Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.
Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.
Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.
Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-box' ist vom Tisch.
Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:
"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”
Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann.
Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann.
Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein.
Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.
Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:
"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”
Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann.
Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht.
Absicherung der Lieferkette.
Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:
"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”
Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.
Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.
.png)
Pieter Danhieux
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.
Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.
Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.
Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-box' ist vom Tisch.
Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:
"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”
Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann.
Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann.
Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein.
Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.
Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:
"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”
Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann.
Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht.
Absicherung der Lieferkette.
Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:
"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”
Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.
Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.
