Es reicht nicht aus, nach links zu wechseln: Warum es Ihr Schlüssel zu exzellenter Softwaresicherheit ist, links anzufangen
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
