Ist Ihr Sicherheitsprogramm auf die Reaktion auf Zwischenfälle ausgerichtet? Sie machen es falsch.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
.png)
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
