您是否高估了组织的安全成熟度?
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
由于持续的技能短缺与为满足世界软件需求而编写的大量代码背道而驰,许多企业的网络安全战略和现有基础设施都落在了后面。现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
