Cyber-Risiko

Cyber-RisikoEin Bild, das genehmigten Code veranschaulicht
Barak Brudo Verwendung des 3CX-Desktop-App-Angriffs zur Veranschaulichung der Bedeutung des Signierens und Verifizierens von Software

Ende März 2023 deckten Sicherheitsforscher den komplexen Software-Lieferkettenangriff eines Bedrohungsakteurs auf Geschäftskommunikationssoftware von 3CX auf, hauptsächlich auf die Desktop-App des Unternehmens für Sprach- und Videoanrufe. Die Forscher warnten, dass die App irgendwie mit einem Trojaner infiziert sei und dass ihre Verwendung die Organisation einem möglichen Exfiltrationsplan eines Bedrohungsakteurs aussetzen könnte. […]

Mehr erfahren
Cyber-RisikoEin Bild einer Person, die durch eine Pipeline späht
Barak Brudo Wie sicher sind Sie mit dem, was wirklich in Ihrer CI/CD-Pipeline passiert? Die Elemente, die Sie sichern sollten, und wie

CI/CD-Pipelines sind bekanntermaßen undurchsichtig, was genau darin geschieht. Selbst wenn Sie derjenige sind, der die YAML-Konfigurationsdatei (die Pipeline-Anweisungsliste) geschrieben hat, wie können Sie dann sicher sein, dass alles genau wie beschrieben abläuft? Schlimmer noch, die meisten Pipelines sind völlig vergänglich, sodass selbst wenn etwas Schlimmes passiert, keine […]

Mehr erfahren
Cyber-RisikoEin Bild, das OpenSSL veranschaulicht
Barak Brudo Die Geschichte des OpenSSL-Patches 3.0.7 und die Lehren, die Sie daraus ziehen können

OpenSSL ist eine weit verbreitete Open-Source-Softwarebibliothek zur Implementierung sicherer Kommunikation über Computernetzwerke. Wie weit verbreitet? Wenn Sie jemals auf eine HTTPS-Webseite zugegriffen haben, ist die Wahrscheinlichkeit groß, dass Sie dies über eine OpenSSL-Verschlüsselung getan haben. Die Bibliothek bietet kryptografische Funktionen und Protokolle für die Datenverschlüsselung, -entschlüsselung, -authentifizierung und die Überprüfung digitaler Signaturen. OpenSSL kann […]

Mehr erfahren
Cyber-RisikoEin Bild zur Veranschaulichung des EU-Rechts
Barak Brudo Verteidigung Ihrer digitalen Dienste: Ein Einblick in den European Cyber ​​Resilience Act

Erfolgreiche Cyberangriffe auf Hardware- und Softwareprodukte kommen immer häufiger vor. Laut Cybersecurity Ventures kostet Cyberkriminalität die Welt im Jahr 7 schätzungsweise 2022 Billionen US-Dollar. Bei einem so hohen Preis ist es kein Wunder, dass sowohl Unternehmen als auch Regierungen darauf aufmerksam werden. Die USA gingen mit der Präsidialverordnung (President Executive Order) voran.

Mehr erfahren
Cyber-RisikoEin Bild, das die CI/CD-Pipeline veranschaulicht
Barak Brudo Von der Verwundbarkeit zum Sieg: Verteidigung Ihrer CI/CD-Pipeline

Zur Beschleunigung der Entwicklung werden automatisierte CI/CD-Pipelines (Continuous Integration/Continuous Delivery) eingesetzt. Es ist großartig, über Trigger oder Zeitpläne zu verfügen, die Ihren Code übernehmen, zusammenführen, erstellen, testen und automatisch versenden. Da die meisten Pipelines jedoch auf Geschwindigkeit und Benutzerfreundlichkeit ausgelegt sind, sind sie nicht von Natur aus auf Sicherheit ausgelegt.

Mehr erfahren
Cyber-Risiko
Barak Brudo Was hält die Zukunft für VEX bereit? Und wie würde es sich auf Sie auswirken?

Die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt werden, nimmt ständig zu. Derzeit liegt sie bei durchschnittlich 15,000 CVEs pro Jahr. Das Jahr 2022 sticht mit über 26,000 gemeldeten neuen CVEs hervor. Offensichtlich sind nicht alle Schwachstellen für Ihre Software relevant. Um herauszufinden, ob eine bestimmte Sicherheitslücke ein Problem darstellt, müssen Sie zunächst herausfinden, […]

Mehr erfahren
Cyber-RisikoBild zur Veranschaulichung des Vergleichs
Barak Brudo SPDX vs. CycloneDX: SBOM-Formate im Vergleich

Trotz der zunehmenden Akzeptanz der Software Bill of Materials (SBOM) als Schwachstellenmanagement- und Cybersicherheitstool haben viele Unternehmen immer noch Schwierigkeiten, die beiden heute gängigsten SBOM-Formate SPDX und CycloneDX zu verstehen. In diesem Artikel vergleichen wir diese beiden Formate, um Ihnen bei der Auswahl des richtigen Formats für […] zu helfen.

Mehr erfahren
Cyber-Risiko
Barak Brudo Parallele Forschung zu GitHub-Schwachstellen

Letzten Monat bin ich auf diesen Artikel von Dark Reading gestoßen. Es kam mir sehr bekannt vor. Es dauerte nicht lange, bis mir klar wurde, dass die im Artikel besprochene GitHub-Schwachstelle Cross-Workflow-Artefakt-Poisoning eine verblüffende Ähnlichkeit mit der GitHub-Schwachstelle Cross-Workflow-Cache-Poisoning aufwies, über die wir im März 2022 berichteten. GitHub-Workflows – Eine Schlüsselkomponente von GitHub […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Der Aufstieg des SBOM – Unsere Meinung zum Innovation Insight-Bericht von Gartner für SBOMs

Durch den zunehmenden Einsatz von Komponenten Dritter und langwierigen Software-Lieferketten können Angreifer mittlerweile viele Softwarepakete gleichzeitig über einen einzigen Exploit kompromittieren. Als Reaktion auf diesen neuen Angriffsvektor planen immer mehr Entwicklungs- und DevOps-Teams sowie Sicherheitsexperten die Einführung einer Software Bill of Materials (SBOM). Die Software-Lieferkette […]

Mehr erfahren
Cyber-RisikoEin Bild mit hervorgehobenem Text
Barak Brudo Diagramm zum Verständnis der Artefaktzusammensetzung (GUAC): Wichtige Highlights

Die Risiken, denen Software-Lieferketten ausgesetzt sind, stehen im Mittelpunkt der Gespräche im Cybersicherheits-Ökosystem. Dies ist teilweise auf die zunehmende Häufigkeit dieser Angriffe auf die Lieferkette zurückzuführen, aber auch auf die möglicherweise weitreichenden Auswirkungen, die sie haben, wenn sie tatsächlich auftreten. Zahlen aus dem Jahr 2021 zeigten Angriffe auf die Software-Lieferkette […]

Mehr erfahren
1 2 3 4 5