:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/47/13476ec5f128a6cf41f7eb95b2409b7d/0130321401v2.jpeg "Die Sicherheitslücken in Citrix NetScaler Gateway und ADC können zu einem Memory‑Overread führen, der Datenlecks und Abstürze verursachen kann, sowie zu unautorisiertem Zugriff führen. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/a2/8da27fc7c09f2450bd5214b4f257eb6d/0130046697v2.jpeg "Hybride Angriffe umfassen Cyberangriffe, Desinformationskampagnen, Sabotage an kritischen Infrastrukturen, psychologische Kriegsführung, Wirtschaftsspionage, politische Einflussnahme und Terrorismus, oft in Kombination, um Unsicherheit und Instabilität zu erzeugen. (Bild: © Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/54/9554c259793d581ea2839245a1815ad4/0130375018v1.jpeg "Während die EU noch an souveränen Clouds arbeitet, ist in vielen Unternehmen bereits eine Rückbesinnung auf On-Prem-Lösungen im Gange. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/97/289755bc06d1a4e1f7f7581e8cd41b77/0130374247v1.jpeg "Backup und Recovery müssen als untrennbare Einheit gedacht werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/3c/283c02b6a113d373108ffd46c9255dc3/0130361073v2.jpeg "Tizian Kohler ist Head of Security bei der Adlon Intelligent Solutions GmbH. (Bild: Adlon Intelligent Solutions)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Saubere Wirtschaftlichkeitsanalyse vorbereiten
Dem häufig vorgebrachten Argument, die aufwändige statische Quellcodeanalyse ziehe oftmals erheblichen Mehrkosten nach sich, versuchen die Anbieter dadurch entgegen zu wirken, dass sich bereits durch das Auffinden eines einzigen Bugs die gesamte Investition schon wieder gerechnet habe. Aus Sicht der Unternehmen gilt es jedoch derartige Versprechen kritisch im jeweiligen Kontext zu hinterfragen und die Unterschiede zwischen den Lösungsspezialisten genauer unter die Lupe zu nehmen.
Am Ende entscheidet nämlich in der Regel der Software-Entwickler im Unternehmen selbst über das Wohl und Wehe seiner Kreation. Er liest und wertet möglicherweise gemeinsam mit den Sicherheitsspezialisten im Unternehmen die Berichte über entsprechende Tools aus und entscheidet, ob es sich tatsächlich um brauchbare Defekte und Sicherheitsschwachstellen handelt, denen weiter nachgegangen werden muss.
Anbieter Fortify Software plädiert für eine Art Sicherheitsauditor, der den Code als einwandfrei abhakt bzw. den Code beaufsichtigt. Andererseits gilt das Gebot, die „false positiv rate“ möglichst gering zu halten. Demzufolge verbleibt letztlich die Aufgabe beim Sicherheitsauditor, die „guten“ Elemente aus dem Unbrauchbaren heraus zu filtern.
Somit gilt es aus Anwendersicht, die vollständige Transparenz und Effektivität des jeweils präferierten Lösungsansatzes zu erkennen, gegeneinander abzuwägen und das Nebensächliche vom Wichtigen zu trennen. „Gibt man den Unternehmen also ein Tool zu Hand, auch wenn es über einen Sicherheitsauditor geschieht, bei dem sie sich durch eine Menge Nebensächliches lesen müssen, so werden sie dieses Tool nicht nachhaltig verwenden können“, bilanziert Coverity-Chef Ben Chelf.
Es lande somit meist im Regal und verstaube dort. Deshalb plädiert Coverity für eine Abkehr des Kurses, der Sicherheitsauditor erhalte eine Checkliste oder einen Bericht - und könne somit überprüfen, ob er seine Grundvorgaben erfüllt habe und der ordnungsgemäße Ablauf sichergestellt sei. „Vielmehr geht es darum, dass der Code besser wird“, so der Experte weiter.
Gegenüber anderen Spezialisten aus dem Spektrum der Architekturanalyse setzt Coverity deshalb vor allem auf seine Pfadsimulations-Maschine „Boolean Satisfiability Engine“ (SAT-Engine), mit deren Hilfe sich die falsche Positivrate weiter nach unten drücken und zusätzliche Defekte auf neuartige Weise identifizieren ließen, etwa Pufferüberläufe und Integerüberläufe. „So stellen wir sicher, dass die meisten Punkte, die wir melden, auch tatsächlich relevante Probleme sind“, fasst Ben Chelf zusammen.
Seite 4: Technische Kniffe enttarnen Programmierfehler
weiter...
Technische Kniffe enttarnen Programmierfehler
Ein SAT-Solver ist ein Computerprogramm mit einer Formel mit Variablen, die durch UND, ODER, NICHT verknüpft sind. Der SAT-Solver determiniert, ob sich die einzelnen Variablen so den Werten WAHR oder FALSCH zuordnen lassen, dass das Ergebnis der gesamten Formel den Wert WAHR annimmt und SAT damit erfüllt ist. Verwirklicht wenigstens eine Zuordnung diese Voraussetzung, gibt der SAT-Solver eine spezielle Erfüllbarkeitsanweisung aus. Wenn nicht, kennzeichnet er die Formel als „Nicht erfüllbar“. Außerdem kann er die Richtigkeit seiner Entscheidung demonstrieren.
Voraussetzung für die Anwendung von SAT auf Software ist, dass der Quellcode in einer Form vorliegt, die automatisch an den SAT-Solver übergeben werden kann. Genau hier kommt die Software DNA Map zum Tragen: Sie stellt die erforderliche Information vom Code in jeder gewünschten Form dar. Weil SAT-Solver mit den Operatoren WAHR, FALSCH, UND, ODER und NICHT arbeiten, können die relevanten Teile des Programms in diese Konstrukte umgewandelt werden.
Als Beispiel dient hier die 8-Bit-Variable „char a;“. Um „a“ als WAHR- oder FALSCH-Werte darzustellen ist es hilfreich, sich ihre acht Bits (digitale Nullen und Einsen) als WAHR beziehungsweise FALSCH vorzustellen. Damit wird „a“ zu einem Array aus acht Booleschen Werten:
a_0, a_1, a_2, a_3, a_4, a_5, a_6, a_7
Zusätzlich ist die Übersetzung der Operationen notwendig, die im Programmcode Teil von Ausdrücken sind. Alle Ausdrücke im Code lassen sich in eine äquivalente Formel transformieren, die mit den Operatoren UND, ODER, NICHT arbeitet. Das ist erforderlich, da ein Compiler die Operationen in Maschinencode-Instruktionen umwandeln muss, die ein Prozessor abarbeiten kann. Vereinfacht ausgedrückt schickt der Schaltkreis des Chips nur Nullen und Einsen (niedriges und hohes Spannungspotenzial) durch eine Vielzahl von Gates, die sich wie UND-, ODER-, NICHT-Operatoren verhalten. Daher ist die oben gemachte Zuordnung zulässig. Beispielsweise lässt sich der Ausdruck
a==19
in diese Formel konvertieren:
!a0 ^ !a1 ^ !a2 ^ a3 ^ !a4 ^ !a5 ^ a6 ^ a7
a0 ist hier das höchste Bit von „a“ (high bit), a7 das Niedrigste (low bit). Die Eingabe dieser Formel in einen SAT-Solver würde die folgende Variablenzuordnung ergeben, mit der die Erfüllbarkeit nachgewiesen wäre:
a0 = False (0)a1 = False (0)a2 = False (0)a3 = True (1)a4 = False (0)a5 = False (0)a6 = True (1)a7 = True (1)
Diese achtstellige Binärzahl 00010011 ist äquivalent zu 19.
Nach der Überführung der gesamten Software DNA Map in eine Kombination aus den Booleschen Operatoren WAHR, FALSCH, NICHT, UND, ODER lassen sich zahlreiche Formeln daraus ableiten. SAT-Solver können den Code dann analysieren und zusätzliche, komplexere Qualitäts- und Security-Schwachstellen aufspüren.
Seite 5: Fazit
Artikelfiles und Artikellinks
(ID:2012283)
:quality(80)/p7i.vogel.de/wcms/66/97/6697cc7bd2918128a8f649b94cb00223/0129719820v1.jpeg "Passwortsicherheit wird oft als nachträglicher Fix behandelt, aber 22 Prozent aller Datenlecks gehen auf missbrauchte Credentials zurück. Unternehmen müssen ihr dieselbe Priorität wie Penetrationstests einräumen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/37/6937e8fcb88baea9eaf5eb145cc18b8a/0128202012v2.jpeg "Jahrealte Fluent-Bit-Sicherheitslücken ermöglichen das Umgehen der Authentifizierung, das Einschleusen von Schadcode, DoS-Angriffe sowie Tag- und Pfadmanipulation und gefährden Cloud- und Container-Umgebungen. (Bild: Shutterstock)")