Der vergessene Faktor Mensch, der Sicherheitslücken in Webanwendungen verursacht
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
