Hintergrund

Netskope, ein weltweit führender SASE-Anbieter, unterstützt Unternehmen bei der Anwendung von Zero-Trust-Prinzipien und KI/ML-Innovationen zum Schutz von Daten und zur Abwehr von Cyberbedrohungen. Die schnelle und einfach zu bedienende Netskope-Plattform bietet optimierten Zugriff und Echtzeit-Sicherheit für Menschen, Geräte und Daten, egal wo sie sich befinden. Netskope hilft Kunden dabei, Risiken zu reduzieren, die Leistung zu beschleunigen und einen unübertroffenen Einblick in alle Cloud-, Web- und privaten Anwendungsaktivitäten zu erhalten. Tausende von Kunden vertrauen auf Netskope und sein leistungsstarkes NewEdge-Netzwerk, wenn es darum geht, sich entwickelnde Bedrohungen, neue Risiken, technologische Veränderungen, organisatorische und netzwerktechnische Änderungen sowie neue gesetzliche Anforderungen zu bewältigen.

Situation

Das Innovationstempo bei Cloud Computing und künstlicher Intelligenz hat den Lebenszyklus der Softwareentwicklung stark beschleunigt. James Robinson - stellvertretender CISO bei Netskope - erkannte, dass die Art und Weise der Schulung von Entwicklern durch die Erfüllung von Compliance-Zielen mit Videos über sichere Entwicklung in nur einer Handvoll Sprachen auf dem heutigen Markt nicht nachhaltig war. Die rasche Einführung und der schnelle Wandel in seinem Unternehmen stellten die Entwickler von Netskope vor die Herausforderung, sich mit neuen Sprachen und Technologien vertraut zu machen und gleichzeitig ihre Sicherheitsfähigkeiten zu erhalten.

Netskope versuchte, mehr benutzerdefinierte Verbindungen zu schaffen, um die Sprachen und den Umfang, den die Entwickler erhielten, zu erweitern, aber das Engagement war immer noch sehr gering, und bald begann die Schulung die Produktivität zu beeinträchtigen. James wollte den Ansatz so ändern, dass die Entwickler durch mehr praktische Lernansätze für das Thema begeistert wurden.

Aktion

Jährlich stattfindende oder ad-hoc verfügbare Schulungen gingen nicht ganzheitlich auf die Vielfalt der SAST-Tools, Infrastrukturen wie Code-Scanner, ein und konnten nicht in die CI- und CD-Sicherheitsschritte bei Netskope integriert werden. Netskope musste in der Lage sein, die Beteiligung der Entwickler an der Sicherheit in den Analyse- und Testprozess zu integrieren. Damit wurde eine Grundlage für die Ausbildung in sicherer Entwicklung geschaffen, die ihre Compliance-Anforderungen ergänzte.

Nach links schieben

Als Netskope begann, über "Linksverschiebung" zu diskutieren, stellte sich die Frage: Was bedeutet Linksverschiebung eigentlich? Wie weit muss man sich verschieben? Die Unternehmensleitung beschloss, den Namen intern in "Self-Service-Adoption" zu ändern. Damit wurden die Entwickler im Prinzip in die Lage versetzt, sich proaktiv um die Ausbildung ihres sicheren Codes zu kümmern. In Zusammenarbeit mit Secure Code Warriorentwickelten sie ein Programm, das Sicherheitsinhalte für Entwickler sichtbar und zugänglich machte, damit sie nicht zu ungeprüften Lösungen abwandern.

Handlungsfähigkeit und Wert

Die anpassbaren Inhalte und eine Vielzahl praktischer Lernaktivitäten von Secure Code Warrior ermöglichten auch offenere, produktivere Gespräche zwischen Sicherheits- und Entwicklerteams. Als die Entwickler erkannten, dass es nicht mehr nur um die Einhaltung von Vorschriften geht, wurden sie engagierter und interessierten sich mehr für das Thema Sicherheit. Dies eröffnete auch die Möglichkeit, kritische und wiederkehrende Schwachstellen zu untersuchen, um mehr Schulungsinhalte zur Ergänzung ihres Programms zu erstellen.

Ergebnisse

Nach der Einführung des Programms sammelte Netskope fleißig Feedback von den Entwicklern, um sicherzustellen, dass sie den größten Nutzen aus der Plattform ziehen konnten. Die Ergebnisse waren überwältigend positiv.

Laut James Robinson, stellvertretender CISO bei Netskope:

Unser Entwicklerteam hat, nicht zuletzt dank der Plattform von Secure Code Warrior, erfolgreich einen Linksruck vollzogen, indem es einen verlockenderen Selbstbedienungs-Lernansatz gewählt hat, der den Entwicklern die Lernwege schneller zugänglich macht. Und was noch wichtiger ist: Wir haben das Gefühl, dass wir eine bessere Investitionsrendite mit unseren Schulungsbemühungen für Entwickler zu erzielen, da die Beteiligung höher ist und wir nicht mehr das Gefühl haben, dass es sich dabei um eine Aktivität handelt, die man abhaken kann und die der Einhaltung von Vorschriften dient. Das Nebenprodukt von all dem ist, dass wir unsere Entwickler in die Lage versetzen, sich für die Sicherheit einzusetzen.

Die wichtigsten Erkenntnisse

• Unternehmen, die nicht in ein starkes Sicherheitsteam für ihre Anwendungen investieren, lassen zu, dass durch ihren Code mehr Risiken entstehen. Dadurch werden letztlich sowohl Zeit als auch Geld verschwendet, um Schwachstellen zu beheben und Sicherheitsprobleme anzugehen.‍
• Nutzen Sie die Vorteile eines Programms, das Ihnen hilft, Zeit zu sparen, indem Sie jeden Monat ein paar wichtige Inhalte lernen, anstatt eine stundenlange, auf die Einhaltung von Vorschriften ausgerichtete jährliche Schulung durchzuführen. Die Zeit, die durch die Schulung von Entwicklern eingespart wird, zeigt sich in der Verringerung der Nacharbeit, die zur Behebung von Schwachstellen erforderlich ist, die gar nicht erst hätten eingeführt werden dürfen.‍
• Es gibt einen neuen Auftrag, Cloud-Lösungen in großem Umfang zu programmieren. Vor Jahren erwartete man von den Entwicklern, dass sie sich voll und ganz auf die Sicherung des Codes in einer einzigen Programmiersprache konzentrieren. Das ist auf dem heutigen High-Tech-Markt nicht mehr der Fall. Sie müssen mehrere Sprachen auswählen, die am besten zu der Cloud-Infrastruktur und den Anwendungen passen, die ein Unternehmen aufbauen und betreiben möchte.