sicherheit von Anfang an in den Softwareentwicklungsprozess einzubeziehen.
Alte Trainingsmethoden funktionieren eindeutig nicht, wenn die MITRE-Liste immer noch so viele alte Sicherheitslücken enthält. Probieren Sie also etwas Neues aus. Suchen Sie nach Trainingslösungen, die:
- Praktisch; Entwickler lieben es, „durch Handeln zu lernen“, anstatt sich in Videos die Redner anzusehen
- Relevant; lassen Sie sie nicht in C# trainieren, wenn sie täglich Java verwenden
- Fesselnd; das Lernen in kleinen Schritten ist leicht verdaulich und ermöglicht es Entwicklern, auf Vorkenntnissen aufzubauen
- Messbar; kreuzen Sie nicht einfach ein Kästchen an und fahren Sie fort. Stellen Sie sicher, dass das Training effektiv ist, und schaffen Sie Verbesserungsmöglichkeiten
- Unterhaltsam. Schauen Sie sich an, wie Sie zusätzlich zur Unterstützung einer positiven Sicherheitskultur ein Sicherheitsbewusstsein aufbauen können und wie dies zu einer kohärenten Teamumgebung führen kann.
Sicherheit sollte für jeden in der Organisation oberste Priorität haben. Der CISO muss sichtbar und transparent sein, was die Bemühungen auf allen Ebenen angeht, um die Sicherheit unserer Daten zu gewährleisten. Ich meine, wer will das gleiche alte Lied immer wieder hören? Es ist an der Zeit, ernsthaft damit zu beginnen, alte Käfer endgültig zu vernichten.
Dieser Artikel erschien ursprünglich in Buzz zur Informationssicherheit, und wurde von mehreren anderen Verkaufsstellen abgeholt. Es wurde hier für die Syndizierung aktualisiert.
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der CWE Top 25 der gefährlichsten Softwarefehler das betraf die Welt im Jahr 2019. Diese Liste ist nicht meinungsbasiert, sie ist das Ergebnis einer facettenreichen Analyse unter Verwendung der Arbeit von Organisationen wie NISTsowie veröffentlichte Daten zu Common Vulnerabilities and Exposures (CVE). Um die „häufigsten“ Sicherheitslücken zu ermitteln, wird anhand ihres Schweregrads, ihrer Ausnutzbarkeit und ihrer Häufigkeit in aktueller Software eine Bewertung vergeben. Es ist nicht die Art von Liste, die positive Auszeichnungen erhalten wird, das ist sicher.
Im Gegensatz zu den meisten jährlichen Zusammenfassungen sind viele der Teilnehmer auf dieser Liste jedoch schon einmal erschienen... immer und immer wieder. Wenn das die Billboard Hot 100-Charts wären, wäre sie wie die von Britney SpearsBaby noch einmal und die Backstreet BoysIch will es so erscheint jedes Jahr seit ihrer ersten Veröffentlichung. Und warum habe ich diese Songs ausgewählt? Nun, sie sind ungefähr zwanzig Jahre alt (fühlen Sie sich schon uralt?) , ähnlich wie einige dieser gefährlichen Softwarefehler, die uns bis 2020 plagen, obwohl sie vor Jahrzehnten entdeckt wurden.
Warum sind alte Käfer immer noch so gefährlich? Wissen wir nicht, wie man sie repariert?
Nummer sechs auf der aktuellen MITRE-Liste ist CWE-89, besser bekannt als SQL Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele von uns noch Jeeves statt Google ihre brennenden Fragen stellten. Bald darauf wurde ein Fix bekannt gegeben, und doch ist dies nach wie vor eine der am häufigsten verwendeten Hacking-Techniken im Jahr 2019. von Akamai Stand des Internets Ein Bericht ergab, dass SQLi in zwei Dritteln der alles Angriffe auf Webanwendungen.
Was die Komplexität angeht, ist SQL Injection alles andere als ein genialer Exploit. Es ist eine einfache Lösung für einen Webentwickler, und wir tun wissen ohne zu zögern, wie man verhindern kann, dass diese Sicherheitslücke einem Angreifer wertvolle Daten preisgibt... das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Dies mag vor zwanzig Jahren einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger die Norm bleiben.
Entwickler arbeiten (meistens) in einem kaputten System.
Es ist allzu einfach, sich zurückzulehnen und Entwicklern die Schuld für die Bereitstellung von „schlechtem“ Code zu geben. Die Wahrheit ist, dass sich ihre Prioritäten stark von denen des Sicherheitsteams unterscheiden. Einem durchschnittlichen Entwicklungsteam wird gesagt, dass es so schnell wie möglich schöne, funktionale Software erstellen soll. Der unersättliche Bedarf der Gesellschaft an Software sorgt dafür, dass die Entwicklungsteams bereits überlastet sind und Sicherheit nicht an erster Stelle steht. Gibt es nicht gerade deswegen AppSec-Spezialisten? Softwareingenieure sind an ein etwas kaltes Verhältnis zur Sicherheit gewöhnt. Sie hören nur von ihnen, wenn Probleme auftreten, und diese Probleme können die Produktion ihrer harten Arbeit behindern.
Auf der anderen Seite des Zauns haben AppSec-Spezialisten es satt, jahrzehntelange Fehler zu beheben, die bei jedem Scan und jeder manuellen Codeüberprüfung immer wieder auftauchen. Diese Spezialisten sind teuer und rar, und ihre Zeit lässt sich weitaus besser mit komplexen Sicherheitslücken verbringen, als bekannte Fehler immer wieder zu beheben.
Es gibt eine unausgesprochene Kultur des Schuldzuweisens zwischen diesen Teams, aber sie haben (oder sollten) dasselbe Ziel haben: sichere Software. Entwickler arbeiten in einer Umgebung, die ihnen in Bezug auf sichere Codierung selten die besten Erfolgschancen bietet. Bewährte Sicherheitsverfahren werden im Rahmen ihrer Hochschulausbildung selten vermittelt, und Schulungen am Arbeitsplatz sind oft viel zu selten oder völlig ineffektiv. Es mangelt deutlich an Sicherheitsbewusstsein und fundierter, relevanter Ausbildung, und das Ergebnis sind die astronomischen Kosten für die Behebung alter Fehler in festgeschriebenem Code sowie die unmittelbare Gefahr einer Datenschutzverletzung, die den Ruf vernichtet.
Der Faktor Mensch, auch bekannt als „Warum machen all diese Tools unsere Daten nicht sicherer?“
Ein weiteres Problem, das häufig auftritt, ist, dass anstelle von Schulungen ein riesiges Arsenal an Sicherheitstools zur Aufgabe gemacht wird, Probleme zu finden, bevor Software in die Wildnis eingeführt wird. Die Tools zum Scannen und Schutz von Array-Anwendungen (SAST/DAST/RASP/IAST) können sicherlich bei der sicheren Softwareproduktion helfen, aber sie haben ihre eigenen Probleme. Ein vollständiges Vertrauen in sie garantiert keine Sicherheit, denn:
- Kein „einziges“ Tool kann nach jeder Sicherheitslücke suchen, in jedem Framework, in jedem Anwendungsfall
- Sie können langsam sein, insbesondere wenn sie gleichzeitig ausgeführt werden, um sowohl statische als auch dynamische Codeanalysen zu ermöglichen
- Fehlalarme sind nach wie vor ein Problem; diese führen häufig zum Stillstand der Produktion und erfordern eine unnötige manuelle Codeüberprüfung, um die Warnmeldungen zu verstehen
- Sie erzeugen ein falsches Sicherheitsgefühl, da sichere Codierung in der Erwartung, dass diese Tools alle Probleme erkennen, an erster Stelle steht.
Die Tools werden sicherlich Sicherheitslücken aufdecken, die gepatcht werden können, aber werden sie alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und ein Angreifer braucht nur eine offene Tür, um Zutritt zu erhalten und Ihren Tag wirklich zu ruinieren.
Zum Glück erkennen viele Unternehmen, dass der Faktor Mensch eine Rolle spielt Software-Sicherheitslücken. Die meisten Entwickler sind nicht ausreichend für sicheres Programmieren geschult, und ihr allgemeines Sicherheitsbewusstsein ist gering. Sie befinden sich jedoch ganz am Anfang des Softwareentwicklungszyklus und sind in der besten Position, um zu verhindern, dass Sicherheitslücken jemals ihren Weg in festgeschriebenen Code finden. Wenn sie von Anfang an sicher codieren würden, wären sie die vorderste Verteidigungslinie gegen verheerende Cyberangriffe, die uns jedes Jahr Milliarden kosten.
Entwicklern muss die Chance gegeben werden, erfolgreich zu sein, und zwar mit Schulungen, die ihre Sprache sprechen, für ihren Job relevant sind und sie aktiv für Sicherheit begeistern. Fehlerfreier Code sollte ein Punkt sein, auf den man stolz sein kann, ähnlich wie die Entwicklung von etwas, das funktionell umwerfend ist, einem den Respekt seiner Kollegen einbringt.
Ein modernes Sicherheitsprogramm sollte eine Unternehmenspriorität sein.
Entwicklungsteams können sich nicht selbst an ihren Stiefeln hochziehen und im gesamten Unternehmen ein positives Sicherheitsbewusstsein entwickeln. Sie benötigen die richtigen Tools, Kenntnisse und Unterstützung, um Sicherheit von Anfang an in den Softwareentwicklungsprozess einzubeziehen.
Alte Trainingsmethoden funktionieren eindeutig nicht, wenn die MITRE-Liste immer noch so viele alte Sicherheitslücken enthält. Probieren Sie also etwas Neues aus. Suchen Sie nach Trainingslösungen, die:
- Praktisch; Entwickler lieben es, „durch Handeln zu lernen“, anstatt sich in Videos die Redner anzusehen
- Relevant; lassen Sie sie nicht in C# trainieren, wenn sie täglich Java verwenden
- Fesselnd; das Lernen in kleinen Schritten ist leicht verdaulich und ermöglicht es Entwicklern, auf Vorkenntnissen aufzubauen
- Messbar; kreuzen Sie nicht einfach ein Kästchen an und fahren Sie fort. Stellen Sie sicher, dass das Training effektiv ist, und schaffen Sie Verbesserungsmöglichkeiten
- Unterhaltsam. Schauen Sie sich an, wie Sie zusätzlich zur Unterstützung einer positiven Sicherheitskultur ein Sicherheitsbewusstsein aufbauen können und wie dies zu einer kohärenten Teamumgebung führen kann.
Sicherheit sollte für jeden in der Organisation oberste Priorität haben. Der CISO muss sichtbar und transparent sein, was die Bemühungen auf allen Ebenen angeht, um die Sicherheit unserer Daten zu gewährleisten. Ich meine, wer will das gleiche alte Lied immer wieder hören? Es ist an der Zeit, ernsthaft damit zu beginnen, alte Käfer endgültig zu vernichten.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieser Artikel erschien ursprünglich in Buzz zur Informationssicherheit, und wurde von mehreren anderen Verkaufsstellen abgeholt. Es wurde hier für die Syndizierung aktualisiert.
Gegen Ende letzten Jahres veröffentlichte die großartige Community von MITRE ihre Liste der CWE Top 25 der gefährlichsten Softwarefehler das betraf die Welt im Jahr 2019. Diese Liste ist nicht meinungsbasiert, sie ist das Ergebnis einer facettenreichen Analyse unter Verwendung der Arbeit von Organisationen wie NISTsowie veröffentlichte Daten zu Common Vulnerabilities and Exposures (CVE). Um die „häufigsten“ Sicherheitslücken zu ermitteln, wird anhand ihres Schweregrads, ihrer Ausnutzbarkeit und ihrer Häufigkeit in aktueller Software eine Bewertung vergeben. Es ist nicht die Art von Liste, die positive Auszeichnungen erhalten wird, das ist sicher.
Im Gegensatz zu den meisten jährlichen Zusammenfassungen sind viele der Teilnehmer auf dieser Liste jedoch schon einmal erschienen... immer und immer wieder. Wenn das die Billboard Hot 100-Charts wären, wäre sie wie die von Britney SpearsBaby noch einmal und die Backstreet BoysIch will es so erscheint jedes Jahr seit ihrer ersten Veröffentlichung. Und warum habe ich diese Songs ausgewählt? Nun, sie sind ungefähr zwanzig Jahre alt (fühlen Sie sich schon uralt?) , ähnlich wie einige dieser gefährlichen Softwarefehler, die uns bis 2020 plagen, obwohl sie vor Jahrzehnten entdeckt wurden.
Warum sind alte Käfer immer noch so gefährlich? Wissen wir nicht, wie man sie repariert?
Nummer sechs auf der aktuellen MITRE-Liste ist CWE-89, besser bekannt als SQL Injection (SQLi). Die SQLi-Sicherheitslücke wurde erstmals 1998 entdeckt, als viele von uns noch Jeeves statt Google ihre brennenden Fragen stellten. Bald darauf wurde ein Fix bekannt gegeben, und doch ist dies nach wie vor eine der am häufigsten verwendeten Hacking-Techniken im Jahr 2019. von Akamai Stand des Internets Ein Bericht ergab, dass SQLi in zwei Dritteln der alles Angriffe auf Webanwendungen.
Was die Komplexität angeht, ist SQL Injection alles andere als ein genialer Exploit. Es ist eine einfache Lösung für einen Webentwickler, und wir tun wissen ohne zu zögern, wie man verhindern kann, dass diese Sicherheitslücke einem Angreifer wertvolle Daten preisgibt... das Problem ist, dass Sicherheit für viele Entwickler auch heute noch keine Priorität hat. Dies mag vor zwanzig Jahren einfacher gewesen sein, aber angesichts der enormen Menge an Software, die heute und in Zukunft entwickelt wird, kann dies nicht länger die Norm bleiben.
Entwickler arbeiten (meistens) in einem kaputten System.
Es ist allzu einfach, sich zurückzulehnen und Entwicklern die Schuld für die Bereitstellung von „schlechtem“ Code zu geben. Die Wahrheit ist, dass sich ihre Prioritäten stark von denen des Sicherheitsteams unterscheiden. Einem durchschnittlichen Entwicklungsteam wird gesagt, dass es so schnell wie möglich schöne, funktionale Software erstellen soll. Der unersättliche Bedarf der Gesellschaft an Software sorgt dafür, dass die Entwicklungsteams bereits überlastet sind und Sicherheit nicht an erster Stelle steht. Gibt es nicht gerade deswegen AppSec-Spezialisten? Softwareingenieure sind an ein etwas kaltes Verhältnis zur Sicherheit gewöhnt. Sie hören nur von ihnen, wenn Probleme auftreten, und diese Probleme können die Produktion ihrer harten Arbeit behindern.
Auf der anderen Seite des Zauns haben AppSec-Spezialisten es satt, jahrzehntelange Fehler zu beheben, die bei jedem Scan und jeder manuellen Codeüberprüfung immer wieder auftauchen. Diese Spezialisten sind teuer und rar, und ihre Zeit lässt sich weitaus besser mit komplexen Sicherheitslücken verbringen, als bekannte Fehler immer wieder zu beheben.
Es gibt eine unausgesprochene Kultur des Schuldzuweisens zwischen diesen Teams, aber sie haben (oder sollten) dasselbe Ziel haben: sichere Software. Entwickler arbeiten in einer Umgebung, die ihnen in Bezug auf sichere Codierung selten die besten Erfolgschancen bietet. Bewährte Sicherheitsverfahren werden im Rahmen ihrer Hochschulausbildung selten vermittelt, und Schulungen am Arbeitsplatz sind oft viel zu selten oder völlig ineffektiv. Es mangelt deutlich an Sicherheitsbewusstsein und fundierter, relevanter Ausbildung, und das Ergebnis sind die astronomischen Kosten für die Behebung alter Fehler in festgeschriebenem Code sowie die unmittelbare Gefahr einer Datenschutzverletzung, die den Ruf vernichtet.
Der Faktor Mensch, auch bekannt als „Warum machen all diese Tools unsere Daten nicht sicherer?“
Ein weiteres Problem, das häufig auftritt, ist, dass anstelle von Schulungen ein riesiges Arsenal an Sicherheitstools zur Aufgabe gemacht wird, Probleme zu finden, bevor Software in die Wildnis eingeführt wird. Die Tools zum Scannen und Schutz von Array-Anwendungen (SAST/DAST/RASP/IAST) können sicherlich bei der sicheren Softwareproduktion helfen, aber sie haben ihre eigenen Probleme. Ein vollständiges Vertrauen in sie garantiert keine Sicherheit, denn:
- Kein „einziges“ Tool kann nach jeder Sicherheitslücke suchen, in jedem Framework, in jedem Anwendungsfall
- Sie können langsam sein, insbesondere wenn sie gleichzeitig ausgeführt werden, um sowohl statische als auch dynamische Codeanalysen zu ermöglichen
- Fehlalarme sind nach wie vor ein Problem; diese führen häufig zum Stillstand der Produktion und erfordern eine unnötige manuelle Codeüberprüfung, um die Warnmeldungen zu verstehen
- Sie erzeugen ein falsches Sicherheitsgefühl, da sichere Codierung in der Erwartung, dass diese Tools alle Probleme erkennen, an erster Stelle steht.
Die Tools werden sicherlich Sicherheitslücken aufdecken, die gepatcht werden können, aber werden sie alles finden? Eine 100-prozentige Trefferquote kann nicht garantiert werden, und ein Angreifer braucht nur eine offene Tür, um Zutritt zu erhalten und Ihren Tag wirklich zu ruinieren.
Zum Glück erkennen viele Unternehmen, dass der Faktor Mensch eine Rolle spielt Software-Sicherheitslücken. Die meisten Entwickler sind nicht ausreichend für sicheres Programmieren geschult, und ihr allgemeines Sicherheitsbewusstsein ist gering. Sie befinden sich jedoch ganz am Anfang des Softwareentwicklungszyklus und sind in der besten Position, um zu verhindern, dass Sicherheitslücken jemals ihren Weg in festgeschriebenen Code finden. Wenn sie von Anfang an sicher codieren würden, wären sie die vorderste Verteidigungslinie gegen verheerende Cyberangriffe, die uns jedes Jahr Milliarden kosten.
Entwicklern muss die Chance gegeben werden, erfolgreich zu sein, und zwar mit Schulungen, die ihre Sprache sprechen, für ihren Job relevant sind und sie aktiv für Sicherheit begeistern. Fehlerfreier Code sollte ein Punkt sein, auf den man stolz sein kann, ähnlich wie die Entwicklung von etwas, das funktionell umwerfend ist, einem den Respekt seiner Kollegen einbringt.
Ein modernes Sicherheitsprogramm sollte eine Unternehmenspriorität sein.
Entwicklungsteams können sich nicht selbst an ihren Stiefeln hochziehen und im gesamten Unternehmen ein positives Sicherheitsbewusstsein entwickeln. Sie benötigen die richtigen Tools, Kenntnisse und Unterstützung, um Sicherheit von Anfang an in den Softwareentwicklungsprozess einzubeziehen.
Alte Trainingsmethoden funktionieren eindeutig nicht, wenn die MITRE-Liste immer noch so viele alte Sicherheitslücken enthält. Probieren Sie also etwas Neues aus. Suchen Sie nach Trainingslösungen, die:
- Praktisch; Entwickler lieben es, „durch Handeln zu lernen“, anstatt sich in Videos die Redner anzusehen
- Relevant; lassen Sie sie nicht in C# trainieren, wenn sie täglich Java verwenden
- Fesselnd; das Lernen in kleinen Schritten ist leicht verdaulich und ermöglicht es Entwicklern, auf Vorkenntnissen aufzubauen
- Messbar; kreuzen Sie nicht einfach ein Kästchen an und fahren Sie fort. Stellen Sie sicher, dass das Training effektiv ist, und schaffen Sie Verbesserungsmöglichkeiten
- Unterhaltsam. Schauen Sie sich an, wie Sie zusätzlich zur Unterstützung einer positiven Sicherheitskultur ein Sicherheitsbewusstsein aufbauen können und wie dies zu einer kohärenten Teamumgebung führen kann.
Sicherheit sollte für jeden in der Organisation oberste Priorität haben. Der CISO muss sichtbar und transparent sein, was die Bemühungen auf allen Ebenen angeht, um die Sicherheit unserer Daten zu gewährleisten. Ich meine, wer will das gleiche alte Lied immer wieder hören? Es ist an der Zeit, ernsthaft damit zu beginnen, alte Käfer endgültig zu vernichten.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
