Ergreifen Sie Zero-Day-Angriffe. Es ist an der Zeit, eine Verteidigungslinie zu planen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Inhaltsverzeichniss
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
