Ist Ihre Organisation wirklich DevSec-ready? Stellen Sie es auf den Prüfstand.
Wir haben kaum die Hälfte des Jahres 2020 hinter uns, und doch sind wir bereits auf dem besten Weg, einen düsteren Datensicherheitsrekord aufzustellen, da die Zahl der gestohlenen Daten im Vergleich zum ersten Halbjahr 2019 um 273 % gestiegen ist. Heutzutage ist es genauer zu fragen, wie viele Daten noch nicht gestohlen worden sind. Angesichts von Weltereignissen wie der COVID-19-Pandemie haben diese Angriffe nur an Häufigkeit und Stärke zugenommen, mit immer anfälligeren Zielen.
Das ist etwas, das wir alle schon seit einer Weile wissen: Sicherheit ist nicht mehr optional, und unser Fokus muss ein Präventivschlag sein. Damit das effektiv ist, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. Dies ist der "DevSec"-Teil von DevSecOps, einer idealen Softwareentwicklungsmethodik für das Klima, aber viele Organisationen sind nicht vollständig darauf vorbereitet, dies effektiv auszuführen.
Denken Sie mit Blick auf Ihr Unternehmen über diese Fragen im Kontext Ihrer Rolle nach. Wie würde sie im DevSec-Test abschneiden?
DevSec Self-Assessment: Ist Ihr SDLC-Garten bereit, sicherheitsbewusste Ingenieure zum Blühen zu bringen?
- Steht die Sicherheit im internen Entwicklungsprozess an erster Stelle?
Eine Reihe von Cybersecurity-Risikofaktoren hält den durchschnittlichen CISO vielleicht nachts wach, aber die beunruhigende Realität ist, dass viele Unternehmen der Sicherheit zwar eine höhere Priorität einräumen, ihr interner Ansatz aber möglicherweise nicht robust genug ist, um eine potenzielle Katastrophe zu verhindern (oder zumindest massive Kopfschmerzen für das AppSec-Team und eine verzögerte Auslieferung der Software).
DevSecOps mag der aktuelle Stand des Sicherheits-Nirwana sein, aber nur wenige Unternehmen arbeiten mit dieser Methodik. Wenn Sie noch in Agile - oder sogar Waterfall - arbeiten, dann wird Sicherheit oft noch als Domäne von Spezialisten betrachtet, die weit vom Prozess entfernt sind und erst spät im SDLC aktiviert werden, um den Tag eines Entwicklers mit Hotfixes für seinen Code zu ruinieren. In einer solchen Umgebung wird es schwierig sein, eine DevSec-Kultur zu fördern: Entwickler lieben und priorisieren die Entwicklung von Funktionen und haben einfach nicht genug praktische Erfahrung mit Sicherheit, um sie als wünschenswerten Weg der Weiterbildung zu sehen. Tatsächlich sind ihre Berührungspunkte mit diesem Thema oft frustrierend und negativ. Hier muss schnell Abhilfe geschaffen werden, damit das Thema für alle am Softwareentwicklungsprozess Beteiligten in den Vordergrund rückt. - Spielt Ihr Unternehmen bei der Bedrohungsmodellierung immer noch Nachholbedarf?
Es ist eine ernüchternde Statistik, dass 60 % der KMUs innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff den Betrieb einstellen, und ähnlich wie bei anderen Katastrophen sind die Auswirkungen ohne angemessene Planung weitaus größer.
Die Bedrohungsmodellierung ist ein entscheidendes Element der Best Practices für die Sicherheit, das es AppSec-Experten ermöglicht, den vollen Umfang der Angriffsfläche zu bewerten und entsprechende Abwehrmaßnahmen, Gegenmaßnahmen und Planungen zu strukturieren. In Unternehmen, die DevSecOps vollständig umgesetzt haben, wird die Sicherheit schon früh in der CI/CD-Pipeline aktiviert, so dass die Produktion nicht so stark verlangsamt wird, wie es in der Vergangenheit der Fall war. Sicherheit, sichere Kodierung und kontinuierliche Bereitstellung sind Teil des Prozesses, und die Entwicklungsteams erhalten die erforderlichen Ressourcen und das nötige Engagement, um wichtige Komponenten der Maschine zu sein, die luftdichten Code ausspuckt. - Setzen Entwicklungsleiter Best Practices für die Sicherheit in den Vordergrund?
Ob sie es mögen oder nicht, Entwicklungsleiter sind Vorbilder für ihr Team. Und das gilt nicht nur für die Kultur und die Stimmung, wie z.B. das Tragen von Flip-Flops im Büro oder wie sie "nach oben managen". Ihre Arbeitsprioritäten werden unweigerlich von ihren Teammitgliedern übernommen, und wenn Sicherheit nicht zu den Hauptzielen gehört oder in Form von Schulungen und Support eingeplant ist, dann kommen die Ingenieure unter ihnen zu kurz, und das Unternehmen ist mehr gefährdet, als es sein sollte. - Wird Entwicklern ein Grund gegeben, sich um Sicherheit zu kümmern?
Meiner Erfahrung nach ist der schnellste Weg, jemanden ins Abseits zu stellen, wenn man ihm sagt, dass er etwas tun muss, das seinem bisherigen Ansatz fremd ist, ohne ihm zu sagen, warum.
Wenn man ihm sagt, er solle sich "ändern", impliziert das, dass der bisherige Ansatz falsch war, während es in vielen Fällen einfach eine Verbesserung ist, die die Dinge später hoffentlich einfacher und effizienter macht. Um die DevSec-Bewegung wirklich anzunehmen, muss man den Entwicklern einen Grund geben, sich überhaupt um die Sicherheit zu kümmern - schließlich ist es in den meisten Unternehmen immer noch "das Problem von jemand anderem" (d.h. die AppSec-Assistenten, die in einem anderen Raum weit, weit weg eingeschlossen sind).
DevSecOps funktioniert einfach nicht, wenn die Sicherheit nicht eine gemeinsame Verantwortung ist. Entwickler brauchen die richtigen Tools, den richtigen Support und das richtige Training, um ihren Teil dazu beizutragen ... und das braucht Zeit, um als Teil eines umfassenden Sicherheitsprogramms ausgerollt und perfektioniert zu werden. Der schlechteste Ansatz ist der, der überfordert und entfremdet, was der Fall sein kann, wenn Entwickler zu viele konkurrierende Prioritäten haben und keine Hilfe, um sie zu verwalten, ohne sich selbst verrückt zu machen. Das ist ein Kulturwandel, und der geht nicht über Nacht. - Verlassen Sie sich auf eine Handvoll magischer Sicherheitseinhörner, die die Aufgabe von vielen übernehmen?
Sicherheitsexperten sind sehr knapp, und wir brauchen weit mehr, als derzeit verfügbar sind. Das ist eine Selbstverständlichkeit, aber es gibt eine wachsende Zahl von Entwicklern, die in sicherheitsorientierte Rollen wechseln. Typischerweise werden sie unter Titeln wie "Sicherheitsingenieur" oder "DevOps-Ingenieur" geführt (mit etwas Glück werden wir sehen, wie sich dieser Titel langsam in DevSecOps-Ingenieur verwandelt!) Ein DevOps-Ingenieur ist in der Lage, Funktionen für praktisch jede Anwendung zu entwickeln und dabei eine echte CI/CD-Pipeline zu verwenden. Sie machen alles Ende-zu-Ende und bringen in der Regel ein gesundes Maß an Sicherheitsbewusstsein mit. In diesem Sinne sind sie irgendwie magisch, und deshalb selten.
Einige Unternehmen machen jedoch den Fehler, diese spezialisierten Ingenieure einzustellen, sie in ein Team zu stecken und zu erwarten, dass sie sich um alle Sicherheitsprobleme kümmern, und zwar in jeder Phase des Entwicklungsprozesses, und dass dies allein das Allheilmittel ist. Wenn Sie Ihre DevSecOps-Magier überfordern, enden Sie dort, wo Sie angefangen haben - bei der Auslieferung von unsicherem Code ohne die Kontrollen, Abgleiche und Sicherheitspräzision, für die sie in erster Linie eingestellt worden sind. Es ist von äußerster Wichtigkeit, dass das Entwicklungsteam im Allgemeinen gut ausgebildet ist und in einer positiven Sicherheitsumgebung gefördert wird, damit es in der Lage ist, die Last sinnvoll zu teilen.
Finden Sie die Veränderung, die Sie in Ihrer Organisation sehen wollen.
Wenn Sie robuste Schulungen als Teil Ihres Sicherheitsprogramms implementieren, werden Sie einige versteckte Perlen in Ihrer Entwicklungskohorte aufdecken. Das sind die Leute, die trotz aller negativen Erfahrungen, die sie in ihrem Arbeitsalltag gemacht haben, eine gewisse Leidenschaft für sicheres Coding und Security Best Practices haben. Diese Leute sind erstklassige Kandidaten für Sicherheits-Champions innerhalb des Teams; eine Kontaktstelle zwischen Sicherheit und Technik, die ein großes Vorbild für andere ist, das Bewusstsein hoch hält und bei Engagement-Initiativen hilft. Ihre zwischenmenschlichen Fähigkeiten sind auch sehr wichtig, um die Freude an der Sicherheit weit und breit zu verbreiten und sich für die Bedürfnisse der Entwickler gegenüber dem Management und dem Sicherheitsteam einzusetzen.
Das "Was ist für mich drin?"-Gespräch ist ein positiver Schritt nach vorne.
Selbst die edelsten Menschen brauchen so etwas wie ein "Zuckerbrot", um den Zeh in unbekanntes Terrain zu stecken oder in eine Tätigkeit, die vielleicht nicht die angenehmste Lernkurve hat.
Den Sprung von "Dev" zu "DevSec" zu machen, ist ein großartiger Schub für die Karriere eines Entwicklers. Sicherheitsbewusste Entwickler haben hart daran gearbeitet, Sicherheit zu verstehen, Verantwortung dafür in den Bereichen zu übernehmen, die sie kontrollieren können, und mit dem Verständnis zu arbeiten, dass der einzige Qualitätscode sicherer Code ist. Im Allgemeinen wollen sich Entwickler verbessern, neue Probleme angehen und beneidenswerte Funktionen erstellen, die ihnen helfen, sich von ihren Kollegen abzuheben. Geben Sie ihnen einen Weg, ein höheres Niveau der Softwareentwicklung zu erreichen, und es ist eine Win-Win-Situation.
Es ist nie zu spät, Ihr DevSec Dream Team aufzubauen.
Wenn Sie Entwickler verwalten, ein AppSec Awareness-Team leiten oder einer der vielen Köpfe sind, die hart daran arbeiten, Strategien für Sicherheitsprogramme zu entwerfen, ist es jetzt an der Zeit, einen Schritt weiter zu gehen als nur nach links zu gehen. Mit dem richtigen Training, den richtigen Tools und der richtigen Umgebung können Sie einen Sicherheitsinkubator für Entwickler schaffen, der sich für alle Beteiligten auszahlt. Wenn diese Checkliste einige verbesserungswürdige Bereiche aufgezeigt hat, dann haben Sie eine großartige Gelegenheit, Ihr Unternehmen auf eine DevSec-geführte Entwicklungsabteilung vorzubereiten, die das Risiko von Beginn des SDLC an reduzieren kann.
Denken Sie mit Blick auf Ihr Unternehmen über diese Fragen im Kontext Ihrer Rolle nach. Wie würde sie im DevSec-Test abschneiden?
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Wir haben kaum die Hälfte des Jahres 2020 hinter uns, und doch sind wir bereits auf dem besten Weg, einen düsteren Datensicherheitsrekord aufzustellen, da die Zahl der gestohlenen Daten im Vergleich zum ersten Halbjahr 2019 um 273 % gestiegen ist. Heutzutage ist es genauer zu fragen, wie viele Daten noch nicht gestohlen worden sind. Angesichts von Weltereignissen wie der COVID-19-Pandemie haben diese Angriffe nur an Häufigkeit und Stärke zugenommen, mit immer anfälligeren Zielen.
Das ist etwas, das wir alle schon seit einer Weile wissen: Sicherheit ist nicht mehr optional, und unser Fokus muss ein Präventivschlag sein. Damit das effektiv ist, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. Dies ist der "DevSec"-Teil von DevSecOps, einer idealen Softwareentwicklungsmethodik für das Klima, aber viele Organisationen sind nicht vollständig darauf vorbereitet, dies effektiv auszuführen.
Denken Sie mit Blick auf Ihr Unternehmen über diese Fragen im Kontext Ihrer Rolle nach. Wie würde sie im DevSec-Test abschneiden?
DevSec Self-Assessment: Ist Ihr SDLC-Garten bereit, sicherheitsbewusste Ingenieure zum Blühen zu bringen?
- Steht die Sicherheit im internen Entwicklungsprozess an erster Stelle?
Eine Reihe von Cybersecurity-Risikofaktoren hält den durchschnittlichen CISO vielleicht nachts wach, aber die beunruhigende Realität ist, dass viele Unternehmen der Sicherheit zwar eine höhere Priorität einräumen, ihr interner Ansatz aber möglicherweise nicht robust genug ist, um eine potenzielle Katastrophe zu verhindern (oder zumindest massive Kopfschmerzen für das AppSec-Team und eine verzögerte Auslieferung der Software).
DevSecOps mag der aktuelle Stand des Sicherheits-Nirwana sein, aber nur wenige Unternehmen arbeiten mit dieser Methodik. Wenn Sie noch in Agile - oder sogar Waterfall - arbeiten, dann wird Sicherheit oft noch als Domäne von Spezialisten betrachtet, die weit vom Prozess entfernt sind und erst spät im SDLC aktiviert werden, um den Tag eines Entwicklers mit Hotfixes für seinen Code zu ruinieren. In einer solchen Umgebung wird es schwierig sein, eine DevSec-Kultur zu fördern: Entwickler lieben und priorisieren die Entwicklung von Funktionen und haben einfach nicht genug praktische Erfahrung mit Sicherheit, um sie als wünschenswerten Weg der Weiterbildung zu sehen. Tatsächlich sind ihre Berührungspunkte mit diesem Thema oft frustrierend und negativ. Hier muss schnell Abhilfe geschaffen werden, damit das Thema für alle am Softwareentwicklungsprozess Beteiligten in den Vordergrund rückt. - Spielt Ihr Unternehmen bei der Bedrohungsmodellierung immer noch Nachholbedarf?
Es ist eine ernüchternde Statistik, dass 60 % der KMUs innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff den Betrieb einstellen, und ähnlich wie bei anderen Katastrophen sind die Auswirkungen ohne angemessene Planung weitaus größer.
Die Bedrohungsmodellierung ist ein entscheidendes Element der Best Practices für die Sicherheit, das es AppSec-Experten ermöglicht, den vollen Umfang der Angriffsfläche zu bewerten und entsprechende Abwehrmaßnahmen, Gegenmaßnahmen und Planungen zu strukturieren. In Unternehmen, die DevSecOps vollständig umgesetzt haben, wird die Sicherheit schon früh in der CI/CD-Pipeline aktiviert, so dass die Produktion nicht so stark verlangsamt wird, wie es in der Vergangenheit der Fall war. Sicherheit, sichere Kodierung und kontinuierliche Bereitstellung sind Teil des Prozesses, und die Entwicklungsteams erhalten die erforderlichen Ressourcen und das nötige Engagement, um wichtige Komponenten der Maschine zu sein, die luftdichten Code ausspuckt. - Setzen Entwicklungsleiter Best Practices für die Sicherheit in den Vordergrund?
Ob sie es mögen oder nicht, Entwicklungsleiter sind Vorbilder für ihr Team. Und das gilt nicht nur für die Kultur und die Stimmung, wie z.B. das Tragen von Flip-Flops im Büro oder wie sie "nach oben managen". Ihre Arbeitsprioritäten werden unweigerlich von ihren Teammitgliedern übernommen, und wenn Sicherheit nicht zu den Hauptzielen gehört oder in Form von Schulungen und Support eingeplant ist, dann kommen die Ingenieure unter ihnen zu kurz, und das Unternehmen ist mehr gefährdet, als es sein sollte. - Wird Entwicklern ein Grund gegeben, sich um Sicherheit zu kümmern?
Meiner Erfahrung nach ist der schnellste Weg, jemanden ins Abseits zu stellen, wenn man ihm sagt, dass er etwas tun muss, das seinem bisherigen Ansatz fremd ist, ohne ihm zu sagen, warum.
Wenn man ihm sagt, er solle sich "ändern", impliziert das, dass der bisherige Ansatz falsch war, während es in vielen Fällen einfach eine Verbesserung ist, die die Dinge später hoffentlich einfacher und effizienter macht. Um die DevSec-Bewegung wirklich anzunehmen, muss man den Entwicklern einen Grund geben, sich überhaupt um die Sicherheit zu kümmern - schließlich ist es in den meisten Unternehmen immer noch "das Problem von jemand anderem" (d.h. die AppSec-Assistenten, die in einem anderen Raum weit, weit weg eingeschlossen sind).
DevSecOps funktioniert einfach nicht, wenn die Sicherheit nicht eine gemeinsame Verantwortung ist. Entwickler brauchen die richtigen Tools, den richtigen Support und das richtige Training, um ihren Teil dazu beizutragen ... und das braucht Zeit, um als Teil eines umfassenden Sicherheitsprogramms ausgerollt und perfektioniert zu werden. Der schlechteste Ansatz ist der, der überfordert und entfremdet, was der Fall sein kann, wenn Entwickler zu viele konkurrierende Prioritäten haben und keine Hilfe, um sie zu verwalten, ohne sich selbst verrückt zu machen. Das ist ein Kulturwandel, und der geht nicht über Nacht. - Verlassen Sie sich auf eine Handvoll magischer Sicherheitseinhörner, die die Aufgabe von vielen übernehmen?
Sicherheitsexperten sind sehr knapp, und wir brauchen weit mehr, als derzeit verfügbar sind. Das ist eine Selbstverständlichkeit, aber es gibt eine wachsende Zahl von Entwicklern, die in sicherheitsorientierte Rollen wechseln. Typischerweise werden sie unter Titeln wie "Sicherheitsingenieur" oder "DevOps-Ingenieur" geführt (mit etwas Glück werden wir sehen, wie sich dieser Titel langsam in DevSecOps-Ingenieur verwandelt!) Ein DevOps-Ingenieur ist in der Lage, Funktionen für praktisch jede Anwendung zu entwickeln und dabei eine echte CI/CD-Pipeline zu verwenden. Sie machen alles Ende-zu-Ende und bringen in der Regel ein gesundes Maß an Sicherheitsbewusstsein mit. In diesem Sinne sind sie irgendwie magisch, und deshalb selten.
Einige Unternehmen machen jedoch den Fehler, diese spezialisierten Ingenieure einzustellen, sie in ein Team zu stecken und zu erwarten, dass sie sich um alle Sicherheitsprobleme kümmern, und zwar in jeder Phase des Entwicklungsprozesses, und dass dies allein das Allheilmittel ist. Wenn Sie Ihre DevSecOps-Magier überfordern, enden Sie dort, wo Sie angefangen haben - bei der Auslieferung von unsicherem Code ohne die Kontrollen, Abgleiche und Sicherheitspräzision, für die sie in erster Linie eingestellt worden sind. Es ist von äußerster Wichtigkeit, dass das Entwicklungsteam im Allgemeinen gut ausgebildet ist und in einer positiven Sicherheitsumgebung gefördert wird, damit es in der Lage ist, die Last sinnvoll zu teilen.
Finden Sie die Veränderung, die Sie in Ihrer Organisation sehen wollen.
Wenn Sie robuste Schulungen als Teil Ihres Sicherheitsprogramms implementieren, werden Sie einige versteckte Perlen in Ihrer Entwicklungskohorte aufdecken. Das sind die Leute, die trotz aller negativen Erfahrungen, die sie in ihrem Arbeitsalltag gemacht haben, eine gewisse Leidenschaft für sicheres Coding und Security Best Practices haben. Diese Leute sind erstklassige Kandidaten für Sicherheits-Champions innerhalb des Teams; eine Kontaktstelle zwischen Sicherheit und Technik, die ein großes Vorbild für andere ist, das Bewusstsein hoch hält und bei Engagement-Initiativen hilft. Ihre zwischenmenschlichen Fähigkeiten sind auch sehr wichtig, um die Freude an der Sicherheit weit und breit zu verbreiten und sich für die Bedürfnisse der Entwickler gegenüber dem Management und dem Sicherheitsteam einzusetzen.
Das "Was ist für mich drin?"-Gespräch ist ein positiver Schritt nach vorne.
Selbst die edelsten Menschen brauchen so etwas wie ein "Zuckerbrot", um den Zeh in unbekanntes Terrain zu stecken oder in eine Tätigkeit, die vielleicht nicht die angenehmste Lernkurve hat.
Den Sprung von "Dev" zu "DevSec" zu machen, ist ein großartiger Schub für die Karriere eines Entwicklers. Sicherheitsbewusste Entwickler haben hart daran gearbeitet, Sicherheit zu verstehen, Verantwortung dafür in den Bereichen zu übernehmen, die sie kontrollieren können, und mit dem Verständnis zu arbeiten, dass der einzige Qualitätscode sicherer Code ist. Im Allgemeinen wollen sich Entwickler verbessern, neue Probleme angehen und beneidenswerte Funktionen erstellen, die ihnen helfen, sich von ihren Kollegen abzuheben. Geben Sie ihnen einen Weg, ein höheres Niveau der Softwareentwicklung zu erreichen, und es ist eine Win-Win-Situation.
Es ist nie zu spät, Ihr DevSec Dream Team aufzubauen.
Wenn Sie Entwickler verwalten, ein AppSec Awareness-Team leiten oder einer der vielen Köpfe sind, die hart daran arbeiten, Strategien für Sicherheitsprogramme zu entwerfen, ist es jetzt an der Zeit, einen Schritt weiter zu gehen als nur nach links zu gehen. Mit dem richtigen Training, den richtigen Tools und der richtigen Umgebung können Sie einen Sicherheitsinkubator für Entwickler schaffen, der sich für alle Beteiligten auszahlt. Wenn diese Checkliste einige verbesserungswürdige Bereiche aufgezeigt hat, dann haben Sie eine großartige Gelegenheit, Ihr Unternehmen auf eine DevSec-geführte Entwicklungsabteilung vorzubereiten, die das Risiko von Beginn des SDLC an reduzieren kann.
Wir haben kaum die Hälfte des Jahres 2020 hinter uns, und doch sind wir bereits auf dem besten Weg, einen düsteren Datensicherheitsrekord aufzustellen, da die Zahl der gestohlenen Daten im Vergleich zum ersten Halbjahr 2019 um 273 % gestiegen ist. Heutzutage ist es genauer zu fragen, wie viele Daten noch nicht gestohlen worden sind. Angesichts von Weltereignissen wie der COVID-19-Pandemie haben diese Angriffe nur an Häufigkeit und Stärke zugenommen, mit immer anfälligeren Zielen.
Das ist etwas, das wir alle schon seit einer Weile wissen: Sicherheit ist nicht mehr optional, und unser Fokus muss ein Präventivschlag sein. Damit das effektiv ist, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. Dies ist der "DevSec"-Teil von DevSecOps, einer idealen Softwareentwicklungsmethodik für das Klima, aber viele Organisationen sind nicht vollständig darauf vorbereitet, dies effektiv auszuführen.
Denken Sie mit Blick auf Ihr Unternehmen über diese Fragen im Kontext Ihrer Rolle nach. Wie würde sie im DevSec-Test abschneiden?
DevSec Self-Assessment: Ist Ihr SDLC-Garten bereit, sicherheitsbewusste Ingenieure zum Blühen zu bringen?
- Steht die Sicherheit im internen Entwicklungsprozess an erster Stelle?
Eine Reihe von Cybersecurity-Risikofaktoren hält den durchschnittlichen CISO vielleicht nachts wach, aber die beunruhigende Realität ist, dass viele Unternehmen der Sicherheit zwar eine höhere Priorität einräumen, ihr interner Ansatz aber möglicherweise nicht robust genug ist, um eine potenzielle Katastrophe zu verhindern (oder zumindest massive Kopfschmerzen für das AppSec-Team und eine verzögerte Auslieferung der Software).
DevSecOps mag der aktuelle Stand des Sicherheits-Nirwana sein, aber nur wenige Unternehmen arbeiten mit dieser Methodik. Wenn Sie noch in Agile - oder sogar Waterfall - arbeiten, dann wird Sicherheit oft noch als Domäne von Spezialisten betrachtet, die weit vom Prozess entfernt sind und erst spät im SDLC aktiviert werden, um den Tag eines Entwicklers mit Hotfixes für seinen Code zu ruinieren. In einer solchen Umgebung wird es schwierig sein, eine DevSec-Kultur zu fördern: Entwickler lieben und priorisieren die Entwicklung von Funktionen und haben einfach nicht genug praktische Erfahrung mit Sicherheit, um sie als wünschenswerten Weg der Weiterbildung zu sehen. Tatsächlich sind ihre Berührungspunkte mit diesem Thema oft frustrierend und negativ. Hier muss schnell Abhilfe geschaffen werden, damit das Thema für alle am Softwareentwicklungsprozess Beteiligten in den Vordergrund rückt. - Spielt Ihr Unternehmen bei der Bedrohungsmodellierung immer noch Nachholbedarf?
Es ist eine ernüchternde Statistik, dass 60 % der KMUs innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff den Betrieb einstellen, und ähnlich wie bei anderen Katastrophen sind die Auswirkungen ohne angemessene Planung weitaus größer.
Die Bedrohungsmodellierung ist ein entscheidendes Element der Best Practices für die Sicherheit, das es AppSec-Experten ermöglicht, den vollen Umfang der Angriffsfläche zu bewerten und entsprechende Abwehrmaßnahmen, Gegenmaßnahmen und Planungen zu strukturieren. In Unternehmen, die DevSecOps vollständig umgesetzt haben, wird die Sicherheit schon früh in der CI/CD-Pipeline aktiviert, so dass die Produktion nicht so stark verlangsamt wird, wie es in der Vergangenheit der Fall war. Sicherheit, sichere Kodierung und kontinuierliche Bereitstellung sind Teil des Prozesses, und die Entwicklungsteams erhalten die erforderlichen Ressourcen und das nötige Engagement, um wichtige Komponenten der Maschine zu sein, die luftdichten Code ausspuckt. - Setzen Entwicklungsleiter Best Practices für die Sicherheit in den Vordergrund?
Ob sie es mögen oder nicht, Entwicklungsleiter sind Vorbilder für ihr Team. Und das gilt nicht nur für die Kultur und die Stimmung, wie z.B. das Tragen von Flip-Flops im Büro oder wie sie "nach oben managen". Ihre Arbeitsprioritäten werden unweigerlich von ihren Teammitgliedern übernommen, und wenn Sicherheit nicht zu den Hauptzielen gehört oder in Form von Schulungen und Support eingeplant ist, dann kommen die Ingenieure unter ihnen zu kurz, und das Unternehmen ist mehr gefährdet, als es sein sollte. - Wird Entwicklern ein Grund gegeben, sich um Sicherheit zu kümmern?
Meiner Erfahrung nach ist der schnellste Weg, jemanden ins Abseits zu stellen, wenn man ihm sagt, dass er etwas tun muss, das seinem bisherigen Ansatz fremd ist, ohne ihm zu sagen, warum.
Wenn man ihm sagt, er solle sich "ändern", impliziert das, dass der bisherige Ansatz falsch war, während es in vielen Fällen einfach eine Verbesserung ist, die die Dinge später hoffentlich einfacher und effizienter macht. Um die DevSec-Bewegung wirklich anzunehmen, muss man den Entwicklern einen Grund geben, sich überhaupt um die Sicherheit zu kümmern - schließlich ist es in den meisten Unternehmen immer noch "das Problem von jemand anderem" (d.h. die AppSec-Assistenten, die in einem anderen Raum weit, weit weg eingeschlossen sind).
DevSecOps funktioniert einfach nicht, wenn die Sicherheit nicht eine gemeinsame Verantwortung ist. Entwickler brauchen die richtigen Tools, den richtigen Support und das richtige Training, um ihren Teil dazu beizutragen ... und das braucht Zeit, um als Teil eines umfassenden Sicherheitsprogramms ausgerollt und perfektioniert zu werden. Der schlechteste Ansatz ist der, der überfordert und entfremdet, was der Fall sein kann, wenn Entwickler zu viele konkurrierende Prioritäten haben und keine Hilfe, um sie zu verwalten, ohne sich selbst verrückt zu machen. Das ist ein Kulturwandel, und der geht nicht über Nacht. - Verlassen Sie sich auf eine Handvoll magischer Sicherheitseinhörner, die die Aufgabe von vielen übernehmen?
Sicherheitsexperten sind sehr knapp, und wir brauchen weit mehr, als derzeit verfügbar sind. Das ist eine Selbstverständlichkeit, aber es gibt eine wachsende Zahl von Entwicklern, die in sicherheitsorientierte Rollen wechseln. Typischerweise werden sie unter Titeln wie "Sicherheitsingenieur" oder "DevOps-Ingenieur" geführt (mit etwas Glück werden wir sehen, wie sich dieser Titel langsam in DevSecOps-Ingenieur verwandelt!) Ein DevOps-Ingenieur ist in der Lage, Funktionen für praktisch jede Anwendung zu entwickeln und dabei eine echte CI/CD-Pipeline zu verwenden. Sie machen alles Ende-zu-Ende und bringen in der Regel ein gesundes Maß an Sicherheitsbewusstsein mit. In diesem Sinne sind sie irgendwie magisch, und deshalb selten.
Einige Unternehmen machen jedoch den Fehler, diese spezialisierten Ingenieure einzustellen, sie in ein Team zu stecken und zu erwarten, dass sie sich um alle Sicherheitsprobleme kümmern, und zwar in jeder Phase des Entwicklungsprozesses, und dass dies allein das Allheilmittel ist. Wenn Sie Ihre DevSecOps-Magier überfordern, enden Sie dort, wo Sie angefangen haben - bei der Auslieferung von unsicherem Code ohne die Kontrollen, Abgleiche und Sicherheitspräzision, für die sie in erster Linie eingestellt worden sind. Es ist von äußerster Wichtigkeit, dass das Entwicklungsteam im Allgemeinen gut ausgebildet ist und in einer positiven Sicherheitsumgebung gefördert wird, damit es in der Lage ist, die Last sinnvoll zu teilen.
Finden Sie die Veränderung, die Sie in Ihrer Organisation sehen wollen.
Wenn Sie robuste Schulungen als Teil Ihres Sicherheitsprogramms implementieren, werden Sie einige versteckte Perlen in Ihrer Entwicklungskohorte aufdecken. Das sind die Leute, die trotz aller negativen Erfahrungen, die sie in ihrem Arbeitsalltag gemacht haben, eine gewisse Leidenschaft für sicheres Coding und Security Best Practices haben. Diese Leute sind erstklassige Kandidaten für Sicherheits-Champions innerhalb des Teams; eine Kontaktstelle zwischen Sicherheit und Technik, die ein großes Vorbild für andere ist, das Bewusstsein hoch hält und bei Engagement-Initiativen hilft. Ihre zwischenmenschlichen Fähigkeiten sind auch sehr wichtig, um die Freude an der Sicherheit weit und breit zu verbreiten und sich für die Bedürfnisse der Entwickler gegenüber dem Management und dem Sicherheitsteam einzusetzen.
Das "Was ist für mich drin?"-Gespräch ist ein positiver Schritt nach vorne.
Selbst die edelsten Menschen brauchen so etwas wie ein "Zuckerbrot", um den Zeh in unbekanntes Terrain zu stecken oder in eine Tätigkeit, die vielleicht nicht die angenehmste Lernkurve hat.
Den Sprung von "Dev" zu "DevSec" zu machen, ist ein großartiger Schub für die Karriere eines Entwicklers. Sicherheitsbewusste Entwickler haben hart daran gearbeitet, Sicherheit zu verstehen, Verantwortung dafür in den Bereichen zu übernehmen, die sie kontrollieren können, und mit dem Verständnis zu arbeiten, dass der einzige Qualitätscode sicherer Code ist. Im Allgemeinen wollen sich Entwickler verbessern, neue Probleme angehen und beneidenswerte Funktionen erstellen, die ihnen helfen, sich von ihren Kollegen abzuheben. Geben Sie ihnen einen Weg, ein höheres Niveau der Softwareentwicklung zu erreichen, und es ist eine Win-Win-Situation.
Es ist nie zu spät, Ihr DevSec Dream Team aufzubauen.
Wenn Sie Entwickler verwalten, ein AppSec Awareness-Team leiten oder einer der vielen Köpfe sind, die hart daran arbeiten, Strategien für Sicherheitsprogramme zu entwerfen, ist es jetzt an der Zeit, einen Schritt weiter zu gehen als nur nach links zu gehen. Mit dem richtigen Training, den richtigen Tools und der richtigen Umgebung können Sie einen Sicherheitsinkubator für Entwickler schaffen, der sich für alle Beteiligten auszahlt. Wenn diese Checkliste einige verbesserungswürdige Bereiche aufgezeigt hat, dann haben Sie eine großartige Gelegenheit, Ihr Unternehmen auf eine DevSec-geführte Entwicklungsabteilung vorzubereiten, die das Risiko von Beginn des SDLC an reduzieren kann.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Wir haben kaum die Hälfte des Jahres 2020 hinter uns, und doch sind wir bereits auf dem besten Weg, einen düsteren Datensicherheitsrekord aufzustellen, da die Zahl der gestohlenen Daten im Vergleich zum ersten Halbjahr 2019 um 273 % gestiegen ist. Heutzutage ist es genauer zu fragen, wie viele Daten noch nicht gestohlen worden sind. Angesichts von Weltereignissen wie der COVID-19-Pandemie haben diese Angriffe nur an Häufigkeit und Stärke zugenommen, mit immer anfälligeren Zielen.
Das ist etwas, das wir alle schon seit einer Weile wissen: Sicherheit ist nicht mehr optional, und unser Fokus muss ein Präventivschlag sein. Damit das effektiv ist, muss jeder im SDLC sicherheitsbewusst sein, insbesondere die Entwickler. Dies ist der "DevSec"-Teil von DevSecOps, einer idealen Softwareentwicklungsmethodik für das Klima, aber viele Organisationen sind nicht vollständig darauf vorbereitet, dies effektiv auszuführen.
Denken Sie mit Blick auf Ihr Unternehmen über diese Fragen im Kontext Ihrer Rolle nach. Wie würde sie im DevSec-Test abschneiden?
DevSec Self-Assessment: Ist Ihr SDLC-Garten bereit, sicherheitsbewusste Ingenieure zum Blühen zu bringen?
- Steht die Sicherheit im internen Entwicklungsprozess an erster Stelle?
Eine Reihe von Cybersecurity-Risikofaktoren hält den durchschnittlichen CISO vielleicht nachts wach, aber die beunruhigende Realität ist, dass viele Unternehmen der Sicherheit zwar eine höhere Priorität einräumen, ihr interner Ansatz aber möglicherweise nicht robust genug ist, um eine potenzielle Katastrophe zu verhindern (oder zumindest massive Kopfschmerzen für das AppSec-Team und eine verzögerte Auslieferung der Software).
DevSecOps mag der aktuelle Stand des Sicherheits-Nirwana sein, aber nur wenige Unternehmen arbeiten mit dieser Methodik. Wenn Sie noch in Agile - oder sogar Waterfall - arbeiten, dann wird Sicherheit oft noch als Domäne von Spezialisten betrachtet, die weit vom Prozess entfernt sind und erst spät im SDLC aktiviert werden, um den Tag eines Entwicklers mit Hotfixes für seinen Code zu ruinieren. In einer solchen Umgebung wird es schwierig sein, eine DevSec-Kultur zu fördern: Entwickler lieben und priorisieren die Entwicklung von Funktionen und haben einfach nicht genug praktische Erfahrung mit Sicherheit, um sie als wünschenswerten Weg der Weiterbildung zu sehen. Tatsächlich sind ihre Berührungspunkte mit diesem Thema oft frustrierend und negativ. Hier muss schnell Abhilfe geschaffen werden, damit das Thema für alle am Softwareentwicklungsprozess Beteiligten in den Vordergrund rückt. - Spielt Ihr Unternehmen bei der Bedrohungsmodellierung immer noch Nachholbedarf?
Es ist eine ernüchternde Statistik, dass 60 % der KMUs innerhalb von sechs Monaten nach einem erfolgreichen Cyberangriff den Betrieb einstellen, und ähnlich wie bei anderen Katastrophen sind die Auswirkungen ohne angemessene Planung weitaus größer.
Die Bedrohungsmodellierung ist ein entscheidendes Element der Best Practices für die Sicherheit, das es AppSec-Experten ermöglicht, den vollen Umfang der Angriffsfläche zu bewerten und entsprechende Abwehrmaßnahmen, Gegenmaßnahmen und Planungen zu strukturieren. In Unternehmen, die DevSecOps vollständig umgesetzt haben, wird die Sicherheit schon früh in der CI/CD-Pipeline aktiviert, so dass die Produktion nicht so stark verlangsamt wird, wie es in der Vergangenheit der Fall war. Sicherheit, sichere Kodierung und kontinuierliche Bereitstellung sind Teil des Prozesses, und die Entwicklungsteams erhalten die erforderlichen Ressourcen und das nötige Engagement, um wichtige Komponenten der Maschine zu sein, die luftdichten Code ausspuckt. - Setzen Entwicklungsleiter Best Practices für die Sicherheit in den Vordergrund?
Ob sie es mögen oder nicht, Entwicklungsleiter sind Vorbilder für ihr Team. Und das gilt nicht nur für die Kultur und die Stimmung, wie z.B. das Tragen von Flip-Flops im Büro oder wie sie "nach oben managen". Ihre Arbeitsprioritäten werden unweigerlich von ihren Teammitgliedern übernommen, und wenn Sicherheit nicht zu den Hauptzielen gehört oder in Form von Schulungen und Support eingeplant ist, dann kommen die Ingenieure unter ihnen zu kurz, und das Unternehmen ist mehr gefährdet, als es sein sollte. - Wird Entwicklern ein Grund gegeben, sich um Sicherheit zu kümmern?
Meiner Erfahrung nach ist der schnellste Weg, jemanden ins Abseits zu stellen, wenn man ihm sagt, dass er etwas tun muss, das seinem bisherigen Ansatz fremd ist, ohne ihm zu sagen, warum.
Wenn man ihm sagt, er solle sich "ändern", impliziert das, dass der bisherige Ansatz falsch war, während es in vielen Fällen einfach eine Verbesserung ist, die die Dinge später hoffentlich einfacher und effizienter macht. Um die DevSec-Bewegung wirklich anzunehmen, muss man den Entwicklern einen Grund geben, sich überhaupt um die Sicherheit zu kümmern - schließlich ist es in den meisten Unternehmen immer noch "das Problem von jemand anderem" (d.h. die AppSec-Assistenten, die in einem anderen Raum weit, weit weg eingeschlossen sind).
DevSecOps funktioniert einfach nicht, wenn die Sicherheit nicht eine gemeinsame Verantwortung ist. Entwickler brauchen die richtigen Tools, den richtigen Support und das richtige Training, um ihren Teil dazu beizutragen ... und das braucht Zeit, um als Teil eines umfassenden Sicherheitsprogramms ausgerollt und perfektioniert zu werden. Der schlechteste Ansatz ist der, der überfordert und entfremdet, was der Fall sein kann, wenn Entwickler zu viele konkurrierende Prioritäten haben und keine Hilfe, um sie zu verwalten, ohne sich selbst verrückt zu machen. Das ist ein Kulturwandel, und der geht nicht über Nacht. - Verlassen Sie sich auf eine Handvoll magischer Sicherheitseinhörner, die die Aufgabe von vielen übernehmen?
Sicherheitsexperten sind sehr knapp, und wir brauchen weit mehr, als derzeit verfügbar sind. Das ist eine Selbstverständlichkeit, aber es gibt eine wachsende Zahl von Entwicklern, die in sicherheitsorientierte Rollen wechseln. Typischerweise werden sie unter Titeln wie "Sicherheitsingenieur" oder "DevOps-Ingenieur" geführt (mit etwas Glück werden wir sehen, wie sich dieser Titel langsam in DevSecOps-Ingenieur verwandelt!) Ein DevOps-Ingenieur ist in der Lage, Funktionen für praktisch jede Anwendung zu entwickeln und dabei eine echte CI/CD-Pipeline zu verwenden. Sie machen alles Ende-zu-Ende und bringen in der Regel ein gesundes Maß an Sicherheitsbewusstsein mit. In diesem Sinne sind sie irgendwie magisch, und deshalb selten.
Einige Unternehmen machen jedoch den Fehler, diese spezialisierten Ingenieure einzustellen, sie in ein Team zu stecken und zu erwarten, dass sie sich um alle Sicherheitsprobleme kümmern, und zwar in jeder Phase des Entwicklungsprozesses, und dass dies allein das Allheilmittel ist. Wenn Sie Ihre DevSecOps-Magier überfordern, enden Sie dort, wo Sie angefangen haben - bei der Auslieferung von unsicherem Code ohne die Kontrollen, Abgleiche und Sicherheitspräzision, für die sie in erster Linie eingestellt worden sind. Es ist von äußerster Wichtigkeit, dass das Entwicklungsteam im Allgemeinen gut ausgebildet ist und in einer positiven Sicherheitsumgebung gefördert wird, damit es in der Lage ist, die Last sinnvoll zu teilen.
Finden Sie die Veränderung, die Sie in Ihrer Organisation sehen wollen.
Wenn Sie robuste Schulungen als Teil Ihres Sicherheitsprogramms implementieren, werden Sie einige versteckte Perlen in Ihrer Entwicklungskohorte aufdecken. Das sind die Leute, die trotz aller negativen Erfahrungen, die sie in ihrem Arbeitsalltag gemacht haben, eine gewisse Leidenschaft für sicheres Coding und Security Best Practices haben. Diese Leute sind erstklassige Kandidaten für Sicherheits-Champions innerhalb des Teams; eine Kontaktstelle zwischen Sicherheit und Technik, die ein großes Vorbild für andere ist, das Bewusstsein hoch hält und bei Engagement-Initiativen hilft. Ihre zwischenmenschlichen Fähigkeiten sind auch sehr wichtig, um die Freude an der Sicherheit weit und breit zu verbreiten und sich für die Bedürfnisse der Entwickler gegenüber dem Management und dem Sicherheitsteam einzusetzen.
Das "Was ist für mich drin?"-Gespräch ist ein positiver Schritt nach vorne.
Selbst die edelsten Menschen brauchen so etwas wie ein "Zuckerbrot", um den Zeh in unbekanntes Terrain zu stecken oder in eine Tätigkeit, die vielleicht nicht die angenehmste Lernkurve hat.
Den Sprung von "Dev" zu "DevSec" zu machen, ist ein großartiger Schub für die Karriere eines Entwicklers. Sicherheitsbewusste Entwickler haben hart daran gearbeitet, Sicherheit zu verstehen, Verantwortung dafür in den Bereichen zu übernehmen, die sie kontrollieren können, und mit dem Verständnis zu arbeiten, dass der einzige Qualitätscode sicherer Code ist. Im Allgemeinen wollen sich Entwickler verbessern, neue Probleme angehen und beneidenswerte Funktionen erstellen, die ihnen helfen, sich von ihren Kollegen abzuheben. Geben Sie ihnen einen Weg, ein höheres Niveau der Softwareentwicklung zu erreichen, und es ist eine Win-Win-Situation.
Es ist nie zu spät, Ihr DevSec Dream Team aufzubauen.
Wenn Sie Entwickler verwalten, ein AppSec Awareness-Team leiten oder einer der vielen Köpfe sind, die hart daran arbeiten, Strategien für Sicherheitsprogramme zu entwerfen, ist es jetzt an der Zeit, einen Schritt weiter zu gehen als nur nach links zu gehen. Mit dem richtigen Training, den richtigen Tools und der richtigen Umgebung können Sie einen Sicherheitsinkubator für Entwickler schaffen, der sich für alle Beteiligten auszahlt. Wenn diese Checkliste einige verbesserungswürdige Bereiche aufgezeigt hat, dann haben Sie eine großartige Gelegenheit, Ihr Unternehmen auf eine DevSec-geführte Entwicklungsabteilung vorzubereiten, die das Risiko von Beginn des SDLC an reduzieren kann.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.