Chief Technology Officer, Director, and Co-Founder
Matias Madou, Ph.D.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Diese Sicherheitsanfälligkeit kann auftreten, wenn Programmierer die Regeln der Geschäftslogik nicht ordnungsgemäß implementieren, wodurch ihre Anwendungen anfällig für verschiedene Arten von Angriffen werden könnten, falls ein böswilliger Benutzer sie ausnutzt.
Wenn es jemals etwas gab, das Weihnachten in der Cybersicherheitsbranche ruinieren könnte, dann ist es eine verheerende Datenschutzverletzung, die auf dem besten Weg ist, das größte Cyberspionageereignis zu werden, von dem die US-Regierung je betroffen ist.
Injection-Angriffe, der berüchtigte König der Sicherheitslücken (nach Kategorien), haben den ersten Platz verloren, weil die Zugriffskontrolle als schlimmste der schlimmsten Bedrohungen gilt, und Entwickler müssen dies zur Kenntnis nehmen.
Im Allgemeinen sollten Autorisierungsprüfungen auf Objektebene für jede Funktion enthalten sein, die mithilfe einer Benutzereingabe auf eine Datenquelle zugreift. Andernfalls besteht ein großes Risiko.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, sofort loszulegen, wenn es um bewährte Sicherheitsmethoden in ihrer täglichen Arbeit geht.
Es ist nicht einfach, Sicherheitsupdates wieder in den Entwicklungsprozess zu verlagern, aber in der heutigen Welt, in der selbst scheinbar einfache Geräte wie Präsentationstools überraschend komplex sind und auch mit allem anderen vernetzt sind, notwendig.
Wir müssen ein Stadium erreichen, in dem Sicherheit als gemeinsame Verantwortung der gesamten Organisation und des gesamten SDLC betrachtet wird. Dies ist sicherlich möglich, wenn Sie sich für eine vollwertige, äußerst unterstützende DevSecOps-Umgebung entscheiden.
Die fehlende Sicherheitslücke bei der Zugriffskontrolle auf Funktionsebene ermöglicht es Benutzern, Funktionen auszuführen, die eingeschränkt werden sollten, oder ihnen den Zugriff auf Ressourcen zu ermöglichen, die geschützt werden sollten.
Die Authentifizierung dient oft als Gateway sowohl zu einer Anwendung als auch potenziell zum Rest eines Netzwerks, sodass sie ein verlockendes Ziel für Angreifer sind. Wenn ein Authentifizierungsprozess defekt oder anfällig ist, besteht eine gute Chance, dass Angreifer diese Schwachstelle entdecken und ausnutzen.
Softwareentwicklung ist keine Insel mehr, und wenn wir alle Aspekte des softwaregestützten Risikos berücksichtigen — von der Cloud über eingebettete Systeme in Geräten und Fahrzeugen bis hin zu unserer kritischen Infrastruktur, ganz zu schweigen von den APIs, die alles verbinden —, ist die Angriffsfläche grenzenlos und außer Kontrolle geraten.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären.
Wir begannen darüber nachzudenken, was wir tun könnten, um die Hürde zu verringern, die einer Schulung entgegensteht, wenn Sie sie benötigen, und wie Micro-Learning reibungsloser in Ihren Arbeitsablauf implementiert werden könnte.
Entwickler werden keinen positiven Einfluss auf die Reduzierung von Sicherheitslücken haben, wenn sie nicht ein grundlegendes Verständnis dafür haben, wie die Sicherheitslücken funktionieren, warum sie gefährlich sind, welche Muster sie verursachen und welche Design- oder Codierungsmuster sie in einem Kontext beheben, der in ihrer Welt Sinn macht. Ein gerüsteter Ansatz ermöglicht es mehreren Wissensebenen, sich ein vollständiges Bild davon zu machen, was es heißt, sicher zu programmieren, eine Codebasis zu verteidigen und sich als sicherheitsbewusster Entwickler zu profilieren.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Dies ist Teil 1 einer zweiteiligen Serie zur erfolgreichen PCI-DSS-Compliance innerhalb eines Unternehmens. In diesem Kapitel beschreiben wir, wie AppSec-Spezialisten eng mit Entwicklungsmanagern zusammenarbeiten können, um Entwickler zu stärken, den SSDLC zu stärken und konkrete Ergebnisse aus der allgemeinen Gesetzgebung zu ziehen.
Wir wissen bereits, dass an einem Arbeitstag zu viel los ist. Welchen Anreiz haben Entwickler also, in ein Klassenzimmer zu gehen oder den Kontext zu wechseln, um fünf Schritte zu durchlaufen, um an Schulungen teilzunehmen, die auf statischen Theorien basieren?
Es gibt einige Gründe, warum AppSec-Tools nicht so verwendet werden, wie wir es vielleicht erwarten würden. Es geht weniger um die Tools und ihre Funktionalität als vielmehr darum, wie sie sich in ein Sicherheitsprogramm als Ganzes integrieren lassen.
Wir möchten einen unserer Experten, Oscar Quintas, ins Rampenlicht rücken. Er ist Teil unseres Product Content Teams und arbeitet als Senior Security Researcher. Er ist auch unser ansässiger Zauberer für alles, was mit Infrastructure as Code (IaC) zu tun hat.
Die Wettbewerbsbedingungen zwischen Helden und Bösewichten in der Cybersicherheit sind bekanntermaßen unfair. Sensible Daten sind das neue Gold, und Angreifer passen sich schnell an, um Abwehrmaßnahmen zu umgehen, und nutzen große und kleine Sicherheitslücken für potenzielle Gehälter aus.
Diese Sicherheitsanfälligkeit tritt auf, wenn zu viele Anfragen gleichzeitig eingehen und die API nicht über genügend Rechenressourcen verfügt, um diese Anfragen zu bearbeiten. Die API kann dann nicht mehr verfügbar sein oder nicht mehr auf neue Anfragen reagieren.
Wenn die Zugriffskontrolle auf Infrastrukturebene nicht in perfekter Ordnung ist, wird ein ganzes Unternehmen für Angreifer geöffnet, die diese Sicherheitslücke als Einfallstor für unbefugtes Ausspionieren oder für einen vollständigen Angriff nutzen können.
Cyberangriffe werden immer häufiger und Bedrohungen, die Linux-basierte Infrastrukturen betreffen, werden immer häufiger. Das Endziel ist die Gelegenheit, eine Beutekiste mit sensiblen Daten, die in der Cloud gespeichert sind, zu öffnen.
Die eigentliche Mechanik hinter dieser Sicherheitslücke ist ähnlich wie bei anderen, aber eine übermäßige Datenexposition wird in diesem Fall so definiert, dass rechtlich geschützte oder hochsensible Daten betroffen sind.
Ähnlich wie bei webbasierter Software, APIs und Mobilgeräten kann anfälliger Code in eingebetteten Systemen ausgenutzt werden, wenn er von einem Angreifer in freier Wildbahn entdeckt wird.
Dies ist Teil 2 einer Miniserie zur PCI-DSS-Konformität innerhalb einer Organisation. In diesem letzten Kapitel beschreiben wir, wie CTOs und CISOs von Anfang an eine Vorreiterrolle bei der Reduzierung von Cyberrisiken übernehmen und den Prozess reibungslos, erfolgreich und vielleicht ein bisschen unterhaltsam für Entwickler gestalten können.
Der unzureichende Protokollierungs- und Überwachungsfehler ist hauptsächlich auf einen gescheiterten Cybersicherheitsplan zurückzuführen, der alle fehlgeschlagenen Authentifizierungsversuche, Zugriffsverweigerungen und Eingabevalidierungsfehler protokolliert.
Die jüngste Cybersicherheitsverordnung der Biden-Administration hat die Sicherheitsbranche sicherlich zum Reden gebracht, insbesondere diejenigen, die Entwickler dafür gewinnen wollen, wie wichtig es ist, bewährte Methoden für sichere Codierung in ihrer täglichen Arbeit anzuwenden.
Wir müssen einen von Menschen geleiteten Ansatz für bewährte Cybersicherheitsmethoden stärken, und das wird zu besseren Ergebnissen führen, als wenn wir uns stark auf Automatisierung, Tools und Reaktionen auf Probleme verlassen, die bereits eingebettet und entdeckt wurden.
Entwickler gehören neben Sicherheitskonfigurationen und Zugriffskontrolle zu denjenigen, die mit Code am nächsten kommen. Ihre Sicherheitskompetenzen müssen gefördert werden, und um die vom NIST festgelegten hohen Standards zu erreichen, könnte eine praxisorientierte Kursstruktur genau der richtige Weg sein, um das Problem anzugehen, insbesondere bei großen Entwicklungskohorten.
Wir freuen uns, eine brandneue Feature-Veröffentlichung auf der Secure Code Warrior-Plattform ankündigen zu können: Missionen. Diese brandneue Herausforderungskategorie ist die nächste Phase des Sicherheitstrainings für Entwickler, bei dem die Benutzer ihr Sicherheitswissen nicht mehr nur noch abrufen, sondern es in einer realen Simulationsumgebung anwenden können.
Ganz gleich, ob die Ungewissheit einer neuen Arbeitsweise, ein wenig Misstrauen oder vielleicht der Unglaube an Telearbeit herrührt, ich stelle fest, dass Unternehmen, die sich dagegen wehren, tendenziell ins Hintertreffen geraten, wenn es darum geht, Top-Talente anzuwerben, ihre globale Reichweite zu wahren und ehrlich gesagt, mit der Zeit zu gehen.
Der Schlüssel zu den meisten Computersicherheitsmaßnahmen sind heutzutage Passwörter. Selbst wenn andere Sicherheitsmethoden wie die Zwei-Faktor-Authentifizierung oder Biometrie eingesetzt werden, verwenden die meisten Unternehmen immer noch passwortbasierte Sicherheit als ein Element ihres Schutzes.
Secure Code Warrior hat eine GitHub-Aktion entwickelt, die kontextbezogenes Lernen in das GitHub-Code-Scannen integriert. Das bedeutet, dass Entwickler eine Aktion eines Drittanbieters wie die Snyk Container Action verwenden können, um Sicherheitslücken zu finden, und das Ergebnis dann durch CWE-spezifisches, hyperrelevantes Lernen erweitern können.
Penetrationstests und Scan-Tools für statische Analysen (besser bekannt als SAST) sind nur ein Teil des Gesamtprozesses zur Minderung von Sicherheitsrisiken. Sie arbeiten ziemlich unabhängig von dem, was wir tun — bis der Code für Hotfixes zu uns zurückkommt, natürlich!
Code mit einem bestimmten Qualitätsniveau ist per Definition auch sicher, aber jeder sichere Code ist nicht unbedingt von guter Qualität. Ist das Starten von „links von links“ die Formel, um reine sichere Codierungsstandards zu gewährleisten?
Das anfällige Verhalten, auf das wir uns hier konzentrieren werden, ist die Verwendung von Code aus nicht vertrauenswürdigen Quellen, eine scheinbar harmlose Praxis, die große Probleme verursacht.
Gehen wir weiter ins Jahr 2016, als ein Sicherheitsforscher auf der Equifax-Hauptwebsite eine häufige Sicherheitslücke entdeckte, die als Cross-Site Scripting (XSS) bekannt ist. Dies geht aus einem Tweet eines Forschers hervor, der den Namen x0rz trägt.
Bei dieser Sicherheitslücke handelt es sich eher um ein menschliches Problem oder ein Managementproblem, das es älteren APIs ermöglicht, lange nachdem sie durch neuere, sicherere Versionen ersetzt werden sollten, bestehen zu bleiben.
Viele Unternehmen, die in ihrem Cybersicherheitsansatz Ziele überschreiten, haben ein offizielles Security-Champion-Programm eingeführt, das wichtige Sicherheitsaufgaben — von der Zusammenarbeit zwischen Teams und allgemeinem Cheerleading bis hin zur Überwachung von Best Practices — Personen überträgt, die Eignung und Leidenschaft für eine solche Rolle zeigen.
Rust integriert bekannte und funktionale Elemente aus häufig verwendeten Sprachen und arbeitet nach einer anderen Philosophie, die Komplexität beseitigt und gleichzeitig Leistung und Sicherheit einführt.
Es ist wahrscheinlich etwas häufiger in APIs, aber Angreifer versuchen oft, ungepatchte Fehler und ungeschützte Dateien oder Verzeichnisse überall in einem Netzwerk zu finden. Wenn sie auf eine API stoßen, bei der Debugging aktiviert oder Sicherheitsfunktionen deaktiviert sind, wird ihre schändliche Arbeit nur ein wenig einfacher.
Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Unterstützung von Entwicklern einführen, um qualitativ hochwertigere Software zu entwickeln.
Manchmal teilen Anwendungen im Rahmen einer Gesamtarbeitslast auch Daten mit anderen Programmen. Wenn die Transportebene nicht geschützt ist, ist sie sowohl für das Ausspionieren von außen als auch für unbefugte interne Zugriffe anfällig.
Jedes Unternehmen kann den Cybersecurity Awareness Month nutzen, um sein Sicherheitsbewusstsein aufzufrischen. In diesem Jahr bringen wir auch eine neue, kostenlose App für die Programmierer-Community auf den Markt!
Eine Beziehung, die auf den wackeligen Fundamenten des Misstrauens aufgebaut ist, naja, lässt sich am besten mit niedrigen Erwartungen angehen. Leider kann dies der Stand der Arbeitsbeziehung zwischen Entwicklern und dem AppSec-Team innerhalb einer Organisation sein.
Sicherheitsfehlkonfigurationen, insbesondere solche mit falschen Berechtigungen, treten am häufigsten auf, wenn ein Entwickler einen neuen Benutzer erstellt oder die Erlaubnis für eine Anwendung als Tool erteilt, um eine Aufgabe zu erledigen.
Angreifer versuchen immer zuerst, leicht ausnutzbare Sicherheitslücken zu finden, und können sogar ein Skript verwenden, um häufig auftretende Schwachstellen ausfindig zu machen. Es ist nicht unähnlich wie ein Dieb, der alle Autos auf einer Straße überprüft, um zu sehen, ob irgendwelche Türen unverschlossen sind, was viel einfacher ist, als ein Fenster einzuschlagen.
Angesichts der ständigen Fachkräftemangel und der Flut von Code, the written, to be fair to the world software requirements, many companies into their cybersecurity strategy and their existing infrastructure. Es ist an der Zeit, dass wir einen ehrlichen Blick auf unseren allgemeinen Reifegrad im Bereich Cybersicherheit werfen und die realisierbaren Quick Wins bewerten, die direkt vor uns liegen.
CISOs befinden sich in einer zunehmend angespannten Lage: Schützen Sie mehr Ressourcen, versenden mehr Code, reduzieren eine größere Angriffsfläche und das mit schnell abnehmenden finanziellen Ressourcen. Es ist eine unausweichliche Tatsache, dass Cybersicherheit als Kostenstelle angesehen wird, und obwohl das Sicherheitsprogramm eines Unternehmens das ist, was einem Bedrohungsakteur im Weg steht, ihn zur katastrophalen Schlagzeile von morgen zu machen, müssen Sicherheitsverantwortliche mehr tun, um den allgemeinen Geschäftswert der Abteilung zu verkaufen und zu beweisen, und zwar in einer Sprache, die für die Exekutive sinnvoll ist.
Unser neuestes Forschungspapier, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Ergebnisse.
Der zunehmende Fokus auf sicheren Code und die Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden. Tools wie der Trust Score von Secure Code Warrior helfen dabei, ihre Fortschritte zu messen und zu verbessern.
Unsere Untersuchungen haben gezeigt, dass sicheres Codetraining funktioniert. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndatenpunkten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert. Er zeigt, wie effektiv es ist, Sicherheitslücken zu schließen und zeigt, wie die Initiative noch effektiver gestaltet werden kann.
Es ist bekanntermaßen schwierig, aussagekräftige Daten zum Erfolg von Secure-by-Design-Initiativen zu finden. CISOs stehen oft vor der Herausforderung, die Investitionsrendite (ROI) und den Geschäftswert der Aktivitäten von Sicherheitsprogrammen sowohl auf Personal- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Unternehmen im Vergleich zu aktuellen Industriestandards bewertet werden. In der Nationalen Cybersicherheitsstrategie des Präsidenten wurden die Interessengruppen aufgefordert, „Sicherheit und Widerstandsfähigkeit von Anfang an zu berücksichtigen“. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl qualitativer und quantitativer Daten vor, die aus mehreren Primärquellen stammen, darunter interne Datenpunkte, die von über 250.000 Entwicklern gesammelt wurden, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser Aggregation von Datenpunkten wollen wir einen Überblick über den aktuellen Stand der Secure-by-Design-Initiativen in mehreren Branchen vermitteln. Der Bericht beschreibt, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Weiterbildungsprogramm auf die Minderung von Cybersicherheitsrisiken haben kann und welches Potenzial es hat, Kategorien von Sicherheitslücken aus einer Codebasis zu entfernen.
In der KI-Debatte geht es nicht um Nutzung, sondern um Anwendung. Erfahren Sie, wie Sie die Notwendigkeit von KI-Produktivitätssteigerungen mit robuster Sicherheit in Einklang bringen können, indem Sie sich auf Entwickler verlassen, die ihren Code genau verstehen.
In diesem Whitepaper wird der Sicherheitsexperte und Secure Code Warrior CTO und Mitbegründer Matias Madou, Ph.D. erörtern: Die sechs Säulen, die Sie benötigen, um Ihre Entwicklungskohorte effektiv zu schulen und zu unterstützen. Erkenntnisse von zehn Führungskräften, die Sicherheitsprogramme auf Unternehmensebene implementiert haben, und häufige Fallstricke, die Sie auf Ihrem Weg zum Erfolg vermeiden sollten.
