Eine Version dieses Artikels erschien in SC Magazine. Es wurde hier modifiziert und syndiziert.
Wenn Sie schon einmal von Dieben in Ihr Zuhause eingebrochen sind, werden Sie das anfängliche Gefühl verstehen, dass etwas nicht stimmt, gefolgt von der Erkenntnis, dass sie tatsächlich gestohlen und verletzt wurden. This goes in the rule to persistent complaints, only to still by a change of security measures that would take with Fort Knox.
Setze dich jetzt vor, in deinem Haus wird eingedrungen, weil die Diebe einen Schlüssel gemacht haben. Sie schleichen herum, kommen und gehen, wie sie beliebt sind, achten aber darauf, bleiben unentdeckt. Dann, eines Tages, merkst du allzu spät, dass der Schmuck, den du in der Tiefkühltruhe versteckt hast, weg ist, dein Tresor geleert und deine persönlichen Dinge wurden geplündert. This is the equivalente reality, with the a company is involved, if it offer a Zero-Day-Cyber attacks. Im Jahr 2020 ergab eine Studie des Ponemon Institute, dass 80% of successful privacy verletzungen waren das Ergebnis von Zero-Day-Exploits, und die meisten Unternehmen sind leider schlecht gerüstet, um diese Statistiken deutlich zu verbessern.
Zero-Day-Angriffe geben Entwicklern per Definition keine Zeit, um bestehende Sicherheitslücken zu finden und zu beheben, die ausgenutzt werden könnten, da der Bedrohungsakteur zuerst eingedrungen ist. The damage is applied and then is a wahnsinnig angel, both the software as also and the reputation damage of the company. Angreifer sind immer im Vorteil, und es ist entscheidend, diesen Vorteil so weit wie möglich zu schließen.
Das Weihnachtsgeschenk, das niemand wollte — Log4Shell — sprengt derzeit das Internet. About a milliarde devices should be affected from this katastrophal java-Sicherheitslücke. Es zeichnet sich ab, der schlimmste 0-Tage-Angriff aller Zeiten, und wir fangen gerade an. Trotz einige Reportes mit der Angabe, dass Exploits einige Tage vor der Veröffentlichung begonnen haben, eine Präsentation auf der Black Hat Conference im Jahr 2016 würde vermuten, dass dies seit einiger Zeit ein bekanntes Problem ist. Autsch. Schlimmer noch, es ist furchtbar einfach auszunutzen, und jeder Drehbuch-Kiddie und Bedrohungsakteur auf dem Planeten jagt mit dieser Sicherheitslücke hinterher.
Was ist also der beste Weg, um sich vor einer rutschigen, finsteren Bedrohung zu schützen, ganz zu schweigen von Sicherheitslücken, die im Softwareentwicklungsprozess übersehen wurden? Lasse uns einen Blick darauf werfen.
Zero-Day-Angriffe gegen große Ziele sind selten (und teuer)
Im Dark Web gibt es einen riesigen Markt für Exploits, und Zero-Days kosten in der Regel ein nettes Sümmchen, um ein Beispiel zu nennen in diesem Artikel zum Zeitpunkt der Erstellung dieses Artikels für 2,5 Mio. $ gelistet. Es handelt sich dabei um einen Exploit von Apple iOS, und es ist keine Überraschung, dass die Preisvorstellung des Sicherheitsforschers durch die Decke geht. Schließlich könnte das Tor tatsächlich sein, um Millionen von Geräten zu kompromittieren, Milliarden sensibler Datensätze zu sammeln und das so lange wie möglich zu tun, bevor sie entdeckt und gepatcht werden.
Aber wer hat überhaupt so viel Geld? In der Regel lassen organisierte Cyberkriminalsyndikate das Geld fallen, wenn es als würdig erachtet wird, insbesondere bei allseits beliebten Ransomware-Angriffen. Global Governments and defense authorities gehören jedoch zu den Kunden von Exploits, die sie für Bedrohungsinformationen nutzen können, und in positiven Fällen könnten die Unternehmen ihre potenziellen Zero-Day-Exploits selbst sein, um Katastrophen abzuwehren.
2021 wurden Rekorde gebrochen for live discovery of Zero-Day-Exploits, and it are large organizations, government authorities and infrastructure, which is the largest risk, are tested on schwachstellen. Es gibt keine Möglichkeit, Zero-Day-Angriffe vollständig vor der Möglichkeit zu schützen, aber Sie können das Spiel einigermaßen „spielen“, indem Sie ein großzügiges und gut strukturiertes Bug-Bounty-Programm anbieten. After to wait, to any you offer the key to your software castle on a Dark Web market place, get you allow legitime security fans on your page and provide them relevant belohnungen for ethical enthüllings and possible correctures.
Und wenn es zufällig zu einer Zero-Day-Bedrohung kommt, können Sie davon ausgehen, dass Sie mehr als eine Amazon-Geschenkkarte ausstellen müssen (und es wird sich lohnen, dies tun).
Your tools könntet eine Belastung für Ihr Sicherheitspersonal darstellen
Ständliche Sicherheitstools sind seit langem ein Problem, das der durchschnittliche CISO verwaltet irgendwo zwischen 55 und 75 Werkzeugen in ihrem Sicherheitsarsenal. Abseits davon, dass es das verwirrendste (metaphorischste) Schweizer Taschenmesser der Welt ist, sind 53% der Unternehmen nicht einmal davon überzeugt, dass sie effektiv arbeiten laut einer Studie vom Ponemon Institute. Eine weitere Studie enthüllte, dass nur 17% der CISOs der Meinung waren, dass ihr Sicherheits-Stack „vollständig effektiv“ ist.
In einem Bereich, der für seinen Burnout, den Mangel an Sicherheitsfachkräften zur Deckung der Nachfrage und den Bedarf an Agilität bekannt ist, ist es eine Belastung, Sicherheitsexperten zu zwingen, wobei die Informationsflut in Form von Daten, Berichten und den Tools zur Überwachung riesiger Tools zu arbeiten hat. Das ist genau die Art von Szenario, die dazu führen kann, dass sie eine kritische Warnung übersehen, was durchaus der Fall war, als es darum ging, Log4j richtig auf seine Schwächen zu untersuchen.
Präventive Sicherheit sollte eine entwicklerorientierte Bedrohungsmodellierung beinhalten
Safety Lücken on code level are often used by Developers, and they need precise instructions and regularly learning path to provide safe programming knowledge. Safety Developer of the next level have but receive the possible to learn and exercise in their software development process.
Es sollte nicht überraschen, dass die Leute, die ihre Software am besten kennen, die Entwickler sind, die dort gegründet und sie entwickelt haben. Sie verfügen über fundiertes Wissen darüber, wie Benutzer mit der Software umgehen, wo die Funktionen verwendet werden und wenn sie ausreichend sicherheitsbewusst sind, über potenzielle Szenarien, in denen die Software kaputt gehen oder ausgenutzt werden könnte.
When we back to the Log4Shell-Exploit, we see an scenario, in the an katastrophal security gap of experts and complex toolsets was not found. Sie sind jedoch möglicherweise überhaupt nicht aufgetreten, wenn die Bibliothek so konfiguriert war, dass sie Benutzereingaben zusammenfassen. The decision other scheint aus praktischen Gründen ein obskures Feature gewesen zu sein, machte es aber schmerzhaft einfach auszunutzen (denke an SQL Injection-Level, sicherlich kein geniales Zeug). Wenn die Bedrohungsmodellierung von einer Gruppe begeisterter, sicherheitsbewusster Entwickler durchgeführt würde, wäre dieses Szenario mit hoher Wahrscheinlichkeit theoretisiert und in der Praxis umgesetzt worden.
Ein gutes Sicherheitsprogramm hat eine emotionale Komponente, bei der menschliche Eingreifen und Nuancen im Mittelpunkt der Lösung von Problemen stehen, die von Menschen verursacht wurden. Bedrohungsmodellierung erfordert Empathie und Erfahrung, um effektiv zu sein, wie auch die sichere Codierung und Konfiguration von Software und Anwendungen auf der Architekturebene. Developer should not to take to the night, but a clear way, they make into clear way, that they can load the security team for this important task, is ideal (and it is a great possible to create a relationship between two teams).
Nulltage führen zu N-Tagen
The following part of the process with a Zero-Day contains, patches as a quickly as possible bring, in the höllischen hope that each user of the anfällige software they so quickly as possible as possible, and at each case, before a provider first. With Log4Shell Es könnte Heartbleed in den Schatten stellen in seiner Ausdauer und Leistungsfähigkeit angesichts der Tatsache, dass es in Millionen von Geräten eingebettet ist und komplexe Abhängigkeiten innerhalb eines Software-Builds erzeugt werden.
Realistisch gesehen gibt es keine Möglichkeit, diese Art von heimlichem Angriff vollständig zu stoppen. Wenn wir uns jedoch dazu verpflichten, alle Möglichkeiten zu nutzen, um qualitativ hochwertige, sichere Software zu entwickeln, und die Entwicklung mit derselben Denkweise, wie sie bei kritischen Infrastrukturen tun würden, können wir alle eine echte Chance haben.
