Warum SQL-Injections die Kakerlaken der AppSec-Welt sind (und wie CISOs sie ein für alle Mal ausrotten können)
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können — sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Das weit verbreitete, kostspieliger Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie eine Instanz von Hacking von Wahlen in Illinois, wo 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu arbeiten, um ihre Sicherheitspraktiken zu verstärken.
Impervas Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83% aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung im OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht sterben.
Es scheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer erheblichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie es funktioniert, und wir wissen, wie wir es stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Veracodes Bericht zum Stand der Softwaresicherheit — basierend auf 400.000 Anwendungsscans im Jahr 2017 ergab "eine alarmierende Statistik: Nur 30% der Anwendungen haben die OWASP-Top-10-Richtlinie erfüllt. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenserhaltend?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4% aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42% der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Sicherheits- und Innovationshelden sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können — sogar eine nukleare Explosion.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können — sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Das weit verbreitete, kostspieliger Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie eine Instanz von Hacking von Wahlen in Illinois, wo 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu arbeiten, um ihre Sicherheitspraktiken zu verstärken.
Impervas Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83% aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung im OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht sterben.
Es scheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer erheblichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie es funktioniert, und wir wissen, wie wir es stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Veracodes Bericht zum Stand der Softwaresicherheit — basierend auf 400.000 Anwendungsscans im Jahr 2017 ergab "eine alarmierende Statistik: Nur 30% der Anwendungen haben die OWASP-Top-10-Richtlinie erfüllt. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenserhaltend?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4% aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42% der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Sicherheits- und Innovationshelden sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können — sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Das weit verbreitete, kostspieliger Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie eine Instanz von Hacking von Wahlen in Illinois, wo 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu arbeiten, um ihre Sicherheitspraktiken zu verstärken.
Impervas Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83% aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung im OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht sterben.
Es scheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer erheblichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie es funktioniert, und wir wissen, wie wir es stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Veracodes Bericht zum Stand der Softwaresicherheit — basierend auf 400.000 Anwendungsscans im Jahr 2017 ergab "eine alarmierende Statistik: Nur 30% der Anwendungen haben die OWASP-Top-10-Richtlinie erfüllt. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenserhaltend?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4% aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42% der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Sicherheits- und Innovationshelden sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Es gibt eine bekannte Theorie, dass Kakerlaken im Grunde alles überleben können — sogar eine nukleare Explosion. Obwohl diese Theorie nur bis zu einem gewissen Punkt zutrifft, sind sie aufgrund ihrer einfachen Körperzusammensetzung für ihre Größe extrem robust und unter den meisten Bedingungen schwer auszurotten.
Ich habe nachgedacht... wenn Kakerlaken in der digitalen Welt ein Äquivalent hätten, müssten es SQL-Injection-Schwachstellen (SQLi) im Code sein. Dies ist seit mehr als zwanzig Jahren eine bekannte Sicherheitslücke, doch Unternehmen fallen ihnen immer wieder zum Opfer. Das weit verbreitete, kostspieliger Angriff auf Target war das Ergebnis einer SQL-Injection, ebenso wie eine Instanz von Hacking von Wahlen in Illinois, wo 200.000 Wählerdaten offengelegt wurden, was das FBI dazu veranlasste, allen IT-Administratoren zu empfehlen, schnell zu arbeiten, um ihre Sicherheitspraktiken zu verstärken.
Impervas Bericht der Hacker Intelligence Initiative enthüllte, dass zwischen 2005 und 2011 SQLi-Angriffe bei 83% aller gemeldeten Datenschutzverletzungen eingesetzt wurden. Heute sind Injection-Schwachstellen nach wie vor die größte Bedrohung im OWASP Top 10. Sie sind relativ einfach, aber sie werden einfach nicht sterben.
Es scheint lächerlich, dass dieselbe Sicherheitslücke immer noch in einer erheblichen Anzahl von Anwendungssicherheitsscans auftritt. Wir wissen, wie es funktioniert, und wir wissen, wie wir es stoppen können. Wie ist das möglich? Die Wahrheit ist, dass unsere Softwaresicherheit sehr viel Verbesserungspotenzial bietet.
Veracodes Bericht zum Stand der Softwaresicherheit — basierend auf 400.000 Anwendungsscans im Jahr 2017 ergab "eine alarmierende Statistik: Nur 30% der Anwendungen haben die OWASP-Top-10-Richtlinie erfüllt. Dies war in den letzten fünf Jahren ein konsistentes Thema. In fast jeder dritten neu gescannten Anwendung traten SQL-Injections auf. Dies ist ein Beweis für ein weit verbreitetes Problem. Wir lernen nicht aus unseren Fehlern, und CISOs stehen offenbar vor einem harten Kampf, um genügend Sicherheitstalente zu finden. In der Regel ist das Verhältnis von AppSec-Spezialisten zu Entwicklern unzureichend im Verhältnis 1:100.
Warum ist Softwaresicherheit lebenserhaltend?
Es ist kein Geheimnis, dass spezialisiertes Sicherheitstalent knapp ist, aber wir müssen auch darauf achten, dass Entwickler Probleme nicht sofort beheben, wenn sie auftreten, und ganz offensichtlich schlecht gerüstet sind, um Sicherheitslücken gar nicht erst einzuführen. Im gleichen Veracode-Bericht wurde bekannt gegeben, dass es dokumentierte Abhilfemaßnahmen für nur 14,4% aller Sicherheitslücken in der Entwicklung gibt. Mit anderen Worten, die meisten Sicherheitslücken wurden ohne Abhilfemaßnahmen gemeldet. Weniger als ein Drittel der Sicherheitslücken wurde in den ersten 90 Tagen geschlossen, und 42% der Sicherheitslücken wurden während des Entwicklungszeitraums nie geschlossen.
Ich spreche ständig mit Sicherheitsexperten, CISOs und CEOs, und anekdotisch ist mir bewusst geworden, dass viele Unternehmen über die Anzahl der gefundenen Sicherheitslücken, die nicht gemildert werden können, so frustriert sind (zusätzlich zu der Geißel, die als Fehlalarme bekannt sind), dass sie ganz aufhören, nach ihnen zu suchen, die Daumen drücken und auf das Beste hoffen.
Warum lassen AppSec-Experten das geschehen?
Machen Sie keinen Fehler: AppSec-Mitarbeiter sind sich der Probleme im Code schmerzlich bewusst. Schließlich ist das eine ihrer Kernkompetenzen, die sie zu einer so wertvollen Teamressource macht. Sie werden jedoch oft durch mehrere Faktoren beeinträchtigt.
Beispielsweise findet ein AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code reparieren?“. Die Antwort auf diese wichtige Frage ist von Organisation zu Organisation unterschiedlich, aber im Allgemeinen ist der Entwickler so überfordert, strenge Sprints zur Bereitstellung von Funktionen einzuhalten, dass er einfach nicht die Zeit hat, diese Probleme zu beheben, und auch keine geeigneten Tools, um ihnen zu helfen. AppSec-Experten sind möglicherweise selbst in der Lage, Sicherheitslücken zu identifizieren, aber sie verfügen oft nicht über die Fähigkeiten und/oder den Zugriff, um sie vor Ort zu beheben.
Wir müssen uns auch darüber im Klaren sein, dass es für jedes Problem einen Prozess gibt, bei dem eine Lösung gefunden, implementiert und dann getestet werden muss. Selbst für das kleinste Problem, das im Code gefunden wird, ist die Zeit, die es in Anspruch nehmen kann, um es zu beheben, ganz zu schweigen von den benötigten Ressourcen, immens. Es gibt über 700 Sicherheitslücken, die in Software eingeführt werden können, und es ist einfach unmöglich, dass sich eine einzelne Person vor allen schützen kann. Aus diesem Grund halten sich die meisten Unternehmen daran, nur den OWASP Top 10 zu folgen. Währenddessen entwickeln Entwickler ständig Funktionen und fügen im Gegenzug immer wieder Sicherheitslücken in den Code ein, den sie schreiben.
Was ist die Lösung?
Die einfache Tatsache ist, dass wir unseren Entwicklern nicht die Tools und Schulungen zur Verfügung stellen, um eine erfolgreiche sichere Programmierung zu fördern. Es gibt keine Vorschriften, die Unternehmen dazu zwingen, sicherzustellen, dass Entwickler über angemessene Sicherheitskenntnisse verfügen, und es ist eine traurige Realität, dass die meisten Universitäten und Praktika junge Entwickler auch nicht darauf vorbereiten, sicher zu programmieren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Wir müssen die Zeit damit verbringen, Entwicklern das Schreiben von sicherem Code beizubringen. In der heutigen Welt, in der die Softwareentwicklung rasant ist und gute Entwickler und Sicherheitsexperten Mangelware sind, scheint dies jedoch nie eine Priorität zu sein. Es ist an der Zeit, dass wir das Gespräch ändern.
Eine aktuelle Schlagzeile aus dem Weltwirtschaftsforum schrie: „Ohne Sicherheit kann es keine digitale Wirtschaft geben“, wobei in den Begleitinhalten die Notwendigkeit von Sicherheit als zentraler Bestandteil jeder digitalen Transformationsstrategie argumentiert wurde. „Sicherheit schützt Unternehmen und ermöglicht es ihnen, innovativ zu sein und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit ist nicht nur eine defensive Rolle, sondern bietet Unternehmen auch einen strategischen Wachstumsvorteil.“
Die Verbesserung der Fähigkeiten und Ergebnisse beim sicheren Programmieren wird Unternehmen eine leistungsstarke Cyberschutzebene bieten und sie dabei unterstützen, besseren und schnelleren Code zu erstellen. Entwickler müssen keine Sicherheitsexperten werden, aber sie müssen positiv und praktisch in die Lage versetzt werden, die erste Verteidigungslinie gegen Cyberangriffe zu sein. Entwickler können die nächsten Sicherheits- und Innovationshelden sein. Sie sind sehr kluge Leute, sie sind kreative Problemlöser und im Allgemeinen daran interessiert, ihre Fähigkeiten auszubauen. Nutzen Sie ihre Stärken mit der Fachausbildung, die sie verdienen, und verpflichten Sie sich zu einem höheren Softwaresicherheitsstandard. Lesen Sie unser Whitepaper um mehr zu erfahren.
Wenn jemand ein Flugzeug fliegen möchte, gibt es ein sehr strenges Verfahren, das eine Ausbildung, praktische Erfahrung, medizinische Untersuchungen, Sicherheitskenntnisse und Prüfungen sicherstellt, bevor er fliegen kann. Niemand würde es wagen, sich vorzustellen, dass jemand ohne diese umfassende Vorbereitung und Validierung seiner Fähigkeiten in der Luft herumlaufen würde, doch genau das passiert tagtäglich beim Schreiben von Code.
Inhaltsverzeichniss
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
