Legen Softwareanbieter genauso viel Wert auf Sicherheit wie Sie?
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Eine Version dieses Artikels erschien in Sicherheitsmagazin. Es wurde hier aktualisiert und syndiziert.
Für Sicherheitsexperten ist der 13. Dezember etwas Besonderes. Ist es der Tag, an dem wir die SQL-Injection endlich für immer ausgerottet haben? Natürlich nicht. Vielleicht ist heute der „International Security Worker Appreciation Day“? Ebenfalls nein. Es ist der Tag, an dem FireEye und Mandiant ihren schockierenden Bericht über ein bisher Unbekanntes veröffentlichten globale Intrusionskampagne das würde als SolarWinds bekannt werden. In dem Bericht wurde ein andauernder und fast unglaublicher Angriff beschrieben, bei dem bösartiger Code tief in den Softwareupdates der beliebten Orion-Managementsoftware von SolarWind versteckt war.
Über 18.000 SolarWinds-Kunden hatten das beschädigte Update bereits heruntergeladen. Viele von ihnen haben es automatisch getan, genau wie sie es bei Hunderten anderer Softwareupdates in ihren Organisationen und Netzwerken getan haben. Die Angreifer waren bei der Auswahl ihrer Angriffe äußerst wählerisch, nachdem sie durch den SolarWinds-Angriff Zugriff erhalten hatten. Vielen großen Unternehmen sowie Regierungsbehörden wurden ihre Daten gestohlen und ihre Netzwerke kompromittiert. Es war eines der größten und wahrscheinlich teuerster Verstoß aller Zeiten, zumal im Fall von Regierungsbehörden das volle Ausmaß des Schadens nie öffentlich bekannt gegeben wurde.
Und das alles geschah, weil die Leute den Anbietern innerhalb ihrer Software-Lieferkette vertrauten, ohne ihre Aktivitäten ordnungsgemäß zu überprüfen oder zu überprüfen.
Die massive Umstellung auf Lieferkettensicherheit
Sobald der Alarm ausgelöst wurde, reagierten Unternehmen, Organisationen und Regierungsbehörden schnell. Die Sicherheitslücke bei SolarWinds wurde natürlich gestoppt, aber der Angriff deckte auch die Gefahren einer ungeregelten und unüberwachten Software-Lieferkette auf. Der SolarWinds-Vorfall wurde zwar schnell behoben, sobald er entdeckt wurde, aber die Auswirkungen darauf, wie die Lieferkette als Angriffsvektor genutzt wurde, dauern immer noch an. Wenn aus dem Angriff nichts Gutes wurde, rückte er zumindest einen kritischen, aber übersehenen Aspekt der Cybersicherheit ins Rampenlicht.
Eine der bekanntesten Reaktionen auf den SolarWinds-Angriff war die von Präsident Biden Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes. Die Verordnung ist eine der umfassendsten Cybersicherheitsrichtlinien, die jemals in den Vereinigten Staaten erlassen wurden. Sie fordert eine bessere Cybersicherheit bei Behörden und für diejenigen, die mit der Regierung Geschäfte machen, befürwortet fortschrittliche Schutzmaßnahmen wie Zero-Trust-Netzwerke und betont die Notwendigkeit der Sicherheit der Software-Lieferkette.
Die EO ist zwar spezifisch für die Regierung, aber auch andere Gruppen haben begonnen, die Bedeutung der Lieferkettensicherheit zu betonen, um einen weiteren Angriff im Stil von SolarWinds zu verhindern. Zum Beispiel hat Palo Alto kürzlich seine veröffentlicht Einheit 42 Cloud-Bedrohungsbericht mit dem Titel „Sichern Sie die Software-Lieferkette, um die Cloud abzusichern“. In dem Bericht heißt es, dass keine Cloud-Bereitstellung ohne die Sicherheit der Software-Lieferkette absolut sicher ist. Und die Cloud Native Computing Foundation stimmt zu und veröffentlicht eine weißes Papier detaillierte Beschreibung der Best Practices für wichtige Softwarelieferketten, die im Zuge der Einführung von SolarWinds befolgt werden müssen.
Man kann mit Sicherheit sagen, dass die letzten Jahre die Cybersicherheitsstandards grundlegend verändert haben, und obwohl dies nicht verpflichtend ist, sollte es für alle Unternehmen ein Ziel sein, diesem Beispiel zu folgen und die Sicherheitspraktiken der Anbieter unter die Lupe zu nehmen, als ob sie Teil ihres eigenen internen Sicherheitsprogramms wären. Initiativen wie die neuen von CISA Strategischer Plan liefert weitere Belege dafür, dass die Herangehensweise an Sicherheit als gemeinsame Verantwortung Teil eines neuen Standards für alle Softwareentwickler ist, insbesondere für diejenigen, die an kritischen Infrastrukturen oder der Softwarelieferkette beteiligt sind.
Was können Unternehmen tun, um ihre Software-Lieferketten zu verbessern?
In dieser Situation fragen sich viele Anbieter zu Recht, was sie tun können, um ihre eigenen Lieferketten zu schützen. Was kann ein Unternehmen tun, um sicherzustellen, dass sich seine Anbieter genauso um Cybersicherheit kümmern wie sie?
Die EO beschreibt insbesondere den Einfluss von Softwareentwicklern und die Notwendigkeit, dass sie verifizierte Sicherheitsfähigkeiten und Sensibilisierung, ein Bereich, der in einer Branche, die von Tools besessen ist, oft vergessen wird, anstatt sich auf die Verteidigung durch wichtige Sicherheitskompetenzen zu konzentrieren.
Es hat sich herausgestellt, dass jeder umfassende Cybersicherheitsansatz heutzutage unbedingt eine detaillierte Risikobewertung durch Dritte beinhalten muss, die die vorhandenen technischen Sicherheitskontrollen abdeckt und bewertet, wie Partner die Unternehmensführung, das Risiko und die Einhaltung von Vorschriften in ihren eigenen Organisationen betrachten.
Alle Bewertungen durch Dritte sollten Zusicherungen und detaillierte Pläne darüber beinhalten, wie diejenigen in Ihrer Software-Lieferkette planen, sichere Programmaktualisierungen mit verifizierten Zertifikatssignaturen zu veröffentlichen, und wie sie dazu beitragen, die Identitäten all ihrer Software und Geräte zu verwalten. Es sollte auch einen klaren Weg für kryptografische Upgrades und Updates für ihre Produkte aufzeigen.
Und jetzt, da Entwickler endlich als wichtiger Bestandteil der Sicherheit in der Software-Lieferkette angesehen werden, sollte jede Bewertung auch einen Bericht enthalten, in dem detailliert beschrieben wird, wie sie sichere Codierung und kontinuierliche Verbesserung innerhalb ihrer Entwicklungsgemeinschaft fördern, und idealerweise ein Benchmarking ihrer Fähigkeiten und aktuellen Schulungen. Wir wissen, dass der Schwerpunkt auf der Weiterbildung von Entwicklern immer mehr liegt, aber 48% der Entwickler haben zugegeben, wissentlich anfälligen Code versendet zu haben.
Faktoren wie Zeitbeschränkungen und die Tatsache, dass Sicherheit in ihrer Welt einfach keine oberste Priorität (und auch kein Erfolgsmaßstab) hat, tragen dazu bei, dass Sicherheitslücken auf Codeebene nicht so früh behoben werden, wie sie sollten. Wenn wir verhindern wollen, dass sie die Software-Lieferkette infizieren, jeden Die Organisation muss sich zu einem entwicklerfreundlicheren Sicherheitsprogramm verpflichten.
Die nächsten Schritte?
Risikobewertungen sind von entscheidender Bedeutung, denn wenn Sie Software von einem Anbieter verwenden, der Sicherheitsprobleme hat, werden Sie diese in Ihr Ökosystem übernehmen und die Konsequenzen tragen. Unternehmen sollten sich jedoch auch darüber im Klaren sein, dass es möglich ist, dass ihre Anbieter tatsächlich sicherer sind und ihre Entwickler-Communities sogar besser unterstützen können.
Sie können eine Risikobewertung durch Dritte als sekundäre Methode zur Bewertung Ihrer eigenen Sicherheit verwenden. Wenn ein Anbieter einen Sicherheitsaspekt besser handhabt als Sie intern, können Sie seine Methoden anwenden, um Ihr eigenes Unternehmen zu verbessern.
Schließlich besteht der nächste große Schritt zur wirklichen Verbesserung der Software-Lieferkette darin, sichere Codierungszertifizierungen für Entwickler zu implementieren. Ein guter Plan ist der erste Schritt, aber auch die Überprüfung, ob er tatsächlich befolgt wird und zur Erstellung von sicherem Code beiträgt, ist ebenfalls eine Notwendigkeit.
Solange wir nicht an einem Punkt angelangt sind, an dem die Unterstützung von Entwicklern im Bereich der sicheren Codierung die Norm ist, hinken wir immer hinterher, wenn es darum geht, Gelegenheiten zu schließen, bevor Bedrohungsakteure hineinschauen können. Es ist jedoch nie zu spät, mit der richtigen Unterstützung eine positive Wirkung zu erzielen. Erfahren Sie, wie Ihre Entwickler mithilfe von agilem Lernen relevante, wirkungsvolle Sicherheitskompetenzen verbessern können jetzt.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
