Ergreifen Sie Zero-Day-Angriffe. Es ist an der Zeit, eine Verteidigungslinie zu planen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
Inhaltsverzeichniss
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
The Power of OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
.png)
