Anzeige

Cybersecurity

Eine aktuelle, unter anderem von Synopsys in Auftrag gegebene Studie der Enterprise Strategy Group (ESG), hat ergeben, dass 48 % aller Befragten wissentlich anfälligen Code ausbringen. Die Gründe sind vielfältig. 

Die überwiegende Zahl der Befragten (54 %) tut es, um Lieferfristen einzuhalten, 45 % waren nicht in der Lage, den anfälligen Code noch so rechtzeitig innerhalb des Entwicklungszyklus zu erkennen, um das Problem noch beheben zu können. 

Durch DevSecOps ist das Thema Sicherheit in den Mittelpunkt der modernen Entwicklung gerückt. Sicherheits- und Entwicklungsteams werden jedoch von unterschiedlichen Metriken geleitet, und das kann die Ausrichtung auf ein gemeinsames Ziel erschweren. Die Problematik verschärft sich zusätzlich, weil es den meisten Sicherheitsteams an Wissen fehlt, wie moderne Anwendungsentwicklung tatsächlich abläuft. Microservices-gesteuerte Architekturen, Container und serverfreie Lösungen haben die grundsätzliche Dynamik, wie Entwickler Code erstellen, testen und einsetzen, verändert.

Application Security Tools werden infolgedessen zusammengeführt. Unternehmen sind allerdings sowohl mit der Zahl der auftauchenden Probleme als auch mit den Überschneidungen durch den Einsatz unterschiedlicher Testtools überfordert. Prioritäten zu setzen und Schadensbegrenzung zu betreiben, ist unter diesen Bedingungen nicht unbedingt einfacher geworden. Integrierte Plattformen zur Anwendungssicherheit versprechen Abhilfe und sind gefragt.



Um einen tieferen Einblick zu bekommen, hat ESG 378 Fachleute aus IT, Cybersicherheit und Anwendungsentwicklung in Organisationen in Nordamerika (USA und Kanada) befragt. Alle Befragten beschäftigen sich mit sicheren Tools und Prozessen zur Anwendungsentwicklung. 

Diese Studie hat folgende Untersuchungsziele: 

  1. Analyse der Kaufabsichten von Teams, die Lösungen zur Kontrolle der Anwendungssicherheit während des Entwicklungsprozesses suchen und eine Einschätzung der Käuferpräferenzen hinsichtlich von Lösungen zur Anwendungssicherheit von verschiedenen Anbietern.
  2. Bestimmen, inwieweit Sicherheitsteams moderne Entwicklungsmodelle und Bereitstellungspraktiken verstehen und an welchen Stellen Sicherheitskontrollen erforderlich sind, um Risiken zu minimieren. 
  3. Verstehen welche Triggerpunkte Investitionen in die Anwendungssicherheit beeinflussen, und nach welchen Kriterien Entscheidungsträger Kaufentscheidungen priorisieren und zeitlich festlegen.
  4. Erkenntnisgewinn in die Dynamik zwischen Entwicklern und Cybersicherheitsteams in Bezug auf die Bereitstellung und Verwaltung von Lösungen für die Anwendungssicherheit.

Highlights 

  • Die meisten der Befragten schätzen ihre Programme zur Anwendungssicherheit als solide ein, obwohl viele trotzdem noch anfälligen Code ausbringen. Ein verlässliches Programm zur Anwendungssicherheit bedeutet ganz offensichtlich nicht, dass Unternehmen keinen anfälligen Code mehr pushen. Der Unterschied liegt darin, dass diejenigen, die solchen Code pushen, dies wissentlich und mit einem gründlichen Verständnis der Risiken tun, die sie eingehen. Die Anwendungssicherheit erfordert es, potenzielle Risiken kontinuierlich ein- und abzuschätzen, einschließlich von Entscheidungen bezüglich der Priorisierung. Im besten Fall ist es Entwicklungsteams dann möglich, Risiken zu minimieren und gleichzeitig wichtige Lieferfristen einzuhalten.
  • Es sind unterschiedliche Test-Tools erforderlich, um das Potpourri der aktuellen Anwendungsentwicklungs- und Bereitstellungsmodelle abzusichern. Während die Anwendungssicherheit also gereift ist, war bisher keine einzige Testtechnik in der Lage, alle Sicherheitsrisiken zu minimieren und so Entwicklungsteams zu unterstützen. Teams müssen verschiedene Tools einsetzen, häufig von unterschiedlichen Anbietern, um den gesamten SDLC abzusichern. Wie welche Tools eingesetzt werden, ist von Unternehmen zu Unternehmen verschieden und hängt von den individuellen Prioritäten ab. Die meisten Unternehmen entscheiden sich aber für einen „Cocktailmix“ aus unterschiedlichen Werkzeugen, um alle Sicherheitsanforderungen abzubilden.
  • Developer Security Trainings sind derzeit noch lückenhaft und uneinheitlich. Es fehlen Trainings, die gezielt die Sicherheitskompetenz von Entwicklern verbessern. Während die meisten Unternehmen ihren Entwicklern ein gewisses Maß an Sicherheitsschulungen anbieten, tun dies mehr als 50 % der Befragten nur in einem jährlichen Turnus oder noch seltener. Häufig zeichnen Development Manager für diese Schulung verantwortlich. In vielen Organisationen liegt die Last aber auf den Schultern der Application Security Analysts. Sie initiieren Schulungen für Teams oder einzelne Entwickler, die bereits nachweislich zu viele Sicherheitsprobleme eingeschleppt haben.
  • Der rasche Zuwachs an AppSec-Testtools ist für viele ein Problem. Mehr als ein Drittel der Befragten konzentriert sich bei seinen Investitionen auf Konsolidierung. Wie in vielen anderen Bereichen auch, setzen manche Unternehmen so viele Tools ein, dass sie Schwierigkeiten haben, sie zu integrieren und zu verwalten. Das senkt die Effektivität des Programms, und Firmen wenden überproportional viele Ressourcen allein zur Verwaltung dieser Tools auf. Fast ein Drittel der befragten Unternehmen ist von diesem Problem betroffen und plant zukünftig Investitionen, um den starken Zuwachs an Tools zu konsolidieren und die Verwaltung zu vereinfachen.
  • Unternehmen investieren – mehr als die Hälfte plant, die Ausgaben für die Anwendungssicherheit gegenüber dem Vorjahr deutlich zu erhöhen. Während 44 % der Unternehmen Investitionen für die Anwendungssicherheit in der Cloud planen, konzentriert sich ein Drittel auf die Konsolidierung von Tools zur Vereinfachung der Prozesse. Andere Unternehmen planen, einen höheren Prozentsatz in die Nutzung von Test-Tools für Entwicklungsteams und Anwendungen zu investieren. 

www.synopsys.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…
Code
Jul 28, 2020

Quellcode dutzender Unternehmen öffentlich zugänglich

Wie unter anderem das Magazin Bleeping Computer berichtete, ist der Quellcode aus…
Glückliche Entwickler
Apr 08, 2020

Ausgereifte DevSecOps-Verfahren beeinflussen Entwicklerzufriedenheit

Sonatype veröffentlicht die Ergebnisse seiner siebten jährlichen DevSecOps Community…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!