Die Veränderung, die wir in den AppSec-Badlands brauchen: Meine Prognosen für 2019
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
Der wahre Kampf, dem wir gegenüberstehen, ist nicht gegen Drehbuch-Kiddies oder gefährliche Syndikate der organisierten Cyberkriminalität... es geht darum, mehr Menschen dazu zu bringen, sich Sorgen zu machen, dass Datenschutzverletzungen überhaupt passieren.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, die Sicherheit ernster zu nehmen, ist das ständige Presseumfeld Förderung von mehr Talenten aus der Sicherheitsbranche Und bei allgemeinen Versuchen, Unternehmen für Cybersicherheit zu sensibilisieren, starren wir auf die rauchenden Krater, die Hunderte von Cyberangriffen hinterlassen haben. Sie stehen für groß angelegte Datenschutzverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Namen. Allein in der ersten Hälfte des Jahres 2018 4,5 Milliarden Datensätze wurden kompromittiert in 945 verschiedenen Vorfällen.
Ich habe es schon oft gesagt: Wir können es besser machen. Der wahre Kampf, vor dem wir stehen, ist jedoch nicht gegen Drehbuch-Kiddies, gefährliche Syndikate der organisierten Cyberkriminalität oder mysteriöse Gestalten mit Kapuzenpulli, die auf Laptops tippen — der Kampf besteht darin, mehr Menschen dazu zu bringen, sich darüber Gedanken zu machen, dass diese Sicherheitslücken überhaupt passieren.
Die Einhaltung der DSGVO ist ein guter Anfang, wird aber kurzfristig keine großen Auswirkungen haben.
Die der Europäischen Union Allgemeine Datenschutzverordnung Die Gesetze (DSGVO) sind derzeit in vollem Gange; eine drohende Bedrohung für Unternehmen, die den Datenschutz nicht ernst nehmen. Angesichts der hohen Bußgelder für diejenigen, bei denen festgestellt wurde, dass sie die Vorschriften nicht einhalten, sollte dies den Unternehmen als Tritt in den Hintern dienen, ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abwehr von Cyberangriffen zu entwickeln.
Einige Unternehmen wurden vor hohen Bußgeldern gewarnt, aber wir haben noch keine wirklichen Folgen aufgrund der Nichteinhaltung der DSGVO gesehen. Keine Konkursstrafen, nur eine ganze Menge Pop-ups, die wir Internetnutzer durchklicken müssen. Dies liegt zum Teil daran, dass Gerichtsverfahren viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, Rechtsmittel einzulegen. Jedes Unternehmen, für das ein Exempel statuiert wurde, ist wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Am Ende eines Albtraum-Jahres für Facebook meldeten sie vor Kurzem eine weitere Datenschutzverletzung: einen API-Bug, durch den die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen ausgesetzt waren. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die DSGVO-Gesetze schreiben vor, dass ein Verstoß innerhalb von 72 Stunden gemeldet wird, also wirft viele Fragen dazu auf, wie einflussreich und wirksam diese Gesetze wirklich sind zur Zeit.
Und natürlich haben die Sicherheitslücken auch anderswo nicht aufgehört: im November Marriott-Strand enthüllte, dass satte 500 Millionen Datensätze kompromittiert waren, und, was vielleicht noch besorgniserregender ist, dass die Angreifer vier Jahre lang auf ihre Systeme zugegriffen hatten, bevor sie entdeckt wurden. Es sollte jedoch beachtet werden, dass Marriott offenbar Folgendes zu tun hat einige Schadensbegrenzung: Sie haben den Opfern eine angeboten kostenloses 12-Monats-Abonnement für WebWatcher, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die Hacker durchsuchen müssen, bleibt abzuwarten, ob ein Jahr für die meisten ausreicht, um etwas Sinnvolles zu überwachen; es kann schließlich einige Jahre dauern, bis Ihre Daten für skrupellosen Gebrauch markiert werden.
Langfristig, Vorschriften wie die DSGVO Testament positive Veränderungen herbeiführen, wenn sie durchgesetzt werden. Wenn Unternehmen mit erheblichen finanziellen Sanktionen (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder mit Gewinneinbrüchen in einem ausreichend langen Ausmaß konfrontiert werden, werden wir meiner Meinung nach einen frenetischen Fokus darauf richten, die Online-Datenbanken der meisten Unternehmen zu schützen.
Die Finanzinstitute werden bei kurzfristigen positiven Veränderungen weiterhin eine Vorreiterrolle einnehmen.
Es ist vielleicht nicht so überraschend, dass Finanzinstitute — als Torwächter des hart verdienten Geldes der Welt — über einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie über durchgängige Prozesse zur Risikominderung verfügen.
Ein wichtiger Faktor für diese Einhaltung ist die Rat für PCI-Sicherheitsstandards, die sich weiterhin dafür einsetzen, Finanzorganisationen bei der Umsetzung einer tragfähigen Sicherheitspolitik und der Einhaltung von Richtlinien in allen Bereichen zu unterstützen. Sie haben dazu beigetragen, dass diese Branche einen der höchsten Sicherheitsstandards für Zahlungssoftware erreicht.
Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie im Allgemeinen sicherheitsbewusster und widmen ihre Ressourcen ganzheitlichen Schulungsprogrammen nicht nur für AppSec-Experten und Pen-Tester, sondern auch für ihre (in der Regel sehr großen und weltweit verstreuten) Entwicklungsteams. Sie stellen sicher, dass Entscheidungsträger auf höchster Ebene verstehen, dass Sicherheitsprozesse keine Maßnahmen sind, die einfach festgelegt und vergessen werden. Sie müssen sich genauso schnell weiterentwickeln wie die verwendete Technologie und sich an unterschiedliche Risiken anpassen.
Immer mehr Unternehmen werden ihre Sicherheitspipeline umgestalten.
Im Vergleich zu anderen IT-Bereichen ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Sie werden leicht missverstanden und haben möglicherweise noch nicht die wichtigsten Beziehungen aufgebaut, die Sie gerade brauchen. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die gegen Veränderungen resistent sind.
Es ist immer offensichtlicher geworden, dass Unternehmen die Einhaltung von Sicherheitsvorschriften nicht zu einem letzten, kurzfristigen Schritt in ihren Softwareprozessen machen können. Es müssen Kontrollen und Maßnahmen von Punkt zu Punkt durchgeführt werden, wobei der Schwerpunkt mehr auf der Aggregation von Daten und der Verbesserung der Transparenz auf den Führungsebenen des Unternehmens liegen sollte. Ohne dies wird die Sicherheit außer Sichtweite bleiben, für die meisten von ihnen aus dem Blickfeld geraten. Und in diesem Szenario ist es praktisch unmöglich, die Ressourcen zu beschaffen, die für die Risikoplanung erforderlich sind.
Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert durchschnittlich fünfundachtzig Tage.
Das Testen von Stiften und die manuelle Codeüberprüfung sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovationen und die Produktion von Funktionen im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss von Anfang an durchgesetzt werden: von dem Moment an, in dem ein Entwickler schreibt den Code an erster Stelle.
Unsere Branche wird das Hauptproblem erkennen: Wir brauchen die Menschen, die sich mehr darum kümmern.
Hier ist die Sache: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die in den letzten vier Jahren irgendwann in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, besteht eine gute Chance, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Reisepassinformationen, könnte derzeit im Dark Web zum Verkauf angeboten werden. Ihr Pflegefaktor war jedoch im Grunde Null.
Und nun ja, es ist leicht, selbstgefällig zu sein, wenn Sie bei einem so groß angelegten Datenraub quasi eine Nadel im Heuhaufen sind.
Aber das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, haben kaum mit Konsequenzen zu kämpfen. Erleidet ihr Aktienkurs unmittelbar nach dem Vorfall einen Einbruch? Darauf kannst du wetten. Target, Equifax und jetzt Marriott könnten das alle bestätigen. Ein Zwölfmonatsüberblick zeigt jedoch, dass die Erholung zur Normalität ziemlich schnell erfolgt. Ein paar Jahre später, und auch finanziell, ist alles vergeben.
Solange es keine schwerwiegenden Auswirkungen gibt: hohe Bußgelder, strengere Vorschriften und erhebliche Geschäftsverluste, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyberrisiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.
Ich befürchte, es wird noch viel schlimmer werden, bevor es besser wird. Daher ist es von größter Bedeutung, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an vorderster Front der Technologieteams eines Unternehmens aufzubauen. Behalten Sie das im Auge und streben Sie weiterhin nach einem höheren Standard an Softwaresicherheit.
%20(1).avif)
.avif)
