Hintergrund

Envestnet, Inc. ist ein börsennotiertes Fintech-Unternehmen mit einem Vermögen von 5,3 Billionen US-Dollar und mehr als 18,5 Millionen Anlegerkonten. Envestnet hat es sich zur Aufgabe gemacht, Berater und Finanzdienstleister mit innovativer Technologie, Lösungen und Intelligenz auszustatten, um Financial Wellness für jedermann Wirklichkeit werden zu lassen. Envestnet hat sich mit seiner Flaggschiff-Beratungsplattform, die die von Finanzberatern in der Vermögensverwaltung weltweit genutzten Dienstleistungen und Software integriert, als einer der Marktführer im Bereich der Vermögensverwaltungstechnologie etabliert.

Die Verpflichtung von Envestnet zu Best Practices im Datenmanagement umfasst die kontinuierliche Überwachung der Vermögensverwaltungsplattform durch laufende risikobasierte Compliance-Maßnahmen, mit denen Compliance-Probleme oder potenzielle Ausfälle schnell erkannt und behoben werden können. Envestnet ist führend beim Schutz der Kundendaten, indem es bei der Erbringung seiner Dienstleistungen erstklassige Sicherheitsmaßnahmen ergreift.

Erfahren Sie, wie Derek Fisher, Leiter der Abteilung für Produktsicherheit bei Envestnet und Autor von "The Application Security Handbook", in Zusammenarbeit mit Secure Code Warrior einen ganzheitlichen Ansatz entwickelt hat, um Schwachstellen durch agiles Secure Code Enablement für seine Entwicklerteams zu reduzieren. Derek arbeitet seit über einem Jahrzehnt im Bereich der Anwendungssicherheit, wo er zahlreiche Sicherheitserfolge und -misserfolge aus erster Hand miterlebt hat, und bringt seine einzigartige Expertise in die Entwicklung einer sicheren Code-Lernumgebung für Entwickler bei Envestnet ein.

Situation

Als Derek seine Stelle im Bereich Anwendungssicherheit antrat, wollte er über die OWASP-Top-Ten und die grundlegende Schulung zur Einhaltung von Vorschriften hinausgehen. Es gab zwar einige Secure SDLC-Prozesse, aber sie konzentrierten sich weitgehend auf das Auffinden von Schwachstellen und nicht unbedingt auf deren Beseitigung an der Quelle.

Derek meint : "Wir alle kennen die jährlichen Schulungen zur Einhaltung der Vorschriften, die wir in jeder Organisation absolvieren müssen. Normalerweise ist es das, was ich 'Tod durch Powerpoint' nenne, ein Haufen Folien und vielleicht eine assessment am Ende... wirklich ineffektiv und zeitraubend. Wir hatten Schulungen, aber es waren die üblichen Compliance-Schulungen mit einigen sicherheitsspezifischen Schulungen, die auf Folien/Audioaufnahmen basierten. Wir stellten fest, dass die Entwickler nicht sehr engagiert waren und nicht viel aus den Materialien lernten, also mussten wir unsere Strategie ändern."

Diese alte Strategie, Entwickler einfach durch passive, auf OWASP ausgerichtete Konformitätsschulungen zu schulen, war für Derek und sein Team besonders schmerzhaft, da sie die Wirkung der Schulungen nicht messen konnten und stattdessen immer mehr Zeit für das Schwachstellenmanagement aufwenden mussten.



Derek erkannte, dass es wichtig war, die Quelle der Schwachstellen zu untersuchen - unsicherer Code, der von den Entwicklern in die Produktion eingespeist wurde - und dass es keine Lösung sein würde, einfach nur mehr Tools einzusetzen.

Stattdessen konzentrierten sich Derek und sein Team im Jahr 2020 auf die Behebung von Schwachstellen mit dem Ziel, von Anfang an einen sichereren Code zu schreiben. Derek und sein Team wählten eine "Shift Left"-Strategie, um Schwachstellen viel früher im SDLC anzugehen und zu beheben, wenn die Kosten für die Behebung deutlich geringer sind.

Zunächst musste jedoch die historisch niedrige Beteiligung der Entwickler am bestehenden App Sectraining behoben werden. Er wollte vermeiden, dass seine Lernstrategie für sicheren Code nur eine "Checkbox"-Mentalität beinhaltet, und den Entwicklern bei Envestnet eine effektivere, agilere Lernerfahrung für sicheren Code bieten.

"Als ich SCW und seine Möglichkeiten sah, wusste ich, dass ein praxisorientierterer, interaktiverer Ansatz das Richtige für uns war. Ich wollte, dass die Ingenieure und Entwickler aus dieser Schulung mit mehr praktischem Wissen über die tatsächlichen Probleme herausgehen. Wir wollten das Muskelgedächtnis aufbauen: "Das hier habe ich schon einmal in einer Schulung gesehen, ich weiß, wie ich dieses Programmierproblem angehen muss. Die Plattform Secure Code Warrior hat es uns ermöglicht, diese Art von Umgebung zu schaffen, in der Ingenieure und Entwickler wirklich verstehen können, was gute und schlechte Codierungspraktiken sind und wie man Schwachstellen schnell behebt."

Derek Fisher, Leiter der Abteilung Produktsicherheit bei Envestnet

Aktion

Derek war besonders daran interessiert, eine Gürtelstrategie zu implementieren, die das Erlernen von sicherem Code mit Zertifizierungen belohnt. Das vierstufige Programm sollte sich auf den Aufbau eines soliden Sicherheitsbewusstseins konzentrieren (Stufen 1 und 2) und Entwicklern dann den Weg zu Sicherheits-Champions ebnen (Stufen 3 und 4). Dies löste das Problem, dass nicht gemessen werden konnte, wie gut die Entwickler die Konzepte des sicheren Codes beherrschten, und stellte gleichzeitig sicher, dass sicherheitsbewusste Entwickler einen Karrierepfad hatten, um ihre Fähigkeiten bei komplexeren Sicherheitsherausforderungen zu verbessern.

Sie testeten es in einem kleinen Pilotprojekt und baten die beteiligten Entwickler um Feedback. Das Feedback war äußerst positiv. Derek merkte an,

"Ich kann gar nicht oft genug betonen, dass es ungewöhnlich ist, wenn man positive Rückmeldungen zu einer Schulung erhält. Das ist ein guter Indikator dafür, dass dies das richtige Instrument ist."

Envestnet veranstaltete seine erste tournament im Frühjahr 2021 und verzeichnete mehr positive Ergebnisse aus Sicht der Entwickler. Derek startete dann eine Reihe von courses , die in ihr LMS für DB-, Frontend-, API- und Cloud-Entwickler integriert waren. Als Envestnet im Herbst 2021 seine zweite tournament veranstaltete, hatte sich die Gesamtzahl der teilnehmenden Entwickler verdoppelt.

Laut Derek hat Envestnet mit tournaments große Erfolge erzielt, weil,

"Wir alle wissen, dass Wettbewerb eine Motivation ist. Wir alle wollen sicherstellen, dass unsere Kollegen erkennen, wie gut wir in bestimmten Dingen sind, und das motiviert die Leute wirklich, sich zu beteiligen und in diesen tournaments gut abzuschneiden. Das und die Integration mit unseren Entwicklungswerkzeugen haben uns den Wert von Secure Code Warrior gezeigt."

Derek und das Team arbeiteten auch an der Integration von Secure Code Warrior mit Jira, so dass die Entwickler bei wiederholtem Auftreten bestimmter Schwachstellen direkt in ihrem Jira-Ticket sofort Hinweise zur Behebung abrufen konnten, ohne die vertraute Umgebung verlassen zu müssen. Auf diese Weise erhielten die Entwickler nicht nur wertvolle Informationen, sondern auch sofortige und bedarfsgerechte Hinweise zur Behebung der Schwachstelle, und zwar genau dort, wo sie benötigt wurden und wo sie sich auswirkten. Dereks Team arbeitete auch mit Secure Code Warrior zusammen, um eine Veranstaltung zum Sicherheitstag zu sponsern, die zu einer breiteren Unterstützung durch den CEO führte und die Bedeutung von Technik und Sicherheit für den Erfolg von Envestnet unterstrich. Mit dieser Art von Unterstützung durch Führungskräfte und Entwickler war Envestnet in der Lage, sein Programm zu dem auszubauen, was es heute ist. Inzwischen hat Envestnet alle identifizierten Security Champions in das Programm aufgenommen, und 60 % des gesamten Teams haben die Zertifizierung nach Level 1 oder 2 abgeschlossen.

Ergebnisse

Eine Möglichkeit, den Erfolg von Envestnet zu messen, bestand darin, die Teams zu untersuchen, die an der SCW-Lernerfahrung teilgenommen hatten, und zu messen, ob sie weniger Sicherheitslücken produzierten und/oder Sicherheitslücken schneller behoben. Die Ergebnisse waren beeindruckend:

• Entwickler mit SCW-Ausbildung beheben 2,7-mal mehr Sicherheitslücken als ihre Kollegen
• 100 SCW-geschulte Entwickler haben in kurzer Zeit 450 Schwachstellen behoben
• 1.200 vom SCW ausgebildete Entwickler ermöglichten Envestnet eine Steigerung der Abhilfemaßnahmen um 120 % in ihrer jeweiligen Warteschlange
• In einem Jahr haben Entwickler mit SCW-Ausbildung in zwei Produktlinien 4,5 Probleme mit Sicherheitslücken pro Entwickler geschlossen, im Vergleich zu ihren Kollegen, die nur 1,82 Sicherheitslücken pro Entwickler geschlossen haben.
• Alle Security Champions haben das Zertifizierungsprogramm im Jahr 2022 durchlaufen.
• 60 % (Tendenz steigend) der sicherheitsbewussten Entwickler haben die Stufen 1 und 2 durchlaufen.


Wichtigste Erkenntnisse

Derek gibt denjenigen, die mit dem Erlernen von sicherem Code beginnen, folgende Ratschläge:

"Unsere Aufgabe im Sicherheitsbereich ist es, das Risiko im Unternehmen zu verringern. Das ist unser wahrer Norden und das ist es, wonach wir immer streben. Eine kritische Schwachstelle muss nicht unbedingt das höchste Risiko oder die größte Auswirkung auf Ihr Unternehmen sein. Es kann sich um mehrere mittlere, niedrige und hohe Schwachstellen handeln, die zusammen eine Kette bilden, die weitaus größere Auswirkungen hat. Je mehr Schwachstellen sich im Laufe der Zeit anhäufen, desto größer ist das Risiko, das Sie eingehen. Mit Secure Code Warrior können Sie einen Schritt voraus sein und einen proaktiven Ansatz verfolgen, um diese potenzielle Kette von Schwachstellen durch agiles sicheres Code-Lernen zu entschärfen."

• Konzentrieren Sie sich nicht nur auf das Testen von Schwachstellen und das Erstellen von Berichten darüber - dies führt nur dazu, dass Ihre Entwickler nicht mehr wissen, was sie tun sollen.
• Stattdessen sollte AppSec ein Partner für die Entwickler sein und sicherstellen, dass Sie deren Zustimmung haben, bevor Sie eine Strategie für sicheres Codelernen implementieren.
• Rom wurde nicht an einem Tag erbaut. Ihr Programm muss sich weiterentwickeln, wenn sich Ihr Risikoprofil ändert, Ihr Unternehmen sich ändert und sich Ihre Technologie und Tools ändern
• Die wirksamste langfristige Strategie besteht darin, den Sicherheits-IQ der Menschen in Ihrem Umfeld zu erhöhen, um die Gesamtzahl der entstehenden Schwachstellen zu verringern.