Kommentar zum World Password Day von Veracode
„Der World Password Day heute erinnert uns alle daran, wie wichtig die Erkennung, Verhinderung und Behebung von Schwachstellen in Anwendungen beim Zugangs-Management ist. Denn mit Credentials-Management-Attacks versuchen Kriminelle, zusammengehörige Benutzernamen und Passwörter zu knacken, um so die Kontrolle über Benutzerkonten zu übernehmen. Deshalb führen Schwachstellen im Zugangs-Management zu enormen Sicherheitsrisiken und gefährden Systeme, Webseiten und Anwendungen. Je nach Zugriffsberechtigung der gehackten Konten können Angreifer Finanztransaktionen einleiten, Daten einschließlich personenbezogener Daten ändern oder stehlen, sich als authentifizierter Benutzer ausgeben, Malware installieren oder Zugriff auf weitere Daten und Systeme erhalten.
Es gibt eine Vielzahl an Methoden, wie Angreifer Schwachstellen im Zugangs-Management ausnutzen. So attackieren sie gerne Hard-Coded Credentials, die für die Speicherung von Passwörtern verwendet werden, oder kryptografische Schlüssel, die Zugangsdaten, Authentifizierung oder Kommunikationsinformationen verschlüsseln. Eine Analyse von Veracode zeigt: 40 % der mit Veracode-Tools gescannten Software haben in irgendeiner Form Schwachstellen im Credentials-Management. Die Verwendung von Hard-Coded Passwörtern war dabei die häufigste Schwachstellenursache. Deshalb ist es entscheidend, dass Anmeldedaten nicht in leichtzugänglichen Bereichen gespeichert werden. Außerdem sollten für die Verschlüsselung der gesamten Authentifizierungskommunikation keine fest codierten Verschlüsselungscodes verwendet werden.
Passwörter verstecken sich in einer Vielzahl von unterschiedlichen Bereichen einer Applikation. Sie können direkt im Code gefunden werden, um zum Beispiel eine Datenbankverbindung aufzubauen. Je nach Programmiersprache können diese Passwörter auch sehr leicht extrahiert und für Angriffe verwendet werden. In modernen Entwicklungsumgebungen werden Applikationen und alle zugehörigen Komponenten in Repositories gespeichert. Repositories können ebenfalls Passwörter, Private Keys für Zertifikate, Tokens zur Authentisierung und andere Informationen enthalten. Diese Daten sind vorerst unabhängig von der Applikation selbst und müssen eigenständig überprüft werden. Sind sie einmal im Repository vorhanden, ist es sehr schwer sie von dort wieder zu entfernen. Zusätzlich kann jeder, der Zugriff auf das Repository hat, diese Informationen einsehen. Die Speicherung dieser Daten geschieht oft versehentlich. Bei einem Private Key für ein Zertifikat würde das zum Beispiel bedeuten, dass alle Zertifikate, die auf diesem Private Key beruhen, ausgetauscht werden müssen.
Doch es gibt eine Reihe von Tools, die Entwickler verwenden können, um Schwachstellen im Zugangs-Management zu verhindern. Insbesondere Methoden wie Account-Sperrungen oder CAPTCHA-Herausforderungen nach einer bestimmten Anzahl fehlgeschlagener Anmeldungen sind zum Schutz gegen automatisierte Angriffe hilfreich. Alternative Identitätsüberprüfung ohne Passwort wie OAuth, OpenID, UAF oder SAML (Security Assertion Markup Language) sind für einige Webanwendungen ebenfalls eine sinnvolle Lösung.“
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform basiert auf Daten, die fast zwei Jahrzehnte lang gesammelt wurden und mehr als 130 Milliarden Codezeilen sichern. So können Entwicklungsteams in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Schwachstellen einfach finden und beheben. Sicherheitsteams, Entwickler und Geschäftsführer in Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit für integrierte Prävention, Erkennung und Behebung im Bereich Software-Sicherheit. Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog https://www.veracode.com/blog, auf LinkedIn https://www.linkedin.com/company/veracode und Twitter https://twitter.com/Veracode?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Telefon: +49 (89) 419599-32
E-Mail: veracode@maisberger.com
Telefon: +49 (89) 419599-27
E-Mail: veracode@maisberger.com
Veracode: Sichere Softwareentwicklung braucht Superhelden für das neue Normal
Die neue Normalität ist vor allem eins: Digital. Unternehmen und Verbraucher waren durch die Rahmenbedingungen der Pandemie gezwungen, ihre Prozesse und Tätigkeiten in die digitale Sphäre zu verschieben. Home-Office, E-Commerce oder E-Learning – all diese Services benötigen sichere und effiziente Anwendungen. Der elfte State of Software Security (SoSS) Report von Veracode deckt nun zahlreiche Schwächen im Bereich der Anwendungssicherheit auf. Um diese zu beseitigen, braucht die Softwareentwicklung wahre Superhelden.
Herausforderungen für die Anwendungssicherheit
Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Dadurch bietet die branchenweit umfangreichste Studie einen umfassenden Überblick über den Status quo der Anwendungssicherheit. Eine zentrale Erkenntnis des aktuellen Reports: Scans sind ein entscheidender Faktor. Mithilfe von statischer Analyse (SAST) durch die API können Unternehmen Sicherheitsrisiken im Schnitt 17 Tage schneller beheben. Häufige Scans, eine Kombination aus statischer und dynamischer Analyse (DAST), die Implementierung einer regelmäßigen Scan-Rate sowie die Verwendung von Software-Composition-Analyse (SCA) mit SAST führen zu einer schnelleren Behebung von Schwachstellen und zu einer höheren Anwendungssicherheit. Außerdem können Entwickler durch die Wahl ihrer Werkzeuge die Anwendungssicherheit beeinflussen: Open-Source-Software ist anfällig für Angriffe durch Cyberkriminelle. Gleichzeitig stellen Programme, die mit C++ und PHP geschrieben wurden, ein erhöhtes Risiko dar. So weisen 59 Prozent der C++-Anwendungen hohe oder sogar sehr hohe Sicherheitsrisiken auf – bei PHP sind es 53 Prozent. Datenlecks sind die häufigste Art Fehler, die zu mangelnder Anwendungssicherheit führen. Die Herausforderung für Entwickler in Zukunft: Unterschiedliche Sicherheitsprobleme in einer zunehmend digitalisierten Umgebung identifizieren und beheben.
Softwareentwicklung braucht „Security Champions“
Agilität und Flexibilität sind heute und in Zukunft notwendige Attribute für jeden Entwickler. Zusätzlich kann umfassende Expertise dabei unterstützen, bestehende Probleme und Risiken nicht nur zu erkennen, sondern auch zu beheben. Daher sollten Entwickler in Zukunft nicht nur Programme entwickeln können, sondern auch relevante Qualitätskriterien für diese kennen und im Bereich Cybersecurity bewandert sein. Sie müssen ihre Programme testen und alle während des Entwicklungsprozesses entdeckten Schwachstellen beheben. Wahre Security Champions folgen dabei dem DevSecOps-Ansatz: Sie kombinieren Wissen und Praktiken aus der Softwareentwicklung, der IT-Sicherheit und dem IT-Betrieb. Dadurch entstehen Anwendungen, die bereits bei der Entwicklung maximal sicher sind. Zusätzlich können sie so zahlreiche Aufgaben gleichzeitig in hoher Geschwindigkeit erledigen und ein ununterbrochenes Deployment gewährleisten. Eine zentrale DevSecOps-Praxis sind beispielsweise regelmäßige Scans – eines der größten identifizierten Defizite im aktuellen SoSS Report.
Trainings für Entwickler wirken dem Fachkräftemangel in der IT-Sicherheitsbranche entgegen
Die richtige Weiterbildung und gezielte Sicherheitstrainings für Entwickler spielen für den Erfolg in der neuen digitalen Normalität eine große Rolle. Dennoch ist die Ausbildung rund um sicheres Coding auf universitärer Ebene fast nicht vorhanden – obwohl sie Kernbestandteil eines Informatik- und Cybersicherheits-Lehrplans sein sollte. Hier ist somit die Eigeninitiative der Unternehmen oder der Entwickler selbst gefragt, denn Superhelden in der Softwareentwicklung sind neugierig: Sie schauen über den Tellerrand, wollen immer auf dem neusten Stand bleiben und bilden sich durchgehend weiter. Security Champions können Unternehmen dabei helfen, diese Herausforderung zu meistern, indem sie Wissen zwischen Entwicklern und Sicherheitsteams vermitteln und gleichzeitig Flagge für die Ausbildung von Entwicklern zeigen.
Veracode ist der weltweit größte Anbieter von Anwendungssicherheitslösungen (AppSec) und führender AppSec-Partner für die sichere Softwareentwicklung, Minimierung von Schwachstellen und Produktivitätssteigerung von Sicherheits- und Entwicklerteams. Durch die Kombination von Automatisierung, Integration, Geschwindigkeit und eines prozess-orientierten Ansatzes bietet Veracode Unternehmen akkurate und verlässliche Ergebnisse. Somit können sie sich darauf konzentrieren Schwachstellen nicht nur zu finden, sondern auch zu beheben.
Veracode hat über 2.500 Kunden weltweit aus den verschiedensten Branchen. Allein seit dem 1. Januar 2020 hat die Veracode-Lösung bereits mehr als 7,8 Billionen Code-Zeilen bewertet und Unternehmen dabei geholfen über 10,5 Millionen Schwachstellen insgesamt zu beheben.
Das preisgekrönte Partner-Programm von Veracode liefert marktführende Lösungen und Services, die mit minimalem Geschäftsaufwand schnell implementiert werden können.
Weitere Informationen unter http://www.veracode.com/, im Veracode Blog und auf Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Head of PR EMEA
E-Mail: kgwilliam@veracode.com
Telefon: +49 (151) 193152-59
E-Mail: julia.bastos@hotwireglobal.com
Hotwire für Veracode
Telefon: +49 1714412450
E-Mail: Lara.Weber@Hotwireglobal.com
76 Prozent der Anwendungen mit mindestens einer Sicherheitslücke
Der Report enthüllt auch einige Best Practices, die dabei helfen, die Fix Rates signifikant zu verbessern. Veracode unterscheidet zwischen Faktoren, über die die Teams viel oder sehr wenig Kontrolle haben und teilt diese in die Kategorien „Nature“ und „Nurture“ ein. Im Bereich „Nature“ finden sich Parameter wie der Umfang einer Anwendung oder die Unternehmensgröße und Sicherheitsverschuldung. „Nurture“ umfasst hingegen Einflussgrößen wie Scan-Häufigkeit und – Rhythmus sowie API-Scanning.
Behebung von Sicherheitslücken: „Nature“ oder „Nurture“?
Die SOSS 11 Studie zeigt auf, dass moderne DevSecOps-Praktiken zu höheren Fehlerbehebungsraten führen. Die Verwendung mehrerer Anwendungssicherheits-Scan-Typen, die Arbeit mit kleineren oder moderneren Anwendungen und die Einbettung von Sicherheitstests in die Pipeline über eine API tragen alle dazu bei, die Zeit zur Behebung von Schwachstellen zu verkürzen, selbst bei Anwendungen mit ungünstigen Voraussetzungen auf der „Nature“-Seite.
„Das Ziel der Software Security besteht nicht darin, Anwendungen beim ersten Mal perfekt zu schreiben, sondern darin, Fehler rechtzeitig zu finden und vollumfänglich zu beheben“, sagt Chris Eng, Chief Research Officer bei Veracode. „Selbst wenn sie mit den anspruchsvollsten Umgebungen konfrontiert werden, können Entwickler mit der richtigen Schulung und den richtigen Tools spezifische Maßnahmen ergreifen, um die Gesamtsicherheit einer Anwendung zu verbessern.“
Die wichtigsten Ergebnisse der SOSS 11 Studie im Überblick:
- Fehlerhafte Anwendungen sind die Norm: 76 Prozent der Anwendungen weisen mindestens eine Sicherheitslücke auf, aber nur 24 Prozent haben schwerwiegende Mängel. Dies ist ein gutes Zeichen dafür, dass die meisten Anwendungen keine kritischen Probleme haben, die ernsthafte Risiken für die Anwendung darstellen. Häufiges Scannen kann die Zeit, die benötigt wird, um die Hälfte der gefundenen Lücken zu schließen, um mehr als drei Wochen verkürzen.
- Open-Source-Schwachstellen nehmen zu: 70 Prozent der Anwendungen übernehmen mindestens eine Sicherheitslücke aus ihren Open-Source-Bibliotheken. 30 Prozent der Anwendungen weisen sogar mehr Mängel in ihren Open-Source-Bibliotheken auf als in intern geschriebenem Code. Wichtig ist daher eine ganzheitliche Sicht auf die Anwendungssicherheit, die auch Code von Drittanbietern miteinschließt.
- Mehrere Scan-Typen beweisen die Wirksamkeit von DevSecOps: Teams, die eine Kombination von Scan-Typen einschließlich statischer Analyse (SAST), dynamischer Analyse (DAST) und Software-Composition-Analyse (SCA) verwenden, verbessern die Fix Rates. Diejenigen, die SAST und DAST zusammen verwenden, beheben die Hälfte der Fehler 24 Tage schneller.
- Automatisierung ist wichtig: Unternehmen, die das Security Testing im SDLC automatisieren, können die Hälfte der Schwachstellen 17,5 Tage schneller adressieren als jene, die weniger automatisiert testen.
- Sicherheitsverschuldung reduzieren ist entscheidend: Der Zusammenhang zwischen häufigem Scannen von Anwendungen und schnelleren Korrekturzeiten wurde im vorherigen State of Software Security Report dargestellt. Die aktuelle Studie ergab nun, dass der Abbau von Sicherheitsverschuldung, also die Behebung des Rückstands bekannter Fehler, das Gesamtrisiko senkt. Veracode stellt in der diesjährigen Studie außerdem fest, dass bei älteren Anwendungen mit hoher Fehlerdichte die Behebungszeiten wesentlich langsamer sind, so dass durchschnittlich 63 Tage hinzukommen, um die Hälfte der Sicherheitslücken zu schließen.
Weitere Informationen:
- Laden Sie die neue State of Software Security Studie (Ausgabe 11) hier herunter
- Die englische Pressemeldung finden Sie auf der Veracode-Homepage
Über die State of Software Security Studie
Die Studie „State of Software Security (SOSS) 11“ von Veracode ist ein umfassender Überblick über die Daten der Anwendungssicherheitstests von Scans von mehr als 130.000 aktiven Anwendungen, die innerhalb von Veracodes Kundenstamm von mehr als 2.500 Unternehmen durchgeführt wurden. Es handelt sich dabei um den branchenweit umfassendsten Satz von Anwendungssicherheits-Benchmarks. Veracode hat mit Data Scientists des Cyentia-Instituts zusammengearbeitet, um neue Bedrohungen besser zu visualisieren und zu verstehen und um herauszufinden, wie Entwickler Anwendungen besser und sicherer machen können.
Veracode stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode Unternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können.
Veracode, seine leistungsfähige cloud-basierte Plattform, die langjährige Expertise und der systematische, Policybasierte Ansatz bietet Unternehmen eine einfache und skalierbare Möglichkeit, mit der sich Risiken auf der Anwendungsebene ihrer weltweiten Software-Infrastruktur reduzieren lassen.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Hotwire für Veracode
Telefon: +49 (171) 4412450
E-Mail: lara.weber@hotwireglobal.com
