Kontextuelles, praktisches Lernen: Der ultimative Weg, um Ihr Gehirn für Sicherheit zu trainieren
Es tut mir leid, ich muss eine schlechte Nachricht überbringen.
Die traditionelle Ausbildung ist tot.
Nun, okay, das ist es nicht... aber es sollte es wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffektivsten Arten ist, Menschen in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich umschulen zu lassen. Und wenn es um Unternehmensschulungen geht, werden diese Statistiken nicht besser. Die Harvard Business Review veröffentlichte eine Studie über die Effektivität von Präsenztrainings für Neueinstellungen in großen Unternehmen und stellte fest, dass diese Lernmethode im Durchschnitt acht bis zwölf Monate benötigt, um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist eine sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich einzugewöhnen, wenn man der neue Mitarbeiter ist). Heutzutage haben die meisten Unternehmen nicht so viel Zeit; zwangsläufig wird an allen Ecken und Enden gespart, die Mitarbeiter erhalten nicht das Training, das sie brauchen, und dem Unternehmen entgeht eine Menge Wert, der viel früher erreicht werden könnte.
Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit den besten Praktiken oder neuen Initiativen des Unternehmens vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art zu lernen gibt: kontextbezogenes Training. Es hat sich herausgestellt, dass wir Menschen Informationen viel besser behalten, wenn wir neue Ideen und Prozesse in die Hand nehmen.
Nun, wenn es um Entwickler geht, sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler kann ich sagen, dass traditionelle Schulungen nicht gerade meine Welt in Brand setzen. Entwickler neigen dazu, kreative, einfallsreiche Problemlöser zu sein, die viel lieber die Tools benutzen, als in einem Klassenzimmer belehrt zu werden, oder vor endlosen Videos eines sprechenden Kopfes zu sitzen, wenn sie versuchen, neue Informationen zu lernen. Wenn man sich die Sicherheitsschulung im Speziellen ansieht, scheint es in der aktuellen Landschaft eine klare Diskrepanz zu geben: Entwickler versäumen es, häufige Schwachstellen in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Profis die Haare raufen, wenn sie immer wieder mit denselben, leicht zu behebenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich mit den Best Practices für sichere Entwicklung zu beschäftigen. Ihr Hauptziel ist die Funktionserstellung, aber angesichts der rapide steigenden Cyberrisiken für jedes Unternehmen können wir es uns einfach nicht mehr leisten, Sicherheitswissen zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Schwachstellen allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec verliert nicht mehr reihenweise die Haare).
Wie sieht also die Einbindung von Entwicklern mit kontextbezogenem Training genau aus?
Beispiele aus der realen Welt sind lächerlich mächtig.
Stellen Sie sich vor, wir müssten alle das Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Während Sie die allgemeine Idee bekommen können, wie ein Auto funktioniert, sowie die Abfolge von Ereignissen, die eingeleitet wird, um Sie entlang der Straße zu bewegen, wäre es praktisch unmöglich, das Fahren gut zu lernen, bis Sie in ein Auto springen und es persönlich ausprobieren.
Ein kontextbezogenes Training ist deshalb so wertvoll, weil es den Kursteilnehmer auf den Fahrersitz des zu vermittelnden Stoffes setzt. Wenn man einen realen Kontext für etwas hat, macht es das Lernen viel ansprechender und sinnvoller.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen der SQL-Injektion verstehen, aber die Feinheiten der tatsächlichen Problemlösung werden leicht vergessen, wenn Fristen drohen und die Lieferung von Funktionen Priorität hat. Wenn es jedoch möglich wäre, reale Code-Beispiele zu überprüfen, die Injektion zu identifizieren und sie als Teil einer Trainingsübung zu beheben, ist das für den Arbeitsalltag eines Entwicklers viel besser anwendbar als der Versuch, einseitige Informationen zu behalten. Es ist auch für einen Entwickler besser nachvollziehbar, wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufpassen.
Auf der Secure Code Warrior Plattform haben wir das sichere Codetraining gamifiziert und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System regt zum wiederholten Spielen an und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen bereitstellen, wenn es am nützlichsten ist
Nach der kontextuellen Lerntheorie findet effektives Lernen nur dann statt, wenn die Schüler neue Informationen oder neues Wissen so verarbeiten, dass es für sie innerhalb ihres eigenen individuellen Bezugsrahmens Sinn macht.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken aus Bug Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind vielleicht perplex - sogar überwältigt - wenn sie noch nie auf diese Schwachstellen gestoßen sind. Was noch schlimmer ist: Die meisten Berichte sind für Anwendungssicherheitsexperten und nicht für Entwickler gedacht. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die für einen Entwickler nicht direkt anwendbar sind.
Vor kurzem haben wir die Möglichkeit hinzugefügt, direkt auf praktische Schulungen zu Schwachstellen aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstest-Berichten zu verlinken. Entwickler können sofort die Grundlagen verstehen und gute Coding-Rezepte für ihr jeweiliges Framework lernen.
Diese Art des Lernens stellt sicher, dass Entwickler Wissen und Training zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist viel wahrscheinlicher, dass sie diese Informationen auf lange Sicht behalten.
Schnellere Ergebnisse, weniger Störung, glücklichere Camper.
Bei jedem Training ist ein unmittelbarer Zusammenhang mit Ihren täglichen Aktivitäten viel wirkungsvoller, als wenn Sie versuchen, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im "Lernmodus" oder - noch schlimmer - Sie müssen weniger Dinge durchgehen, die Sie bereits "gelernt" haben, wenn Sie eine Antwort auf etwas brauchen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, so dass jede Komponente des Trainings die vorherige ergänzt, was einen schrittweisen Prozess ermöglicht, der den Teilnehmern einen Weg zur Beherrschung bietet. Auch dies ist etwas, das wir auf unserer Plattform unterstützen, mit einem Gurtsystem, das dem in einem Karate-Dojo ähnelt. Jeder fängt mit dem weißen Gürtel an, bevor er nach den notwendigen Trainingsstunden und der Teilnahme an tournament den begehrten schwarzen Gürtel oder die Stufe "Sicherheitschampion" erreicht. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Möchten Sie die besten Talente an sich binden und sie sicherheitsbewusst halten? Geben Sie ihnen die Werkzeuge für den Erfolg.
Es ist eine bedauerliche Tatsache, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten im Moment eine knappe (aber wichtige) Ressource sind. Sie sind auch notorisch schwer zu halten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und stellte fest, dass ein Schlüsselelement für die Bindung wertvoller Mitarbeiter die Investition in ihre Ausbildung ist. Die Ergebnisse zeigen, dass Unternehmen, die Tools und Schulungen zur Förderung der internen Sicherheitskompetenzen anbieten, 60 % mehr Sicherheitsexperten an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65 % der Befragten bevorzugten praktische Schulungen. Ziemlich klasse, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80 % der Befragten fühlen sich nicht ausreichend vorbereitet, um ihre Organisation gegen Cyber-Bedrohungen zu verteidigen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos von kostspieligen Datenverletzungen und Angriffen ist jetzt mehr denn je erforderlich. Und, na ja, ich bin vielleicht voreingenommen, aber die Plattform von Secure Code Warrior könnte das Werkzeug sein, das Sie brauchen, um eine positive Sicherheitskultur zu entfachen, Entwickler mit dem kontextbezogenen Training, das sie lieben, weiterzubilden und zu unterstützen und Ihr Unternehmen vor den bösen Jungs zu schützen. Fordern Sie eine Demo an und wir zeigen Ihnen mehr.
Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit neuen Initiativen vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Es tut mir leid, ich muss eine schlechte Nachricht überbringen.
Die traditionelle Ausbildung ist tot.
Nun, okay, das ist es nicht... aber es sollte es wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffektivsten Arten ist, Menschen in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich umschulen zu lassen. Und wenn es um Unternehmensschulungen geht, werden diese Statistiken nicht besser. Die Harvard Business Review veröffentlichte eine Studie über die Effektivität von Präsenztrainings für Neueinstellungen in großen Unternehmen und stellte fest, dass diese Lernmethode im Durchschnitt acht bis zwölf Monate benötigt, um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist eine sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich einzugewöhnen, wenn man der neue Mitarbeiter ist). Heutzutage haben die meisten Unternehmen nicht so viel Zeit; zwangsläufig wird an allen Ecken und Enden gespart, die Mitarbeiter erhalten nicht das Training, das sie brauchen, und dem Unternehmen entgeht eine Menge Wert, der viel früher erreicht werden könnte.
Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit den besten Praktiken oder neuen Initiativen des Unternehmens vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art zu lernen gibt: kontextbezogenes Training. Es hat sich herausgestellt, dass wir Menschen Informationen viel besser behalten, wenn wir neue Ideen und Prozesse in die Hand nehmen.
Nun, wenn es um Entwickler geht, sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler kann ich sagen, dass traditionelle Schulungen nicht gerade meine Welt in Brand setzen. Entwickler neigen dazu, kreative, einfallsreiche Problemlöser zu sein, die viel lieber die Tools benutzen, als in einem Klassenzimmer belehrt zu werden, oder vor endlosen Videos eines sprechenden Kopfes zu sitzen, wenn sie versuchen, neue Informationen zu lernen. Wenn man sich die Sicherheitsschulung im Speziellen ansieht, scheint es in der aktuellen Landschaft eine klare Diskrepanz zu geben: Entwickler versäumen es, häufige Schwachstellen in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Profis die Haare raufen, wenn sie immer wieder mit denselben, leicht zu behebenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich mit den Best Practices für sichere Entwicklung zu beschäftigen. Ihr Hauptziel ist die Funktionserstellung, aber angesichts der rapide steigenden Cyberrisiken für jedes Unternehmen können wir es uns einfach nicht mehr leisten, Sicherheitswissen zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Schwachstellen allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec verliert nicht mehr reihenweise die Haare).
Wie sieht also die Einbindung von Entwicklern mit kontextbezogenem Training genau aus?
Beispiele aus der realen Welt sind lächerlich mächtig.
Stellen Sie sich vor, wir müssten alle das Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Während Sie die allgemeine Idee bekommen können, wie ein Auto funktioniert, sowie die Abfolge von Ereignissen, die eingeleitet wird, um Sie entlang der Straße zu bewegen, wäre es praktisch unmöglich, das Fahren gut zu lernen, bis Sie in ein Auto springen und es persönlich ausprobieren.
Ein kontextbezogenes Training ist deshalb so wertvoll, weil es den Kursteilnehmer auf den Fahrersitz des zu vermittelnden Stoffes setzt. Wenn man einen realen Kontext für etwas hat, macht es das Lernen viel ansprechender und sinnvoller.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen der SQL-Injektion verstehen, aber die Feinheiten der tatsächlichen Problemlösung werden leicht vergessen, wenn Fristen drohen und die Lieferung von Funktionen Priorität hat. Wenn es jedoch möglich wäre, reale Code-Beispiele zu überprüfen, die Injektion zu identifizieren und sie als Teil einer Trainingsübung zu beheben, ist das für den Arbeitsalltag eines Entwicklers viel besser anwendbar als der Versuch, einseitige Informationen zu behalten. Es ist auch für einen Entwickler besser nachvollziehbar, wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufpassen.
Auf der Secure Code Warrior Plattform haben wir das sichere Codetraining gamifiziert und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System regt zum wiederholten Spielen an und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen bereitstellen, wenn es am nützlichsten ist
Nach der kontextuellen Lerntheorie findet effektives Lernen nur dann statt, wenn die Schüler neue Informationen oder neues Wissen so verarbeiten, dass es für sie innerhalb ihres eigenen individuellen Bezugsrahmens Sinn macht.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken aus Bug Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind vielleicht perplex - sogar überwältigt - wenn sie noch nie auf diese Schwachstellen gestoßen sind. Was noch schlimmer ist: Die meisten Berichte sind für Anwendungssicherheitsexperten und nicht für Entwickler gedacht. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die für einen Entwickler nicht direkt anwendbar sind.
Vor kurzem haben wir die Möglichkeit hinzugefügt, direkt auf praktische Schulungen zu Schwachstellen aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstest-Berichten zu verlinken. Entwickler können sofort die Grundlagen verstehen und gute Coding-Rezepte für ihr jeweiliges Framework lernen.
Diese Art des Lernens stellt sicher, dass Entwickler Wissen und Training zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist viel wahrscheinlicher, dass sie diese Informationen auf lange Sicht behalten.
Schnellere Ergebnisse, weniger Störung, glücklichere Camper.
Bei jedem Training ist ein unmittelbarer Zusammenhang mit Ihren täglichen Aktivitäten viel wirkungsvoller, als wenn Sie versuchen, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im "Lernmodus" oder - noch schlimmer - Sie müssen weniger Dinge durchgehen, die Sie bereits "gelernt" haben, wenn Sie eine Antwort auf etwas brauchen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, so dass jede Komponente des Trainings die vorherige ergänzt, was einen schrittweisen Prozess ermöglicht, der den Teilnehmern einen Weg zur Beherrschung bietet. Auch dies ist etwas, das wir auf unserer Plattform unterstützen, mit einem Gurtsystem, das dem in einem Karate-Dojo ähnelt. Jeder fängt mit dem weißen Gürtel an, bevor er nach den notwendigen Trainingsstunden und der Teilnahme an tournament den begehrten schwarzen Gürtel oder die Stufe "Sicherheitschampion" erreicht. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Möchten Sie die besten Talente an sich binden und sie sicherheitsbewusst halten? Geben Sie ihnen die Werkzeuge für den Erfolg.
Es ist eine bedauerliche Tatsache, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten im Moment eine knappe (aber wichtige) Ressource sind. Sie sind auch notorisch schwer zu halten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und stellte fest, dass ein Schlüsselelement für die Bindung wertvoller Mitarbeiter die Investition in ihre Ausbildung ist. Die Ergebnisse zeigen, dass Unternehmen, die Tools und Schulungen zur Förderung der internen Sicherheitskompetenzen anbieten, 60 % mehr Sicherheitsexperten an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65 % der Befragten bevorzugten praktische Schulungen. Ziemlich klasse, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80 % der Befragten fühlen sich nicht ausreichend vorbereitet, um ihre Organisation gegen Cyber-Bedrohungen zu verteidigen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos von kostspieligen Datenverletzungen und Angriffen ist jetzt mehr denn je erforderlich. Und, na ja, ich bin vielleicht voreingenommen, aber die Plattform von Secure Code Warrior könnte das Werkzeug sein, das Sie brauchen, um eine positive Sicherheitskultur zu entfachen, Entwickler mit dem kontextbezogenen Training, das sie lieben, weiterzubilden und zu unterstützen und Ihr Unternehmen vor den bösen Jungs zu schützen. Fordern Sie eine Demo an und wir zeigen Ihnen mehr.
Es tut mir leid, ich muss eine schlechte Nachricht überbringen.
Die traditionelle Ausbildung ist tot.
Nun, okay, das ist es nicht... aber es sollte es wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffektivsten Arten ist, Menschen in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich umschulen zu lassen. Und wenn es um Unternehmensschulungen geht, werden diese Statistiken nicht besser. Die Harvard Business Review veröffentlichte eine Studie über die Effektivität von Präsenztrainings für Neueinstellungen in großen Unternehmen und stellte fest, dass diese Lernmethode im Durchschnitt acht bis zwölf Monate benötigt, um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist eine sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich einzugewöhnen, wenn man der neue Mitarbeiter ist). Heutzutage haben die meisten Unternehmen nicht so viel Zeit; zwangsläufig wird an allen Ecken und Enden gespart, die Mitarbeiter erhalten nicht das Training, das sie brauchen, und dem Unternehmen entgeht eine Menge Wert, der viel früher erreicht werden könnte.
Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit den besten Praktiken oder neuen Initiativen des Unternehmens vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art zu lernen gibt: kontextbezogenes Training. Es hat sich herausgestellt, dass wir Menschen Informationen viel besser behalten, wenn wir neue Ideen und Prozesse in die Hand nehmen.
Nun, wenn es um Entwickler geht, sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler kann ich sagen, dass traditionelle Schulungen nicht gerade meine Welt in Brand setzen. Entwickler neigen dazu, kreative, einfallsreiche Problemlöser zu sein, die viel lieber die Tools benutzen, als in einem Klassenzimmer belehrt zu werden, oder vor endlosen Videos eines sprechenden Kopfes zu sitzen, wenn sie versuchen, neue Informationen zu lernen. Wenn man sich die Sicherheitsschulung im Speziellen ansieht, scheint es in der aktuellen Landschaft eine klare Diskrepanz zu geben: Entwickler versäumen es, häufige Schwachstellen in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Profis die Haare raufen, wenn sie immer wieder mit denselben, leicht zu behebenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich mit den Best Practices für sichere Entwicklung zu beschäftigen. Ihr Hauptziel ist die Funktionserstellung, aber angesichts der rapide steigenden Cyberrisiken für jedes Unternehmen können wir es uns einfach nicht mehr leisten, Sicherheitswissen zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Schwachstellen allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec verliert nicht mehr reihenweise die Haare).
Wie sieht also die Einbindung von Entwicklern mit kontextbezogenem Training genau aus?
Beispiele aus der realen Welt sind lächerlich mächtig.
Stellen Sie sich vor, wir müssten alle das Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Während Sie die allgemeine Idee bekommen können, wie ein Auto funktioniert, sowie die Abfolge von Ereignissen, die eingeleitet wird, um Sie entlang der Straße zu bewegen, wäre es praktisch unmöglich, das Fahren gut zu lernen, bis Sie in ein Auto springen und es persönlich ausprobieren.
Ein kontextbezogenes Training ist deshalb so wertvoll, weil es den Kursteilnehmer auf den Fahrersitz des zu vermittelnden Stoffes setzt. Wenn man einen realen Kontext für etwas hat, macht es das Lernen viel ansprechender und sinnvoller.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen der SQL-Injektion verstehen, aber die Feinheiten der tatsächlichen Problemlösung werden leicht vergessen, wenn Fristen drohen und die Lieferung von Funktionen Priorität hat. Wenn es jedoch möglich wäre, reale Code-Beispiele zu überprüfen, die Injektion zu identifizieren und sie als Teil einer Trainingsübung zu beheben, ist das für den Arbeitsalltag eines Entwicklers viel besser anwendbar als der Versuch, einseitige Informationen zu behalten. Es ist auch für einen Entwickler besser nachvollziehbar, wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufpassen.
Auf der Secure Code Warrior Plattform haben wir das sichere Codetraining gamifiziert und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System regt zum wiederholten Spielen an und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen bereitstellen, wenn es am nützlichsten ist
Nach der kontextuellen Lerntheorie findet effektives Lernen nur dann statt, wenn die Schüler neue Informationen oder neues Wissen so verarbeiten, dass es für sie innerhalb ihres eigenen individuellen Bezugsrahmens Sinn macht.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken aus Bug Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind vielleicht perplex - sogar überwältigt - wenn sie noch nie auf diese Schwachstellen gestoßen sind. Was noch schlimmer ist: Die meisten Berichte sind für Anwendungssicherheitsexperten und nicht für Entwickler gedacht. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die für einen Entwickler nicht direkt anwendbar sind.
Vor kurzem haben wir die Möglichkeit hinzugefügt, direkt auf praktische Schulungen zu Schwachstellen aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstest-Berichten zu verlinken. Entwickler können sofort die Grundlagen verstehen und gute Coding-Rezepte für ihr jeweiliges Framework lernen.
Diese Art des Lernens stellt sicher, dass Entwickler Wissen und Training zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist viel wahrscheinlicher, dass sie diese Informationen auf lange Sicht behalten.
Schnellere Ergebnisse, weniger Störung, glücklichere Camper.
Bei jedem Training ist ein unmittelbarer Zusammenhang mit Ihren täglichen Aktivitäten viel wirkungsvoller, als wenn Sie versuchen, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im "Lernmodus" oder - noch schlimmer - Sie müssen weniger Dinge durchgehen, die Sie bereits "gelernt" haben, wenn Sie eine Antwort auf etwas brauchen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, so dass jede Komponente des Trainings die vorherige ergänzt, was einen schrittweisen Prozess ermöglicht, der den Teilnehmern einen Weg zur Beherrschung bietet. Auch dies ist etwas, das wir auf unserer Plattform unterstützen, mit einem Gurtsystem, das dem in einem Karate-Dojo ähnelt. Jeder fängt mit dem weißen Gürtel an, bevor er nach den notwendigen Trainingsstunden und der Teilnahme an tournament den begehrten schwarzen Gürtel oder die Stufe "Sicherheitschampion" erreicht. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Möchten Sie die besten Talente an sich binden und sie sicherheitsbewusst halten? Geben Sie ihnen die Werkzeuge für den Erfolg.
Es ist eine bedauerliche Tatsache, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten im Moment eine knappe (aber wichtige) Ressource sind. Sie sind auch notorisch schwer zu halten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und stellte fest, dass ein Schlüsselelement für die Bindung wertvoller Mitarbeiter die Investition in ihre Ausbildung ist. Die Ergebnisse zeigen, dass Unternehmen, die Tools und Schulungen zur Förderung der internen Sicherheitskompetenzen anbieten, 60 % mehr Sicherheitsexperten an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65 % der Befragten bevorzugten praktische Schulungen. Ziemlich klasse, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80 % der Befragten fühlen sich nicht ausreichend vorbereitet, um ihre Organisation gegen Cyber-Bedrohungen zu verteidigen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos von kostspieligen Datenverletzungen und Angriffen ist jetzt mehr denn je erforderlich. Und, na ja, ich bin vielleicht voreingenommen, aber die Plattform von Secure Code Warrior könnte das Werkzeug sein, das Sie brauchen, um eine positive Sicherheitskultur zu entfachen, Entwickler mit dem kontextbezogenen Training, das sie lieben, weiterzubilden und zu unterstützen und Ihr Unternehmen vor den bösen Jungs zu schützen. Fordern Sie eine Demo an und wir zeigen Ihnen mehr.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenJaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Es tut mir leid, ich muss eine schlechte Nachricht überbringen.
Die traditionelle Ausbildung ist tot.
Nun, okay, das ist es nicht... aber es sollte es wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffektivsten Arten ist, Menschen in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich umschulen zu lassen. Und wenn es um Unternehmensschulungen geht, werden diese Statistiken nicht besser. Die Harvard Business Review veröffentlichte eine Studie über die Effektivität von Präsenztrainings für Neueinstellungen in großen Unternehmen und stellte fest, dass diese Lernmethode im Durchschnitt acht bis zwölf Monate benötigt, um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist eine sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich einzugewöhnen, wenn man der neue Mitarbeiter ist). Heutzutage haben die meisten Unternehmen nicht so viel Zeit; zwangsläufig wird an allen Ecken und Enden gespart, die Mitarbeiter erhalten nicht das Training, das sie brauchen, und dem Unternehmen entgeht eine Menge Wert, der viel früher erreicht werden könnte.
Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit den besten Praktiken oder neuen Initiativen des Unternehmens vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art zu lernen gibt: kontextbezogenes Training. Es hat sich herausgestellt, dass wir Menschen Informationen viel besser behalten, wenn wir neue Ideen und Prozesse in die Hand nehmen.
Nun, wenn es um Entwickler geht, sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler kann ich sagen, dass traditionelle Schulungen nicht gerade meine Welt in Brand setzen. Entwickler neigen dazu, kreative, einfallsreiche Problemlöser zu sein, die viel lieber die Tools benutzen, als in einem Klassenzimmer belehrt zu werden, oder vor endlosen Videos eines sprechenden Kopfes zu sitzen, wenn sie versuchen, neue Informationen zu lernen. Wenn man sich die Sicherheitsschulung im Speziellen ansieht, scheint es in der aktuellen Landschaft eine klare Diskrepanz zu geben: Entwickler versäumen es, häufige Schwachstellen in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Profis die Haare raufen, wenn sie immer wieder mit denselben, leicht zu behebenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich mit den Best Practices für sichere Entwicklung zu beschäftigen. Ihr Hauptziel ist die Funktionserstellung, aber angesichts der rapide steigenden Cyberrisiken für jedes Unternehmen können wir es uns einfach nicht mehr leisten, Sicherheitswissen zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Schwachstellen allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec verliert nicht mehr reihenweise die Haare).
Wie sieht also die Einbindung von Entwicklern mit kontextbezogenem Training genau aus?
Beispiele aus der realen Welt sind lächerlich mächtig.
Stellen Sie sich vor, wir müssten alle das Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Während Sie die allgemeine Idee bekommen können, wie ein Auto funktioniert, sowie die Abfolge von Ereignissen, die eingeleitet wird, um Sie entlang der Straße zu bewegen, wäre es praktisch unmöglich, das Fahren gut zu lernen, bis Sie in ein Auto springen und es persönlich ausprobieren.
Ein kontextbezogenes Training ist deshalb so wertvoll, weil es den Kursteilnehmer auf den Fahrersitz des zu vermittelnden Stoffes setzt. Wenn man einen realen Kontext für etwas hat, macht es das Lernen viel ansprechender und sinnvoller.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen der SQL-Injektion verstehen, aber die Feinheiten der tatsächlichen Problemlösung werden leicht vergessen, wenn Fristen drohen und die Lieferung von Funktionen Priorität hat. Wenn es jedoch möglich wäre, reale Code-Beispiele zu überprüfen, die Injektion zu identifizieren und sie als Teil einer Trainingsübung zu beheben, ist das für den Arbeitsalltag eines Entwicklers viel besser anwendbar als der Versuch, einseitige Informationen zu behalten. Es ist auch für einen Entwickler besser nachvollziehbar, wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufpassen.
Auf der Secure Code Warrior Plattform haben wir das sichere Codetraining gamifiziert und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System regt zum wiederholten Spielen an und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen bereitstellen, wenn es am nützlichsten ist
Nach der kontextuellen Lerntheorie findet effektives Lernen nur dann statt, wenn die Schüler neue Informationen oder neues Wissen so verarbeiten, dass es für sie innerhalb ihres eigenen individuellen Bezugsrahmens Sinn macht.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken aus Bug Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind vielleicht perplex - sogar überwältigt - wenn sie noch nie auf diese Schwachstellen gestoßen sind. Was noch schlimmer ist: Die meisten Berichte sind für Anwendungssicherheitsexperten und nicht für Entwickler gedacht. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die für einen Entwickler nicht direkt anwendbar sind.
Vor kurzem haben wir die Möglichkeit hinzugefügt, direkt auf praktische Schulungen zu Schwachstellen aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstest-Berichten zu verlinken. Entwickler können sofort die Grundlagen verstehen und gute Coding-Rezepte für ihr jeweiliges Framework lernen.
Diese Art des Lernens stellt sicher, dass Entwickler Wissen und Training zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist viel wahrscheinlicher, dass sie diese Informationen auf lange Sicht behalten.
Schnellere Ergebnisse, weniger Störung, glücklichere Camper.
Bei jedem Training ist ein unmittelbarer Zusammenhang mit Ihren täglichen Aktivitäten viel wirkungsvoller, als wenn Sie versuchen, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im "Lernmodus" oder - noch schlimmer - Sie müssen weniger Dinge durchgehen, die Sie bereits "gelernt" haben, wenn Sie eine Antwort auf etwas brauchen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, so dass jede Komponente des Trainings die vorherige ergänzt, was einen schrittweisen Prozess ermöglicht, der den Teilnehmern einen Weg zur Beherrschung bietet. Auch dies ist etwas, das wir auf unserer Plattform unterstützen, mit einem Gurtsystem, das dem in einem Karate-Dojo ähnelt. Jeder fängt mit dem weißen Gürtel an, bevor er nach den notwendigen Trainingsstunden und der Teilnahme an tournament den begehrten schwarzen Gürtel oder die Stufe "Sicherheitschampion" erreicht. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Möchten Sie die besten Talente an sich binden und sie sicherheitsbewusst halten? Geben Sie ihnen die Werkzeuge für den Erfolg.
Es ist eine bedauerliche Tatsache, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten im Moment eine knappe (aber wichtige) Ressource sind. Sie sind auch notorisch schwer zu halten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und stellte fest, dass ein Schlüsselelement für die Bindung wertvoller Mitarbeiter die Investition in ihre Ausbildung ist. Die Ergebnisse zeigen, dass Unternehmen, die Tools und Schulungen zur Förderung der internen Sicherheitskompetenzen anbieten, 60 % mehr Sicherheitsexperten an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65 % der Befragten bevorzugten praktische Schulungen. Ziemlich klasse, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80 % der Befragten fühlen sich nicht ausreichend vorbereitet, um ihre Organisation gegen Cyber-Bedrohungen zu verteidigen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos von kostspieligen Datenverletzungen und Angriffen ist jetzt mehr denn je erforderlich. Und, na ja, ich bin vielleicht voreingenommen, aber die Plattform von Secure Code Warrior könnte das Werkzeug sein, das Sie brauchen, um eine positive Sicherheitskultur zu entfachen, Entwickler mit dem kontextbezogenen Training, das sie lieben, weiterzubilden und zu unterstützen und Ihr Unternehmen vor den bösen Jungs zu schützen. Fordern Sie eine Demo an und wir zeigen Ihnen mehr.
Inhaltsübersicht
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.