Cyber-Risiko

Cyber-RisikoEin Bild, das das Abhängigkeitsdiagramm darstellt
Mikey Strauss CycloneDX SBOM-Abhängigkeitsdiagramm – Wofür ist es gut?

Wir haben alle in letzter Zeit viel über SBOMs gehört. Wir hörten von ihrem Nutzen, ihrer Zusammensetzung und ihren Anforderungen an Sicherheit und Regulierung. Dieses Mal möchte ich mir die Zeit nehmen, über einen etwas weniger bekannten Abschnitt des CyclonDX SBOM zu sprechen – den Abhängigkeitsgraphen. Anders als der Name vermuten lässt, ist der Abhängigkeitsgraph kein […]

Mehr erfahren
Cyber-RisikoEin Bild eines kaputten Puzzles
Barak Brudo SBOM-Unterzeichnung: Lösung eines sich ständig ändernden Rätsels

In den letzten Jahren wurde viel über die SBOM – Software Bill Of Materials – geschrieben. Bei all dieser Offenlegung haben die Leute das Gefühl, dass sie gut genug wissen, was es zu erklären gilt – es handelt sich um eine Liste von Softwarebestandteilen, es ist wichtig für Transparenz und Sicherheit und es hilft dabei, vorübergehende Abhängigkeiten aufzudecken. Alle […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Verwenden von Valint zum Anwenden von Richtlinien auf Ihren SDLC

Valint ist das wichtigste Scribe-Tool zum Erstellen, Verwalten, Signieren und Überprüfen von Beweisen. In einem früheren Beitrag haben wir die Theorie behandelt, wie das Signieren und Verifizieren von Beweisen als Hauptinstrument zur Validierung der Sicherheit Ihrer CI/CD-Pipeline dient. Zur Erinnerung: Das von Scribe vorgeschlagene Modell umfasst mehrere Bausteine, die gemischt und […] gemischt werden können.

Mehr erfahren
Cyber-Risiko
Barak Brudo CISAs gemeinsame Form der sicheren Software-Selbstbescheinigung: Ein Wendepunkt für die Haftung

Im September 2022 veröffentlichte das US-amerikanische Amt für Verwaltung und Haushalt (OMB) ein wegweisendes Memo über die Schritte, die erforderlich sind, um Ihre Software-Lieferkette auf ein für die US-Bundesregierung akzeptables Maß zu sichern. Jedes Unternehmen, das mit der Regierung und einer Bundesbehörde, die Software herstellt, Geschäfte machen möchte, muss […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Wie vermeidet man CVE-Burnout und Alarmmüdigkeit bei Schwachstellenscans?

CVE-Scans (Common Vulnerabilities and Exposures) sind für die Sicherung Ihrer Softwareanwendungen unerlässlich. Angesichts der zunehmenden Komplexität von Software-Stacks kann es jedoch eine Herausforderung sein, alle CVEs zu identifizieren und anzugehen. Eines der größten Probleme bei CVE-Scans ist heutzutage die Verbreitung falsch positiver Ergebnisse, bei denen eine Schwachstelle in einem Paket identifiziert wird, das nicht […]

Mehr erfahren
Cyber-RisikoEin Bild, das einen sicheren Hafen darstellt
Barak Brudo Bereitstellung eines sicheren Hafens vor Haftung für Softwarehersteller

Im März 2023 veröffentlichte das Weiße Haus eine neue nationale Cybersicherheitsstrategie. Die Strategie beschreibt eine Liste von fünf Säulen, die das Weiße Haus für entscheidend für die Verbesserung der Cybersicherheit für alle Amerikaner, sowohl im öffentlichen als auch im privaten Sektor, hält. Die dritte Säule befasst sich mit dem Bestreben, die Marktkräfte so zu gestalten, dass Sicherheit und Widerstandsfähigkeit verbessert werden. Ein Teil davon […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Die Zukunft von SBOM planen: Erkenntnisse aus dem neuen Leitfaden von CISA: Shifting the Balance of Cybersecurity Risk

Im April 2023 veröffentlichte CISA einen neuen gemeinsamen Leitfaden für Softwaresicherheit mit dem Titel „Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles“. Der Leitfaden wurde in Zusammenarbeit mit neun verschiedenen Behörden erstellt, darunter unter anderem der NSA, dem Australian Cyber ​​Security Centre (ACSC) und dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Tatsache, dass […]

Mehr erfahren
Cyber-RisikoEin Bild zur Veranschaulichung von KI geht schief
Barak Brudo Was passiert, wenn ein KI-Unternehmen Opfer einer Sicherheitslücke in der Software-Lieferkette wird?

Am 20. März hat OpenAI das beliebte generative KI-Tool ChatGPT für einige Stunden lahmgelegt. Später wurde zugegeben, dass der Grund für den Ausfall eine Sicherheitslücke in der Software-Lieferkette war, die ihren Ursprung in der Open-Source-In-Memory-Datenspeicherbibliothek „Redis“ hatte. Aufgrund dieser Sicherheitslücke gab es ein Zeitfenster (zwischen 1 und 10 Uhr morgens).

Mehr erfahren
Cyber-RisikoEin abstraktes Bild der gemeinsamen Nutzung von Dokumenten
Barak Brudo Was wir aus dem SBOM Sharing Lifecycle Report von CISA lernen können

Im April 2023 veröffentlichten DHS, CISA, DOE und CESER einen Bericht mit dem Titel „Software Bill of Materials (SBOM) Sharing Lifecycle Report“. Der Zweck des Berichts bestand darin, die aktuelle Art und Weise zu untersuchen, wie Menschen SBOMs teilen, und allgemein zu skizzieren, wie dieser Austausch besser und ausgefeilter gestaltet werden könnte, um […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Vom Chaos zur Klarheit: So sichern Sie Ihre Lieferkette mit Attestierungen

Da das Bewusstsein immer größer wird, sollte der Schutz Ihrer Software-Lieferketten ein wesentlicher Bestandteil der Cybersicherheitsstrategie jedes Unternehmens sein. Eine der Hauptschwierigkeiten bei der Entwicklung einer umfassenden Strategie zur Minderung von Bedrohungen in der Software-Lieferkette ist die Komplexität und Vielfalt der Lieferketten. Jede Lieferkette ist einzigartig und die Elemente […]

Mehr erfahren
1 2 3 4 5