Para que los desarrolladores ayuden a matar a la bestia de la ciberdelincuencia, la formación es una búsqueda en dos partes
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y sindicado aquí.
El campo de juego entre los héroes y los villanos de la ciberseguridad es notoriamente injusto. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para burlar las defensas, explotando los fallos de seguridad grandes y pequeños para obtener un potencial botín.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad -cada vez más escasos- puedan enfrentarse a él, y el creciente coste de las violaciones de datos es la prueba de que algo tiene que ceder. Afortunadamente, por el bien de nuestra seguridad digital y la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a incorporar a los desarrolladores en el viaje de la seguridad desde el principio del proceso de desarrollo de software. Se les está reconociendo como la primera línea de defensa contra los ciberatacantes, con el poder de eliminar las vulnerabilidades comunes a su alcance.
Sin embargo, sus capacidades defensivas sólo son tan buenas como la formación que reciben, y eso es otro guante que los equipos de seguridad deben correr. Para muchos desarrolladores que reciben formación en codificación segura en el trabajo, su principal desafío es mantenerse despiertos durante las actividades que no requieren intervención y que no son efectivas, ni les inspiran a mantener la seguridad en primer plano. El vídeo sin alma courses no nos está llevando a ese punto, los eventos anuales simbólicos de "marcar la casilla" son una pérdida de tiempo, y nadie está ganando contra el potencial actor de la amenaza maliciosa que está esperando para saltar en una pequeña ventana de oportunidad.
En esta etapa de nuestra industria, hemos descubierto que la educación contextual y práctica que se imparte en lenguajes y marcos de programación relevantes, con retos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a acabar con las vulnerabilidades comunes, pero la segunda fase es donde los escenarios deben ser reales para una fuerza defensiva supercargada y consciente de la seguridad.
El aprendizaje con andamios es fundamental en la educación de adultos
Cuando se trata de una formación extracurricular courses o en el puesto de trabajo, a menudo se pasa por alto que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación se suma a esta base y está estructurada de manera que permite una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamiaje es un método de aprendizaje potente y positivo que trata de activar y mejorar la experiencia previa, al tiempo que continúa construyendo nuevas habilidades -en trozos manejables- que permiten al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, se trata de una metodología que se complementa con buenas dosis de demostración, ayudas visuales y exploración dirigida por el alumno.
Si relacionamos este enfoque con la formación en seguridad de los desarrolladores, no es de extrañar que se prefiera desde hace tiempo el método dinámico de aprender haciendo en lugar de la monotonía del aprendizaje estático basado en la teoría. Los desarrolladores son libres de ser los dueños de su dominio, y deben ver que su tiempo está bien empleado.
En ese sentido, aprender a codificar de forma segura en un entorno hiperrelevante y contextual es clave, pero el "nivel superior" de este paso es ver un exploit de código vulnerable en acción. Con el contexto de las vistas del frontend y del backend una al lado de la otra, hay un vínculo tangible entre las acciones realizadas durante el proceso de codificación, y lo que un atacante puede hacer potencialmente con esquinas cortadas, configuraciones erróneas, o accidentes que no son detectados y remediados.
Pase de la retirada a la aplicación para un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas de la educación, y es una bestia bastante rara, incluso con las opciones de formación de seguridad más modernas para los desarrolladores. El trabajo fundacional dedicado a perfeccionar las habilidades para detectar y remediar las vulnerabilidades, y recordar esa experiencia para eliminar los mismos errores en el código a medida que se escribe es extremadamente importante, pero no es el cuadro completo. Ver cómo un código vulnerable es explotado por un actor malintencionado añade una poderosa capa de contexto, que realmente hace hincapié en la importancia de asegurar el código, y aplicar los conocimientos de seguridad ganados con esfuerzo para cerrar cada ventana de oportunidad.
Está generalmente aceptado que a los desarrolladores no les gusta la seguridad, y les gusta aún menos la formación en seguridad. Sus experiencias con los especialistas en seguridad de las aplicaciones pueden ser muy frías, y el retrabajo causado por el equipo de seguridad que devuelve el código vulnerable a los desarrolladores para que lo corrijan es la perdición de su existencia. Para un equipo de ingenieros que ya está muy disperso, la seguridad es un problema ajeno, no su prioridad, y un obstáculo para su creatividad natural y su objetivo principal de crear funcionalidades. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiado riesgo para los datos del mundo para que esta mentalidad continúe.
Un proceso funcional de DevSecOps hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de un aprendizaje aplicado en el que puedan interactuar con un exploit simulado y ver el impacto de un código mal protegido contribuye en gran medida a que los desarrolladores se pongan de acuerdo con esos molestos responsables de la seguridad de las aplicaciones (que no son tan malos después de todo).
El aprendizaje interactivo prepara a los desarrolladores para la lucha de jefes
En el momento de redactar este informe, se habían producido dos importantes filtraciones en un periodo de 7 días: Razer anunció que se habían expuesto más de 100.000 registros de datos sensibles, mientras que la cadena de suministros de oficina Staples también informó de una filtración de datos similar. Más de mil millones de registros sensibles han sido expuestos en lo que va de 2020, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores maliciosos tienen la sartén por el mango, y los desarrolladores conscientes de la seguridad son muy necesarios para servir como primera línea de defensa.
Losretos interactivos que se centran en la simulación de tales infracciones hacen que los desarrolladores pasen de la memoria pasiva a la aplicación de habilidades que tienen un impacto en la verdadera lucha de jefes: detener a los atacantes en su camino.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
