Der vergessene Faktor Mensch, der Sicherheitslücken in Webanwendungen verursacht
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Der Verizon Data Breach Investigations Report 2018 ist erneut eine großartige Lektüre, die uns über Cybersicherheit auf dem Laufenden hält, einschließlich aktueller Cyberkriminalitätstrends und Ursachen von Vorfällen, Analysen und Erkenntnissen, die Unternehmen bei der Weiterentwicklung ihres Sicherheitsprogramms unterstützen können. In diesem Jahr analysierten die Ermittler von Verizon mehr als 53.000 Vorfälle und etwa 2.200 Sicherheitslücken, und es gibt viele konkrete Erkenntnisse darüber, worauf zu achten ist und was nicht, sowie wertvolle Empfehlungen, worauf die Sicherheitsmaßnahmen konzentriert werden sollten. Der Bericht von 2018 hat den Eindruck, dass er mit der Zeit Schritt gehalten hat. Angesichts der zunehmenden Auswirkungen auf die Sicherheit ist er für ein breiteres Geschäftspublikum relevant und wird zunehmend als allgemeines Geschäftsproblem anerkannt.
Neben vielen interessanten Ergebnissen bestätigt der Bericht von 2018, dass die meisten Hacks immer noch durch Verstöße gegen Webanwendungen erfolgen (es gibt sogar eine cooles interaktives Diagramm, das das zeigt).
Angriffe auf Webanwendungen bestehen aus jedem Vorfall, bei dem eine Webanwendung der Angriffsvektor war. Dazu gehören das Ausnutzen von Sicherheitslücken auf Codeebene in der Anwendung sowie das Vereiteln von Authentifizierungsmechanismen. Bemerkenswert ist, dass die Anzahl der Sicherheitslücken in diesem Muster aufgrund der Filterung von Botnetz-Angriffen auf Webanwendungen mithilfe von Anmeldedaten, die von kundeneigenen Geräten gestohlen wurden, reduziert wird. Die Verwendung gestohlener Zugangsdaten ist immer noch die häufigste Hacking-Variante bei Sicherheitslücken im Zusammenhang mit Webanwendungen, gefolgt von SQLi (zu SQL später mehr...).
Ein Thema, das im diesjährigen Bericht besonders hervorsticht, ist, wie wichtig der „Faktor Mensch“ in der Sicherheitsgleichung ist, sowohl als Teil des Problems als auch als Lösung. Der Bericht befasst sich sowohl mit externen als auch mit internen Akteuren und berichtet, dass Fehler bei fast einem von fünf (17%) Sicherheitslücken im Mittelpunkt standen. Sicherheitslücken traten auf, wenn Mitarbeiter vertrauliche Informationen nicht vernichten konnten, wenn sie eine E-Mail an die falsche Person schickten und wenn Webserver falsch konfiguriert waren. In dem Bericht wird darauf hingewiesen, dass zwar keines dieser Angriffe vorsätzlich böse gemeint war, sich aber dennoch alle als kostspielig erweisen könnten.
Aber es gibt einen oft vergessenen menschlichen Faktor, der viele Sicherheitslücken verursacht, und das ist die hohe Häufigkeit, dass Entwickler Code erstellen, der Sicherheitslücken enthält, die zu Sicherheitslücken in Webanwendungen führen, die wiederum zu diesen Vorfällen und Sicherheitslücken führen.
Anwendungstests in den letzten 5 Jahren haben keine nennenswerte Verbesserung der Anzahl der gefundenen Sicherheitslücken gezeigt, und dieselben alten Fehler tauchen immer wieder auf. Ein Veracode-Bericht aus dem Jahr 2017, der auf 400.000 Anwendungsscans basiert, zeigt, dass Anwendungen die OWASP-Top-10-Richtlinie nur in 30% der Fälle bestanden haben. Erstaunlicherweise traten in den letzten fünf Jahren, auch im letzten Jahr, in fast jeder dritten neu gescannten Anwendung SQL-Injections auf. Ich sage erstaunlich, weil es SQL-Injections schon seit 1999 gibt. Die Tatsache, dass immer wieder dieselben Fehler, einschließlich SQL-Injections, gefunden werden, ist ein Beweis dafür, dass dieses Problem des „menschlichen Faktors“ unter Entwicklern nicht angemessen angegangen wird.
An diesem Punkt muss ich aufstehen und schreien, dass ich bei diesem Argument auf der Entwicklerseite stehe. Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
Das ist es, was wir bei Secure Code Warrior tun, und wir sehen deutliche Hinweise darauf, dass Unternehmen, die praktische Sicherheitscode-Schulungen in das tägliche Leben ihrer Entwickler integrieren, die Anzahl der entstandenen Sicherheitslücken in Webanwendungen reduzieren. Damit Entwickler sicheren Code schreiben können, benötigen sie regelmäßigen Zugang zu praktischem Lernen, das sie aktiv dazu anregt, ihre Fähigkeiten im Bereich der sicheren Codierung auszubauen. Sie müssen mehr über kürzlich identifizierte Sicherheitslücken in echtem Code und insbesondere in ihren eigenen Sprachen/Frameworks lernen. Diese Lernerfahrung soll ihnen helfen zu verstehen, wie bekannte Sicherheitslücken lokalisiert, identifiziert und behoben werden können. Entwickler benötigen außerdem hochwertige Tools in ihrem Prozess, die Sicherheit einfach machen, sie nicht ausbremsen und sie in Echtzeit über gute und schlechte Codierungsmuster informieren.
Auf diese Weise können wir die Anzahl der Verstöße gegen Webanwendungen spürbar und positiv beeinflussen.
Ich stimme Verizon vehement zu, dass die Schulung des Sicherheitsbewusstseins unternehmensweit verstärkt werden muss. Mein P.S. an CIOs und CISOs dazu lautet: „Vergiss deine Entwickler nicht!“. Diese Architekten Ihrer modernen Unternehmen können ein wichtiger „menschlicher Faktor“ sein, der routinemäßig Zugangspunkte für Hacker generiert, oder sie können Ihre erste Verteidigungslinie sein, Ihre Sicherheitshelden.
Effektive Sicherheitsverbesserungen für Entwickler könnten die Ergebnisse, über die Verizon in zukünftigen Berichten berichtet, erheblich beeinflussen. Es wäre schön, wenn der Bericht von 2019 die Sicherheitsschulung von Entwicklern als eine wichtige Strategie zur Risikominderung aufzeigen würde, die Unternehmen ergreifen können. Ich bin ein Optimist, aber ich würde darauf wetten, dass die Anzahl der Sicherheitslücken in Webanwendungen in diesem Bericht erheblich sinken würde, wenn Unternehmen ihre Entwickler dazu bringen würden, zu lernen, wie sie die Entstehung von Injection-Fehlern vermeiden können.
Schauen Sie sich unsere Plattform in Aktion an, um zu erfahren, wie Entwickler sich in einer idealen, spielerischen Schulungsumgebung schnell weiterbilden können:
Spiele eine Herausforderung beim sicheren Programmieren
Besuchen Sie unsere kostenlosen Lernressourcen
Wie sollen Entwickler sicheren Code schreiben, wenn ihnen niemand beibringt, warum er wichtig ist, welche Folgen unsicherer Code hat und vor allem, wie verhindert werden kann, dass diese Sicherheitslücken überhaupt in ihre jeweiligen Programmierframeworks geschrieben werden?
%20(1).avif)
.avif)
