Connect with us

Klärung des “Nebels des Mehr” in der Cybersicherheit

Cybersicherheit

Klärung des “Nebels des Mehr” in der Cybersicherheit

mm
Published
Updated

Auf der RSA Conference in San Francisco in diesem Monat wurde eine atemberaubende Vielzahl an brandneuen und heißen Lösungen aus der Cybersicherheitsbranche präsentiert. Stand nach Stand behauptete, das Werkzeug zu sein, das Ihre Organisation vor böswilligen Akteuren schützt, die Ihre Werte stehlen oder Sie für Millionen von Dollar erpressen.

Nach gründlicher Überlegung bin ich zu dem Schluss gekommen, dass unsere Branche verloren ist. Verloren im Meer von Erkennung und Reaktion mit endlosen leeren Versprechungen, die behaupten, dass Ihre Probleme verschwinden, sobald Sie nur noch eine weitere Schicht hinzufügen. Von einer Wolke von Technologieinvestitionen, Personal, Werkzeugen und Infrastrukturschichten umgeben, haben Unternehmen nun ein Labyrinth geschaffen, in dem sie den Wald vor lauter Bäumen nicht mehr sehen können, wenn es um die Identifizierung und Verhinderung von Bedrohungsakteuren geht. Diese Werkzeuge, die dazu gedacht sind, digitale Vermögenswerte zu schützen, verursachen stattdessen Frustration bei beiden Sicherheits- und Entwicklungsteams durch erhöhte Arbeitsbelastung und inkompatible Werkzeuge. Der “Nebel des Mehr” funktioniert nicht. Aber ganz ehrlich, es hat nie funktioniert.

Cyberangriffe beginnen und enden im Code. Es ist so einfach. Entweder haben Sie einen Sicherheitsfehler oder eine Verwundbarkeit im Code, oder der Code wurde ohne Sicherheitsaspekte geschrieben. Auf jeden Fall stammt jeder Angriff oder jede Schlagzeile, die Sie lesen, aus dem Code. Und es sind die Software-Entwickler, die den vollen Umfang des Problems zu spüren bekommen. Aber Entwickler werden nicht in Sicherheit ausgebildet und werden es vielleicht nie sein. Also implementieren sie gute alte Code-Suchwerkzeuge, die einfach den Code nach Mustern durchsuchen. Und fürchten Sie sich vor dem, was Sie fragen, denn als Ergebnis erhalten sie einen Tsunami von Warnungen und jagen den größten Teil des Tages nach roten Heringen und Phantomen. Tatsächlich verbringen Entwickler bis zu einem Drittel ihrer Zeit damit, falsche Positives und Verwundbarkeiten zu jagen. Erst durch die Konzentration auf Prävention können Unternehmen ihre Sicherheitsprogramme wirklich befestigen und die Grundlage für eine sicherheitsorientierte Kultur schaffen.

Finden und Fixen auf Code-Ebene

Es wird oft gesagt, dass Prävention besser ist als Heilung, und diese Redewendung gilt besonders in der Cybersicherheit. Deshalb investieren Unternehmen auch bei engeren wirtschaftlichen Einschränkungen kontinuierlich in weitere Sicherheitswerkzeuge und schaffen multiple Barrieren, um die Wahrscheinlichkeit erfolgreicher Cyberangriffe zu verringern. Aber trotz der Hinzufügung von immer mehr Sicherheitsebenen geschehen die gleichen Arten von Angriffen weiterhin. Es ist Zeit für Unternehmen, eine neue Perspektive zu übernehmen – eine, bei der wir uns auf das Problem auf der Ebene der Wurzel konzentrieren – indem wir Verwundbarkeiten im Code finden und beheben.

Anwendungen dienen oft als primärer Einstiegspunkt für Cyberkriminelle, die Schwachstellen ausnutzen und unbefugten Zugriff auf sensible Daten erlangen wollen. Ende 2020 wurde der SolarWinds-Kompromiss ans Licht gebracht und Ermittler fanden einen kompromittierten Build-Prozess, der es Angreifern ermöglichte, schädlichen Code in die Orion-Netzwerküberwachungssoftware einzuschleusen. Dieser Angriff unterstrich die Notwendigkeit, jeden Schritt des Software-Build-Prozesses zu sichern. Durch die Implementierung robuster Anwendungssicherheit oder AppSec-Maßnahmen können Unternehmen das Risiko solcher Sicherheitsverletzungen mindern. Um dies zu tun, müssen Unternehmen eine “Shift-Left”-Mentalität verfolgen und präventive und vorhersehbare Methoden auf die Entwicklungs-Phase übertragen.

Obwohl dies keine völlig neue Idee ist, gibt es auch Nachteile. Ein wesentlicher Nachteil ist die erhöhte Entwicklungszeit und die Kosten. Die Implementierung umfassender AppSec-Maßnahmen kann erhebliche Ressourcen und Fachkenntnisse erfordern, was zu längeren Entwicklungszyklen und höheren Ausgaben führt. Zusätzlich bergen nicht alle Verwundbarkeiten ein hohes Risiko für das Unternehmen. Die Möglichkeit von Falschpositiven von Erkennungstools führt auch zu Frustration unter den Entwicklern. Dies schafft eine Lücke zwischen den Geschäfts-, Ingenieur- und Sicherheitsteams, deren Ziele möglicherweise nicht übereinstimmen. Aber generative KI kann die Lösung sein, die diese Lücke endgültig schließt.

Eintritt in die Ära der KI

Indem wir die allgegenwärtige Natur der generativen KI in der AppSec nutzen, werden wir endlich aus der Vergangenheit lernen, um zukünftige Angriffe vorherzusagen und zu verhindern. Zum Beispiel können Sie ein Large Language Model oder LLM auf alle bekannten Code-Verwundbarkeiten in all ihren Varianten trainieren, um die wesentlichen Merkmale aller zu erlernen. Diese Verwundbarkeiten könnten gemeinsame Probleme wie Buffer-Overflows, Injection-Angriffe oder unzureichende Eingabevalidierung umfassen. Das Modell wird auch die nuancierten Unterschiede nach Sprache, Framework und Bibliothek sowie die erfolgreichen Code-Fixes erlernen. Das Modell kann dann diese Kenntnisse nutzen, um den Code eines Unternehmens zu scannen und potenzielle Verwundbarkeiten zu finden, die noch nicht identifiziert wurden. Durch die Verwendung des Kontexts um den Code herum können Scantools echte Bedrohungen besser erkennen. Dies bedeutet kurze Scanz Zeiten und weniger Zeit, die mit der Verfolgung und Behebung von Falschpositiven und erhöhter Produktivität für Entwicklungsteams verbracht wird.

Generative KI-Tools können auch vorgeschlagene Code-Fixes anbieten und den Prozess der Erstellung von Patches automatisieren, was die Zeit und den Aufwand, der zum Beheben von Verwundbarkeiten in Codebasen erforderlich ist, erheblich reduziert. Durch das Trainieren von Modellen auf umfangreichen Repositorien von sicheren Codebasen und Best Practices können Entwickler KI-generierte Code-Snippets nutzen, die Sicherheitsstandards entsprechen und gemeinsame Verwundbarkeiten vermeiden. Dieser proaktive Ansatz reduziert nicht nur die Wahrscheinlichkeit, Sicherheitsfehler einzuführen, sondern beschleunigt auch den Entwicklungsprozess, indem Entwickler mit vorgeprüften und validierten Code-Komponenten versorgt werden.

Diese Tools können auch an verschiedene Programmiersprachen und Codierstile angepasst werden, was sie zu vielseitigen Werkzeugen für die Codesicherheit in verschiedenen Umgebungen macht. Sie können sich im Laufe der Zeit verbessern, indem sie weiter auf neue Daten und Feedback trainieren, was zu effektiveren und zuverlässigeren Patch-Generierung führt.

Der menschliche Faktor

Es ist wichtig zu beachten, dass Code-Fixes automatisiert werden können, menschliche Überwachung und Validierung jedoch immer noch entscheidend sind, um die Qualität und Richtigkeit der generierten Patches zu gewährleisten. Während fortschrittliche Tools und Algorithmen eine wichtige Rolle bei der Identifizierung und Minderung von Sicherheitsverwundbarkeiten spielen, bleiben menschliche Fachkenntnisse, Kreativität und Intuition unverzichtbar, um Anwendungen effektiv zu sichern.

Entwickler sind letztendlich für das Schreiben von sicherem Code verantwortlich. Ihr Verständnis von Sicherheitsbest Practices, Codestandards und potenziellen Verwundbarkeiten ist von entscheidender Bedeutung, um sicherzustellen, dass Anwendungen von Anfang an mit Sicherheit im Blick gebaut werden. Durch die Integration von Sicherheitsausbildung und -bewusstseinsprogrammen in den Entwicklungsprozess können Unternehmen Entwickler befähigen, Sicherheitsprobleme proaktiv zu identifizieren und zu beheben, was die Wahrscheinlichkeit, Verwundbarkeiten in den Code einzuführen, verringert.

Zusätzlich ist eine effektive Kommunikation und Zusammenarbeit zwischen verschiedenen Interessengruppen innerhalb eines Unternehmens für den Erfolg von AppSec unerlässlich. Während KI-Lösungen helfen können, die “Lücke” zwischen Entwicklung und Sicherheitsbetrieb zu schließen, erfordert es eine Kultur der Zusammenarbeit und gemeinsamen Verantwortung, um widerstandsfähigere und sicherere Anwendungen zu bauen.

In einer Welt, in der die Bedrohungslandschaft ständig evolviert, ist es leicht, von der schieren Menge an verfügbaren Werkzeugen und Technologien im Cybersicherheitsbereich überwältigt zu werden. Durch die Konzentration auf Prävention und das Finden von Verwundbarkeiten im Code können Unternehmen jedoch den “Ballast” ihres bestehenden Sicherheitsstacks reduzieren und so eine enorme Menge an Zeit und Geld sparen. Auf der Ebene der Wurzel werden solche Lösungen in der Lage sein, nicht nur bekannte Verwundbarkeiten zu finden und Zero-Day-Verwundbarkeiten zu beheben, sondern auch prä-Zero-Day-Verwundbarkeiten vor ihrem Auftreten. Wir können endlich mit den sich entwickelnden Bedrohungsakteuren Schritt halten, wenn nicht sogar vorauseilen.

mm

Stuart McClure verfügt über mehr als 30 Jahre Erfahrung in allen Aspekten der Cybersicherheit, einschließlich Ingenieurwesen, Produktentwicklung, Marketing, Vertrieb, Kundenerfolg und Führungskräften, darunter Global CTO für McAfee/Intel, Gründer von Cylance und Foundstone als Gründer/CEO/Präsident/CTO und der Geburt der Cybersicherheitspraktiken für beide Kaiser Permanente und Ernst & Young. Stuart ist der Gründungsautor des #1-Cybersicherheits-Hacking-Buchs, Hacking Exposed, das Verteidiger befähigt, die Hacker-Tools, -Techniken und -Verfahren zu verstehen, um Cyber-Angriffe zu verhindern. Stuart erwarb seinen B.A. in Psychologie und Philosophie mit Schwerpunkt Informatik an der CU Boulder.