Blog

Analyse der Cybersicherheitsbranche: Eine weitere wiederkehrende Sicherheitslücke, die wir korrigieren müssen

January 6, 2022
Pieter Danhieux

Eine Version dieses Artikels erschien in Hilfe | Net Security. Es wurde hier aktualisiert und syndiziert.

Ich habe meine Karriere damit verbracht, zu finden, zu reparieren, zu diskutieren und zusammenzubrechen Software-Sicherheitslücken, auf die eine oder andere Weise. Ich weiß, dass, wenn es um einige häufig auftretende Sicherheitslücken geht, obwohl sie seit den 90er Jahren in unserem Orbit sind, unsere Software weiterhin plagen und große Probleme verursachen, obwohl die (oft einfache) Lösung fast genauso lange bekannt ist. Es fühlt sich wirklich wie Groundhog Day an, an dem wir als Branche immer wieder dasselbe tun und ein anderes Ergebnis erwarten.


Es gibt jedoch noch ein kleines Problem. Wir erhalten weder realistische Ratschläge noch die schnellsten Lösungen, um den ununterbrochenen Angriff der modernen Cybersicherheit zu bekämpfen. Natürlich ist jede Sicherheitsverletzung auf ihre Art anders, und es gibt zahlreiche Angriffsvektoren, die in anfälliger Software ausgenutzt werden können. Umsetzbare allgemeine Empfehlungen werden begrenzt sein, aber der Best-Practice-Ansatz sieht von Stunde zu Stunde fehlerhafter aus.


In diesem Zusammenhang muss ich mich fragen, warum in so vielen Kommentaren und Analysen rund um Cybersicherheit Lösungen ausgelassen wurden, die wirklich die eigentliche Ursache so vieler Sicherheitslücken angehen: Menschen. Die neueste Version von Gartner Hype-Zyklus für Anwendungssicherheit, und Forrester's Der Stand der Anwendungssicherheit 2021, beide Bibeln für Sicherheitsexperten, die zweifellos dazu beitragen, ihr Programm und die potenzielle Produktakzeptanz mitzugestalten, konzentrieren sich fast ausschließlich auf Tools. Ein Bericht von Aberdeen aus dem Jahr 2017 zeigte, wie widerspenstig der durchschnittliche Sicherheits-Tech-Stack geworden war, mit CISOs, die im Rahmen ihrer Sicherheitsstrategien Hunderte von Produkten verwalten; vier Jahre später haben wir es mit mehr Risiken, mehr Sicherheitslücken und immer mehr Ergänzungen zu den wachsenden Tech-Stacks zu tun.


Sicherheitstools sind ein Muss, aber wir müssen einen umfassenderen Blick darauf richten und die menschliche Komponente der Sicherheitsabwehr wieder ins Gleichgewicht bringen.

Automatisierung ist die Zukunft. Warum sollten wir uns um das menschliche Element der Cybersicherheit kümmern?

Praktisch alles in unserem Leben wird von Software angetrieben, und es stimmt, dass die Automatisierung die menschlichen Elemente ersetzt, die früher in so vielen Branchen präsent waren. Dies ist ein Zeichen des Fortschritts in einer Welt, die sich mit Warpgeschwindigkeit digitalisiert und KI und maschinelles Lernen in den Mittelpunkt vieler Unternehmen stellen.


Warum sollte dann ein menschenorientierter Cybersicherheitsansatz etwas anderes sein als eine veraltete Lösung für ein technologisch fortschrittliches Problem? Die Tatsache, dass im vergangenen Jahr Milliarden von Datensätzen bei Sicherheitslücken gestohlen wurden, einschließlich des jüngsten Facebook-Verstoßes betrifft über eine halbe Milliarde Konten, sollte darauf hinweisen, dass wir nicht genug tun (oder nicht den richtigen Ansatz verfolgen), um den Bedrohungsakteuren einen ernsthaften Gegenschlag zu versetzen.


Cybersicherheitstools sind ein dringend benötigter Bestandteil der Cyberabwehr, und Tools werden immer einen Platz haben. Analysten waren absolut auf den Punkt gebracht, als sie die neuesten Tools für einen Ansatz zur Risikominderung für Unternehmen empfohlen haben, und daran wird sich nichts ändern. Da die Codequalität (und definitionsgemäß auch die Sicherheit) beim Umfang der Codeproduktion schwer zu verwalten sind, können Tools diese Aufgabe jedoch nicht alleine erledigen. Bis heute gibt es kein einziges Tool, das:

  • Nach jeder Sicherheitslücke suchen, in jeder Sprache:framework
  • Schnelles Scannen
  • Minimiere die Doppelbehandlung, die durch falsch positive und negative Ergebnisse verursacht wird


Werkzeuge können langsam, umständlich und unhandlich sein. Vor allem aber finden sie nur Probleme — sie beheben sie nicht und empfehlen keine Lösungen. Letzteres erfordert, dass Sicherheitsexperten, die dünn am Boden sind und überarbeitet sind, durch den Müll waten, um in endlosen Pentest- und Scanergebnissen nach Schätzen zu suchen.


Tatsache ist, dass laut dem IBM Cyber Security Intelligence Index Report menschliches Versagen eine Rolle spielt 95% aller erfolgreichen Datenschutzverletzungen. Fast die Hälfte davon beziehen sich direkt auf Software-Sicherheitslücken, von denen viele gelindert werden könnten, wenn in den frühen Phasen des SDLC stärker auf sichere Codierung geachtet und entsprechende Sensibilisierungsmaßnahmen getroffen würden. Um dies zu erreichen, ist es jedoch von entscheidender Bedeutung, den Schwerpunkt stärker und relevanter auf die Ausbildung von Entwicklern zu legen — und diese nicht nur zu einem festen Bestandteil ihres Workflows zu machen.


Ob es uns gefällt oder nicht, Menschen sind tief in den Softwareentwicklungsprozess verwurzelt, und Cybersicherheit ist überwiegend ein menschliches Problem. Tools werden kein Allheilmittel sein, um einen grundlegenden Fehler in unserem Ansatz zu korrigieren, aber sie können eine wichtige unterstützende Rolle bei der Neugestaltung menschlicher Lösungen spielen.

Was wäre, wenn wir einfach bessere Tools (und viele davon) bauen würden?

Die Sicherheitstools werden ständig verbessert. SAST/DAST/IAST-Tools haben einen langen Weg zurückgelegt und sich in Geschwindigkeit und Intelligenz verbessert, und RASP sollte in vielen Anwendungsumgebungen eine ernsthafte Schutzmaßnahme sein. Firewalls, Secrets Manager, Cloud- und Netzwerksicherheitsanwendungen: alles ein Kinderspiel.


Menschen können immer danach streben, bessere Tools zu entwickeln, aber die Innovation entspricht nicht den Sicherheits- und Datenschutzanforderungen der digitalen Welt, in der wir leben. Werkzeuge werden größtenteils unter Berücksichtigung von Robotern gebaut. Sie sind zwar dazu da, Entwickler und das Sicherheitsteam beim Scannen, Überwachen oder Schützen von Code zu unterstützen, aber die Interaktion ist sehr begrenzt, und nur sehr wenige Lösungen zielen darauf ab, das Sicherheitsbewusstsein zu schärfen oder Kernkompetenzen zu verbessern, die zu besseren Sicherheitsergebnissen führen können.


In der Tat mehr als die Hälfte der Unternehmen weiß nicht einmal, ob die Tools für sie funktionieren, und sie sind auch nicht zuversichtlich, dass sie eine verheerende Datenschutzverletzung vermeiden könnten. Das ist eine sehr schlechte Stimmung, und in einer Branche, die von Tools besessen ist und die Unterstützung für einen anderen Ansatz fehlt, neigen sie dazu, den Status Quo und die damit verbundenen Probleme zu verfestigen.

Wie kann ein Unternehmen einen von Menschen geleiteten Sicherheitsansatz nutzen?

Es steht außer Frage, dass es von Vorteil ist, den Trends in der Anwendungssicherheitstechnologie immer einen Schritt voraus zu sein und sogar dazu beitragen kann, Upgrades oder Konsolidierungen in einem aufgeblähten Tech-Stack zu priorisieren. Wenn wir jedoch auf die Bekämpfung der eigentlichen Ursache anfälliger Software verzichten — wir sind nur Menschen —, werden wir auf der Verliererseite der Cybersicherheitsfront bleiben.


Wenn wir ernsthaft daran arbeiten wollen, die Anzahl der Sicherheitslücken auf Codeebene zu verringern, müssen Entwickler die Grundlagen erhalten, um erfolgreich die Verantwortung für die Sicherheit zu teilen. Sie benötigen eine entsprechende, praktische Ausbildung und Weiterqualifizierung am Arbeitsplatz sowie funktionale Tools, die ihren Arbeitsablauf nicht stören oder die Entwicklung von Sicherheitsproblemen zur lästigen Pflicht machen. Im Idealfall wären einige Tools entwicklerorientiert und mit Blick auf die Benutzererfahrung entwickelt worden.


Bis heute gibt es kein formelles Sicherheitszertifizierungsprogramm für Entwickler, aber jedes Unternehmen kann von Benchmarking und der Erweiterung der Fähigkeiten im Bereich der sicheren Codierung profitieren, wodurch häufig auftretende Sicherheitslücken frühzeitig und häufig behoben werden, und zuvor muss der große Tech-Stack aktiv werden und alles verlangsamen.


Ein Team sicherheitsbewusster Entwickler ist ein verborgener Schatz für jedes Unternehmen, aber wie bei allem, was sich lohnt, wird es Zeit und Mühe kosten, ein effektives Dreamteam zu implementieren. Entwickler dazu zu bringen, sich um Sicherheit zu kümmern und sicheres Programmieren als Grundlage für die Codequalität zu betrachten, erfordert eine unternehmensweite Verpflichtung, Sicherheit an die erste Stelle zu setzen. Und wenn ganze Teams sich der positiven Wirkung bewusst werden, die sie bei der Beseitigung häufiger Sicherheitslücken beim Schreiben von Code leisten können, gibt es kein Tool auf der Welt, das mithalten kann.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo