Konfigurationen haben die fatale Neigung, sich zu verändern. Es kommt zu Abweichungen vom sicheren Grundzustand, dem sogenannten Konfigurationsdrift. Gerade schnelle Lösungen, die auf den ersten Blick harmlos erscheinen, erweisen sich im Nachgang nicht selten als riskant. Best Practices geben Orientierungshilfe wie man dieser Art von Risiken entgegenwirken und den Reifegrad des Konfigurationsmanagements kontinuierlich steigern kann.
Forscher des Synopsys Cybersecurity Research Center, kurz CyrC, haben eine Schwachstelle in der OpenBSDBcrypt-Klasse von Bouncy Castle gemeldet. Passwort-Prüfungen lassen sich darüber durch Angreifer umgehen.
Bei der Software-Entwicklung und -Bereitstellung ist laut einer Synopsys-Studie ein klarer Trend hin zu DevSecOps-Methoden zu erkennen. Fast zwei Drittel der Befragten haben demnach bereits erste Praktiken in ihre Pipelines integriert.
Zu jedem beliebigen Zeitpunkt finden weltweit Millionen von Authentifizierungsvorgängen statt. Meistens über die Eingabe von Passwörtern. Immer häufiger allerdings auch mithilfe biometrischer Verfahren oder eines einzigartigen, benutzerspezifischen Objekts. Inzwischen authentifizieren sich aber nicht nur Menschen, sondern auch Maschinen, und das in großem Umfang.
Die Vorteile, Softwaresicherheit und Softwareentwicklung eng miteinander zu verzahnen scheinen offensichtlich zu sein. Dennoch ist die Investition in entsprechende Werkzeuge, deren Integration und die dazu nötige Expertise nicht für jedes Unternehmen sinnvoll oder machbar. Managed Security Testing ist eine interessante Alternative.
Die Herausforderungen für die IT-Sicherheit nehmen auch in der Pharmabranche weiter zu. Weltweit gab es bereits zahlreiche Berichte über Cyber-Angriffe, die auf Führungskräfte innerhalb der Pharmaindustrie abzielen. Der Security-Anbieter Lookout weist in seinem Report auf gefährliche Sicherheitslücken hin.
Remote Working hat in Sachen digitale Transformation vieles verändert. Bis auf die Logs, sie werden weiter gesammelt, egal ob der User im Wohnzimmer oder im Büro sitzt. Allerdings sind Logs nicht gleich Logs. Einige von ihnen fallen inzwischen unter die Definition personenbezogener Daten und müssen entsprechend gesichert werden. Erst recht jetzt, wo dramatisch mehr Logs anfallen, reicht es nicht mehr, sie quasi im SIEM zu verstauen.
Die Corona-Pandemie hat die Entwicklung von digitalen Gesundheitsanwendungen weiter vorangetrieben. Doch wie sieht es dabei mit der Sicherheit aus? Aus einer Studie des Beratungs- und Dienstleistungsunternehmens Intertrust geht hervor: 71 Prozent der getesteten Gesundheits-Apps weisen mindestens eine gravierende Schwachstelle auf.
Hadern Unternehmen mit der Container-Einführung, liegt das nicht selten an den Sicherheitsherausforderungen, die mit dem Einsatz von Containern in Produktionsumgebungen verbunden sind. Wie bei jedem Einsatz einer neuen Technologie gilt es, die Zahl der potenziell ausnutzbaren Schwachstellen und Risiken zu senken.
Wir alle sind mit den Schlagzeilen vertraut: Massenhaft aufgedeckte Schwachstellen, geleakte Patientendaten, Krankenhäuser und andere Einrichtungen, die dank Malware komplett lahmgelegt werden. Leider sind die Erwartungen an die betreffenden Sicherheitsteams oft zu hoch. Das führt zu Terminüberschreitungen und Reibungspunkten mit den Produktteams sowie den betrieblichen Prozessen.