Ist Ihr Sicherheitsprogramm bereit für den CISA-Strategieplan für Cybersicherheit?
Eine Version dieses Artikels erschien in Forbes. Er wurde hier aktualisiert und syndiziert.
DerCybersecurity-Strategieplan sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler sind in einer einzigartigen Position, um bei der Erreichung dieser neuen Ziele zu helfen.
Die Behörde für Cybersicherheit und Infrastruktursicherheit(Cybersecurity and Infrastructure Security Agency, CISA) hat seit ihrer Gründung im Jahr 2018 nicht nur maßgeblich zum Schutz der kritischen Infrastrukturen und Computernetzwerke der Vereinigten Staaten beigetragen, sondern ihr Einfluss und ihr Fachwissen haben auch auf globaler Ebene Widerhall gefunden. Die umfassende Beratung, die Sicherheitshinweise, die Schwachstellenberichte und die Cybersicherheitsprogramme der Behörde haben einen globalen Maßstab für umsetzbare Best Practices gesetzt, was die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstreicht.
Der Einfluss und die Errungenschaften der CISA gehen weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, vor allem, wenn man bedenkt, dass es sie erst seit ein paar Jahren gibt. Dies ist nicht zuletzt auf das exponentielle Wachstum der Bedrohungslandschaft und die Tatsache zurückzuführen, dass die Angreifer bei ihren Einbruchs- und Ausbeutungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyber-Kriminelle und andere so genannte Bedrohungsakteure übernommen, indem sie methodisch Trends verfolgt und über bewährte Verfahren für die Cybersicherheit berät.
Trotz aller hilfreichen Ratschläge und Anleitungen hat die Behörde jedoch noch nie einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgibt. Dies ist nicht nur ein weiterer Plan, sondern ein Meilenstein, den viele Organisationen studieren und schließlich umsetzen wollen. Die Tatsache, dass der Plan große Veränderungen in der Art und Weise, wie Cybersicherheit angegangen wird, fordert, könnte die Befolgung dieser Anleitung zu einer Herausforderung machen, obwohl die Entwicklergemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Werkzeuge und die richtigen Wege zur Weiterbildung erhält.
Es liegt ein Wandel in der Luft für die besten Praktiken der globalen Cybersicherheit
Auf den ersten Blick könnte man im CISA-Strategieplan ein gewisses Maß an Frustration erkennen, aber die CISA erkennt einfach die Tatsache an, dass wir, wenn wir so weitermachen wie bisher, immer wieder die gleichen Ergebnisse sehen werden. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen in allen Bereichen erforderlich, auch bei den Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Mit dem Finger auf die Software zu zeigen, zumindest teilweise, ist ein Konzept, das schon früher eingeführt wurde. So heißt es in der Nationalen Sicherheitsstrategie der Vereinigten Staaten ausdrücklich, dass "mangelhafte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht." Der CISA-Strategieplan enthält eine neue Strategie, um dieses Dilemma anzugehen und zu lösen.
Die größte Veränderung im Bereich der Cybersicherheit, für die sich die CISA einsetzt, besteht darin, die Hersteller von Software aufzufordern, sichere Produkte zu liefern. Wenn bewährte Praktiken für die sichere Programmierung eingeführt und umgesetzt werden, wird es weit weniger Schwachstellen in der Software geben, vor allem keine größeren, die Angreifer ausnutzen können. Ja, hier und da könnte immer noch etwas übersehen werden, und es wird Sorgfalt erfordern, es zu finden und zu beheben, aber das ist eine überschaubare Angelegenheit im Vergleich zum derzeitigen Status quo: Hunderte von Schwachstellen, die jeden Tag entdeckt werden, überfordern die Verteidiger der Cybersicherheit. Die CISA erklärt in ihrem Plan sehr deutlich, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
"Als Gesellschaft können wir nicht länger ein Modell akzeptieren, bei dem jedes technologische Produkt von dem Moment an angreifbar ist, in dem es auf den Markt kommt, und bei dem die überwältigende Last der Sicherheit bei den einzelnen Organisationen und Benutzern liegt", heißt es im CISA-Strategieplan. "Technologien sollten so konzipiert, entwickelt und getestet werden, dass die Zahl der ausnutzbaren Schwachstellen minimiert wird, bevor sie auf den Markt kommen."
Der Plan deutet weiter an, dass dieser neue Ansatz letztendlich mehr als nur angedeutet sein könnte, indem er sagt, dass CISA "alle verfügbaren Hebel in Bewegung setzen wird, um die Risikoentscheidungen von Organisationsleitern zu beeinflussen". Es wird auch angedeutet, dass Gesetze wie der Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), der derzeit die Meldung von Cyber-Vorfällen regelt, als Modell dienen könnten, um die freiwillige Einhaltung dieser neuen Vorschriften schließlich zu einer Pflicht zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, diese neuen Leitlinien zu befolgen.
Die KAG-Leitlinien stellen eine wichtige Gelegenheit dar
Anstatt die Aussicht auf weitere potenzielle Vorschriften zu fürchten, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan für das Streben nach besserer, hochwertigerer Software einzusetzen. Dies ist nicht nur eine Aufforderung zur Einhaltung von Vorschriften, sondern eine Chance für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen: dem Unternehmen, das sie herstellt, den Benutzern, die sich auf sie verlassen, und den Personen, auf deren Daten die Software oder Anwendung zugreift oder sie speichert. Nur die Angreifer stehen mit leeren Händen da, wenn der Code, aus dem der Großteil der Software und der Anwendungen besteht, so sicher wie möglich gemacht wird, bevor er in eine Produktionsumgebung überführt wird.
In Anbetracht dieser neuen Richtung macht es Sinn, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Sourcecode verwenden, ein idealer Ausgangspunkt sind, wenn es darum geht, eine sicherere Kodierung zu implementieren und den CISA-Plan zu erfüllen. Aber die Entwickler können es nicht alleine schaffen, wenn sie nicht vom Rest des Unternehmens unterstützt werden, insbesondere von der oberen Führungsebene. Entwickler, die sich mit Schwachstellen auskennen, wissen, wie man sicheren Code schreibt und wie man Probleme erkennt, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für die Auslieferung von Code übernehmen und, wie CISA es ausdrückt, "sicherstellen, dass Schwachstellen entdeckt und behoben werden, bevor Angreifer sie nutzen können, um Schaden anzurichten."
Ein wichtiger Punkt ist, dass die Ausbildung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist ein schwieriges Unterfangen für jemanden, das Schreiben von sicherem Code zu erlernen, und Maßnahmen zur Einhaltung von Standards sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, leicht verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Programms zur Förderung des Sicherheitsbewusstseins bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau zu halten.
Idealerweise sollte die Fortbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme umfassen, die Entwickler tagtäglich anwenden, wie z. B. die Grundsätze der agilen Entwicklung. Bei der agilen Entwicklung zum Beispiel wird die Arbeit in überschaubare Abschnitte unterteilt, die in einem kontinuierlichen Zyklus aufeinander aufbauen. Ein gutes Schulungsprogramm, das agile Praktiken einbezieht, kann Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, so dass sie die ersten Vorteile erkennen und fast sofort mit einer sichereren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Kodierungspraktiken unterstützen und bereit sind, ihre Organisationen bei der Einhaltung der neuen CISA-Richtlinie zu unterstützen. In einer Umfrage unter mehr als 1.200 professionellen Entwicklern, die weltweit tätig sind, gab die überwältigende Mehrheit an, dass sie das Konzept der Erstellung von sicherem Code und der Schaffung einer besseren Sicherheitskultur in ihren Unternehmen unterstützen.
Die Entwickler brauchen präzise Ausbildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie sind auch bei ihren Bemühungen, die Richtlinien des neuen CISA-Strategieplans für Cybersicherheit einzuhalten oder zu übertreffen, der Zeit voraus.
Dieser vorgeschlagene Wandel in der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Chance, die Art der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben besser macht, nicht gleichzeitig von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen ruchlosen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Der Strategische Plan für Cybersicherheit sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler befinden sich in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Er wurde hier aktualisiert und syndiziert.
DerCybersecurity-Strategieplan sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler sind in einer einzigartigen Position, um bei der Erreichung dieser neuen Ziele zu helfen.
Die Behörde für Cybersicherheit und Infrastruktursicherheit(Cybersecurity and Infrastructure Security Agency, CISA) hat seit ihrer Gründung im Jahr 2018 nicht nur maßgeblich zum Schutz der kritischen Infrastrukturen und Computernetzwerke der Vereinigten Staaten beigetragen, sondern ihr Einfluss und ihr Fachwissen haben auch auf globaler Ebene Widerhall gefunden. Die umfassende Beratung, die Sicherheitshinweise, die Schwachstellenberichte und die Cybersicherheitsprogramme der Behörde haben einen globalen Maßstab für umsetzbare Best Practices gesetzt, was die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstreicht.
Der Einfluss und die Errungenschaften der CISA gehen weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, vor allem, wenn man bedenkt, dass es sie erst seit ein paar Jahren gibt. Dies ist nicht zuletzt auf das exponentielle Wachstum der Bedrohungslandschaft und die Tatsache zurückzuführen, dass die Angreifer bei ihren Einbruchs- und Ausbeutungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyber-Kriminelle und andere so genannte Bedrohungsakteure übernommen, indem sie methodisch Trends verfolgt und über bewährte Verfahren für die Cybersicherheit berät.
Trotz aller hilfreichen Ratschläge und Anleitungen hat die Behörde jedoch noch nie einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgibt. Dies ist nicht nur ein weiterer Plan, sondern ein Meilenstein, den viele Organisationen studieren und schließlich umsetzen wollen. Die Tatsache, dass der Plan große Veränderungen in der Art und Weise, wie Cybersicherheit angegangen wird, fordert, könnte die Befolgung dieser Anleitung zu einer Herausforderung machen, obwohl die Entwicklergemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Werkzeuge und die richtigen Wege zur Weiterbildung erhält.
Es liegt ein Wandel in der Luft für die besten Praktiken der globalen Cybersicherheit
Auf den ersten Blick könnte man im CISA-Strategieplan ein gewisses Maß an Frustration erkennen, aber die CISA erkennt einfach die Tatsache an, dass wir, wenn wir so weitermachen wie bisher, immer wieder die gleichen Ergebnisse sehen werden. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen in allen Bereichen erforderlich, auch bei den Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Mit dem Finger auf die Software zu zeigen, zumindest teilweise, ist ein Konzept, das schon früher eingeführt wurde. So heißt es in der Nationalen Sicherheitsstrategie der Vereinigten Staaten ausdrücklich, dass "mangelhafte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht." Der CISA-Strategieplan enthält eine neue Strategie, um dieses Dilemma anzugehen und zu lösen.
Die größte Veränderung im Bereich der Cybersicherheit, für die sich die CISA einsetzt, besteht darin, die Hersteller von Software aufzufordern, sichere Produkte zu liefern. Wenn bewährte Praktiken für die sichere Programmierung eingeführt und umgesetzt werden, wird es weit weniger Schwachstellen in der Software geben, vor allem keine größeren, die Angreifer ausnutzen können. Ja, hier und da könnte immer noch etwas übersehen werden, und es wird Sorgfalt erfordern, es zu finden und zu beheben, aber das ist eine überschaubare Angelegenheit im Vergleich zum derzeitigen Status quo: Hunderte von Schwachstellen, die jeden Tag entdeckt werden, überfordern die Verteidiger der Cybersicherheit. Die CISA erklärt in ihrem Plan sehr deutlich, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
"Als Gesellschaft können wir nicht länger ein Modell akzeptieren, bei dem jedes technologische Produkt von dem Moment an angreifbar ist, in dem es auf den Markt kommt, und bei dem die überwältigende Last der Sicherheit bei den einzelnen Organisationen und Benutzern liegt", heißt es im CISA-Strategieplan. "Technologien sollten so konzipiert, entwickelt und getestet werden, dass die Zahl der ausnutzbaren Schwachstellen minimiert wird, bevor sie auf den Markt kommen."
Der Plan deutet weiter an, dass dieser neue Ansatz letztendlich mehr als nur angedeutet sein könnte, indem er sagt, dass CISA "alle verfügbaren Hebel in Bewegung setzen wird, um die Risikoentscheidungen von Organisationsleitern zu beeinflussen". Es wird auch angedeutet, dass Gesetze wie der Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), der derzeit die Meldung von Cyber-Vorfällen regelt, als Modell dienen könnten, um die freiwillige Einhaltung dieser neuen Vorschriften schließlich zu einer Pflicht zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, diese neuen Leitlinien zu befolgen.
Die KAG-Leitlinien stellen eine wichtige Gelegenheit dar
Anstatt die Aussicht auf weitere potenzielle Vorschriften zu fürchten, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan für das Streben nach besserer, hochwertigerer Software einzusetzen. Dies ist nicht nur eine Aufforderung zur Einhaltung von Vorschriften, sondern eine Chance für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen: dem Unternehmen, das sie herstellt, den Benutzern, die sich auf sie verlassen, und den Personen, auf deren Daten die Software oder Anwendung zugreift oder sie speichert. Nur die Angreifer stehen mit leeren Händen da, wenn der Code, aus dem der Großteil der Software und der Anwendungen besteht, so sicher wie möglich gemacht wird, bevor er in eine Produktionsumgebung überführt wird.
In Anbetracht dieser neuen Richtung macht es Sinn, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Sourcecode verwenden, ein idealer Ausgangspunkt sind, wenn es darum geht, eine sicherere Kodierung zu implementieren und den CISA-Plan zu erfüllen. Aber die Entwickler können es nicht alleine schaffen, wenn sie nicht vom Rest des Unternehmens unterstützt werden, insbesondere von der oberen Führungsebene. Entwickler, die sich mit Schwachstellen auskennen, wissen, wie man sicheren Code schreibt und wie man Probleme erkennt, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für die Auslieferung von Code übernehmen und, wie CISA es ausdrückt, "sicherstellen, dass Schwachstellen entdeckt und behoben werden, bevor Angreifer sie nutzen können, um Schaden anzurichten."
Ein wichtiger Punkt ist, dass die Ausbildung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist ein schwieriges Unterfangen für jemanden, das Schreiben von sicherem Code zu erlernen, und Maßnahmen zur Einhaltung von Standards sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, leicht verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Programms zur Förderung des Sicherheitsbewusstseins bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau zu halten.
Idealerweise sollte die Fortbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme umfassen, die Entwickler tagtäglich anwenden, wie z. B. die Grundsätze der agilen Entwicklung. Bei der agilen Entwicklung zum Beispiel wird die Arbeit in überschaubare Abschnitte unterteilt, die in einem kontinuierlichen Zyklus aufeinander aufbauen. Ein gutes Schulungsprogramm, das agile Praktiken einbezieht, kann Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, so dass sie die ersten Vorteile erkennen und fast sofort mit einer sichereren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Kodierungspraktiken unterstützen und bereit sind, ihre Organisationen bei der Einhaltung der neuen CISA-Richtlinie zu unterstützen. In einer Umfrage unter mehr als 1.200 professionellen Entwicklern, die weltweit tätig sind, gab die überwältigende Mehrheit an, dass sie das Konzept der Erstellung von sicherem Code und der Schaffung einer besseren Sicherheitskultur in ihren Unternehmen unterstützen.
Die Entwickler brauchen präzise Ausbildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie sind auch bei ihren Bemühungen, die Richtlinien des neuen CISA-Strategieplans für Cybersicherheit einzuhalten oder zu übertreffen, der Zeit voraus.
Dieser vorgeschlagene Wandel in der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Chance, die Art der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben besser macht, nicht gleichzeitig von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen ruchlosen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Eine Version dieses Artikels erschien in Forbes. Er wurde hier aktualisiert und syndiziert.
DerCybersecurity-Strategieplan sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler sind in einer einzigartigen Position, um bei der Erreichung dieser neuen Ziele zu helfen.
Die Behörde für Cybersicherheit und Infrastruktursicherheit(Cybersecurity and Infrastructure Security Agency, CISA) hat seit ihrer Gründung im Jahr 2018 nicht nur maßgeblich zum Schutz der kritischen Infrastrukturen und Computernetzwerke der Vereinigten Staaten beigetragen, sondern ihr Einfluss und ihr Fachwissen haben auch auf globaler Ebene Widerhall gefunden. Die umfassende Beratung, die Sicherheitshinweise, die Schwachstellenberichte und die Cybersicherheitsprogramme der Behörde haben einen globalen Maßstab für umsetzbare Best Practices gesetzt, was die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstreicht.
Der Einfluss und die Errungenschaften der CISA gehen weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, vor allem, wenn man bedenkt, dass es sie erst seit ein paar Jahren gibt. Dies ist nicht zuletzt auf das exponentielle Wachstum der Bedrohungslandschaft und die Tatsache zurückzuführen, dass die Angreifer bei ihren Einbruchs- und Ausbeutungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyber-Kriminelle und andere so genannte Bedrohungsakteure übernommen, indem sie methodisch Trends verfolgt und über bewährte Verfahren für die Cybersicherheit berät.
Trotz aller hilfreichen Ratschläge und Anleitungen hat die Behörde jedoch noch nie einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgibt. Dies ist nicht nur ein weiterer Plan, sondern ein Meilenstein, den viele Organisationen studieren und schließlich umsetzen wollen. Die Tatsache, dass der Plan große Veränderungen in der Art und Weise, wie Cybersicherheit angegangen wird, fordert, könnte die Befolgung dieser Anleitung zu einer Herausforderung machen, obwohl die Entwicklergemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Werkzeuge und die richtigen Wege zur Weiterbildung erhält.
Es liegt ein Wandel in der Luft für die besten Praktiken der globalen Cybersicherheit
Auf den ersten Blick könnte man im CISA-Strategieplan ein gewisses Maß an Frustration erkennen, aber die CISA erkennt einfach die Tatsache an, dass wir, wenn wir so weitermachen wie bisher, immer wieder die gleichen Ergebnisse sehen werden. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen in allen Bereichen erforderlich, auch bei den Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Mit dem Finger auf die Software zu zeigen, zumindest teilweise, ist ein Konzept, das schon früher eingeführt wurde. So heißt es in der Nationalen Sicherheitsstrategie der Vereinigten Staaten ausdrücklich, dass "mangelhafte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht." Der CISA-Strategieplan enthält eine neue Strategie, um dieses Dilemma anzugehen und zu lösen.
Die größte Veränderung im Bereich der Cybersicherheit, für die sich die CISA einsetzt, besteht darin, die Hersteller von Software aufzufordern, sichere Produkte zu liefern. Wenn bewährte Praktiken für die sichere Programmierung eingeführt und umgesetzt werden, wird es weit weniger Schwachstellen in der Software geben, vor allem keine größeren, die Angreifer ausnutzen können. Ja, hier und da könnte immer noch etwas übersehen werden, und es wird Sorgfalt erfordern, es zu finden und zu beheben, aber das ist eine überschaubare Angelegenheit im Vergleich zum derzeitigen Status quo: Hunderte von Schwachstellen, die jeden Tag entdeckt werden, überfordern die Verteidiger der Cybersicherheit. Die CISA erklärt in ihrem Plan sehr deutlich, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
"Als Gesellschaft können wir nicht länger ein Modell akzeptieren, bei dem jedes technologische Produkt von dem Moment an angreifbar ist, in dem es auf den Markt kommt, und bei dem die überwältigende Last der Sicherheit bei den einzelnen Organisationen und Benutzern liegt", heißt es im CISA-Strategieplan. "Technologien sollten so konzipiert, entwickelt und getestet werden, dass die Zahl der ausnutzbaren Schwachstellen minimiert wird, bevor sie auf den Markt kommen."
Der Plan deutet weiter an, dass dieser neue Ansatz letztendlich mehr als nur angedeutet sein könnte, indem er sagt, dass CISA "alle verfügbaren Hebel in Bewegung setzen wird, um die Risikoentscheidungen von Organisationsleitern zu beeinflussen". Es wird auch angedeutet, dass Gesetze wie der Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), der derzeit die Meldung von Cyber-Vorfällen regelt, als Modell dienen könnten, um die freiwillige Einhaltung dieser neuen Vorschriften schließlich zu einer Pflicht zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, diese neuen Leitlinien zu befolgen.
Die KAG-Leitlinien stellen eine wichtige Gelegenheit dar
Anstatt die Aussicht auf weitere potenzielle Vorschriften zu fürchten, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan für das Streben nach besserer, hochwertigerer Software einzusetzen. Dies ist nicht nur eine Aufforderung zur Einhaltung von Vorschriften, sondern eine Chance für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen: dem Unternehmen, das sie herstellt, den Benutzern, die sich auf sie verlassen, und den Personen, auf deren Daten die Software oder Anwendung zugreift oder sie speichert. Nur die Angreifer stehen mit leeren Händen da, wenn der Code, aus dem der Großteil der Software und der Anwendungen besteht, so sicher wie möglich gemacht wird, bevor er in eine Produktionsumgebung überführt wird.
In Anbetracht dieser neuen Richtung macht es Sinn, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Sourcecode verwenden, ein idealer Ausgangspunkt sind, wenn es darum geht, eine sicherere Kodierung zu implementieren und den CISA-Plan zu erfüllen. Aber die Entwickler können es nicht alleine schaffen, wenn sie nicht vom Rest des Unternehmens unterstützt werden, insbesondere von der oberen Führungsebene. Entwickler, die sich mit Schwachstellen auskennen, wissen, wie man sicheren Code schreibt und wie man Probleme erkennt, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für die Auslieferung von Code übernehmen und, wie CISA es ausdrückt, "sicherstellen, dass Schwachstellen entdeckt und behoben werden, bevor Angreifer sie nutzen können, um Schaden anzurichten."
Ein wichtiger Punkt ist, dass die Ausbildung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist ein schwieriges Unterfangen für jemanden, das Schreiben von sicherem Code zu erlernen, und Maßnahmen zur Einhaltung von Standards sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, leicht verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Programms zur Förderung des Sicherheitsbewusstseins bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau zu halten.
Idealerweise sollte die Fortbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme umfassen, die Entwickler tagtäglich anwenden, wie z. B. die Grundsätze der agilen Entwicklung. Bei der agilen Entwicklung zum Beispiel wird die Arbeit in überschaubare Abschnitte unterteilt, die in einem kontinuierlichen Zyklus aufeinander aufbauen. Ein gutes Schulungsprogramm, das agile Praktiken einbezieht, kann Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, so dass sie die ersten Vorteile erkennen und fast sofort mit einer sichereren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Kodierungspraktiken unterstützen und bereit sind, ihre Organisationen bei der Einhaltung der neuen CISA-Richtlinie zu unterstützen. In einer Umfrage unter mehr als 1.200 professionellen Entwicklern, die weltweit tätig sind, gab die überwältigende Mehrheit an, dass sie das Konzept der Erstellung von sicherem Code und der Schaffung einer besseren Sicherheitskultur in ihren Unternehmen unterstützen.
Die Entwickler brauchen präzise Ausbildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie sind auch bei ihren Bemühungen, die Richtlinien des neuen CISA-Strategieplans für Cybersicherheit einzuhalten oder zu übertreffen, der Zeit voraus.
Dieser vorgeschlagene Wandel in der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Chance, die Art der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben besser macht, nicht gleichzeitig von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen ruchlosen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Er wurde hier aktualisiert und syndiziert.
DerCybersecurity-Strategieplan sieht weitreichende Änderungen in der Art und Weise vor, wie die meisten Unternehmen an die Cybersicherheit herangehen, und Entwickler sind in einer einzigartigen Position, um bei der Erreichung dieser neuen Ziele zu helfen.
Die Behörde für Cybersicherheit und Infrastruktursicherheit(Cybersecurity and Infrastructure Security Agency, CISA) hat seit ihrer Gründung im Jahr 2018 nicht nur maßgeblich zum Schutz der kritischen Infrastrukturen und Computernetzwerke der Vereinigten Staaten beigetragen, sondern ihr Einfluss und ihr Fachwissen haben auch auf globaler Ebene Widerhall gefunden. Die umfassende Beratung, die Sicherheitshinweise, die Schwachstellenberichte und die Cybersicherheitsprogramme der Behörde haben einen globalen Maßstab für umsetzbare Best Practices gesetzt, was die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstreicht.
Der Einfluss und die Errungenschaften der CISA gehen weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, vor allem, wenn man bedenkt, dass es sie erst seit ein paar Jahren gibt. Dies ist nicht zuletzt auf das exponentielle Wachstum der Bedrohungslandschaft und die Tatsache zurückzuführen, dass die Angreifer bei ihren Einbruchs- und Ausbeutungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyber-Kriminelle und andere so genannte Bedrohungsakteure übernommen, indem sie methodisch Trends verfolgt und über bewährte Verfahren für die Cybersicherheit berät.
Trotz aller hilfreichen Ratschläge und Anleitungen hat die Behörde jedoch noch nie einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgibt. Dies ist nicht nur ein weiterer Plan, sondern ein Meilenstein, den viele Organisationen studieren und schließlich umsetzen wollen. Die Tatsache, dass der Plan große Veränderungen in der Art und Weise, wie Cybersicherheit angegangen wird, fordert, könnte die Befolgung dieser Anleitung zu einer Herausforderung machen, obwohl die Entwicklergemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Werkzeuge und die richtigen Wege zur Weiterbildung erhält.
Es liegt ein Wandel in der Luft für die besten Praktiken der globalen Cybersicherheit
Auf den ersten Blick könnte man im CISA-Strategieplan ein gewisses Maß an Frustration erkennen, aber die CISA erkennt einfach die Tatsache an, dass wir, wenn wir so weitermachen wie bisher, immer wieder die gleichen Ergebnisse sehen werden. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen in allen Bereichen erforderlich, auch bei den Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Mit dem Finger auf die Software zu zeigen, zumindest teilweise, ist ein Konzept, das schon früher eingeführt wurde. So heißt es in der Nationalen Sicherheitsstrategie der Vereinigten Staaten ausdrücklich, dass "mangelhafte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht." Der CISA-Strategieplan enthält eine neue Strategie, um dieses Dilemma anzugehen und zu lösen.
Die größte Veränderung im Bereich der Cybersicherheit, für die sich die CISA einsetzt, besteht darin, die Hersteller von Software aufzufordern, sichere Produkte zu liefern. Wenn bewährte Praktiken für die sichere Programmierung eingeführt und umgesetzt werden, wird es weit weniger Schwachstellen in der Software geben, vor allem keine größeren, die Angreifer ausnutzen können. Ja, hier und da könnte immer noch etwas übersehen werden, und es wird Sorgfalt erfordern, es zu finden und zu beheben, aber das ist eine überschaubare Angelegenheit im Vergleich zum derzeitigen Status quo: Hunderte von Schwachstellen, die jeden Tag entdeckt werden, überfordern die Verteidiger der Cybersicherheit. Die CISA erklärt in ihrem Plan sehr deutlich, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
"Als Gesellschaft können wir nicht länger ein Modell akzeptieren, bei dem jedes technologische Produkt von dem Moment an angreifbar ist, in dem es auf den Markt kommt, und bei dem die überwältigende Last der Sicherheit bei den einzelnen Organisationen und Benutzern liegt", heißt es im CISA-Strategieplan. "Technologien sollten so konzipiert, entwickelt und getestet werden, dass die Zahl der ausnutzbaren Schwachstellen minimiert wird, bevor sie auf den Markt kommen."
Der Plan deutet weiter an, dass dieser neue Ansatz letztendlich mehr als nur angedeutet sein könnte, indem er sagt, dass CISA "alle verfügbaren Hebel in Bewegung setzen wird, um die Risikoentscheidungen von Organisationsleitern zu beeinflussen". Es wird auch angedeutet, dass Gesetze wie der Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), der derzeit die Meldung von Cyber-Vorfällen regelt, als Modell dienen könnten, um die freiwillige Einhaltung dieser neuen Vorschriften schließlich zu einer Pflicht zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, diese neuen Leitlinien zu befolgen.
Die KAG-Leitlinien stellen eine wichtige Gelegenheit dar
Anstatt die Aussicht auf weitere potenzielle Vorschriften zu fürchten, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan für das Streben nach besserer, hochwertigerer Software einzusetzen. Dies ist nicht nur eine Aufforderung zur Einhaltung von Vorschriften, sondern eine Chance für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen: dem Unternehmen, das sie herstellt, den Benutzern, die sich auf sie verlassen, und den Personen, auf deren Daten die Software oder Anwendung zugreift oder sie speichert. Nur die Angreifer stehen mit leeren Händen da, wenn der Code, aus dem der Großteil der Software und der Anwendungen besteht, so sicher wie möglich gemacht wird, bevor er in eine Produktionsumgebung überführt wird.
In Anbetracht dieser neuen Richtung macht es Sinn, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Sourcecode verwenden, ein idealer Ausgangspunkt sind, wenn es darum geht, eine sicherere Kodierung zu implementieren und den CISA-Plan zu erfüllen. Aber die Entwickler können es nicht alleine schaffen, wenn sie nicht vom Rest des Unternehmens unterstützt werden, insbesondere von der oberen Führungsebene. Entwickler, die sich mit Schwachstellen auskennen, wissen, wie man sicheren Code schreibt und wie man Probleme erkennt, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für die Auslieferung von Code übernehmen und, wie CISA es ausdrückt, "sicherstellen, dass Schwachstellen entdeckt und behoben werden, bevor Angreifer sie nutzen können, um Schaden anzurichten."
Ein wichtiger Punkt ist, dass die Ausbildung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist ein schwieriges Unterfangen für jemanden, das Schreiben von sicherem Code zu erlernen, und Maßnahmen zur Einhaltung von Standards sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, leicht verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Programms zur Förderung des Sicherheitsbewusstseins bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau zu halten.
Idealerweise sollte die Fortbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme umfassen, die Entwickler tagtäglich anwenden, wie z. B. die Grundsätze der agilen Entwicklung. Bei der agilen Entwicklung zum Beispiel wird die Arbeit in überschaubare Abschnitte unterteilt, die in einem kontinuierlichen Zyklus aufeinander aufbauen. Ein gutes Schulungsprogramm, das agile Praktiken einbezieht, kann Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, so dass sie die ersten Vorteile erkennen und fast sofort mit einer sichereren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Kodierungspraktiken unterstützen und bereit sind, ihre Organisationen bei der Einhaltung der neuen CISA-Richtlinie zu unterstützen. In einer Umfrage unter mehr als 1.200 professionellen Entwicklern, die weltweit tätig sind, gab die überwältigende Mehrheit an, dass sie das Konzept der Erstellung von sicherem Code und der Schaffung einer besseren Sicherheitskultur in ihren Unternehmen unterstützen.
Die Entwickler brauchen präzise Ausbildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie sind auch bei ihren Bemühungen, die Richtlinien des neuen CISA-Strategieplans für Cybersicherheit einzuhalten oder zu übertreffen, der Zeit voraus.
Dieser vorgeschlagene Wandel in der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Chance, die Art der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben besser macht, nicht gleichzeitig von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen ruchlosen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.