Pieter Danhieux, CEO und Mitbegründer, Secure Code Warrior: "Jeder sollte die Rolle, die er bei der Cybersicherheit spielt, verstehen und annehmen"
Dieses Interview erschien ursprünglich in CyberNews.
Trotz der weiten Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Mühe, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene schaffen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu erörtern, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und zu entschärfen, hat sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrioreinem Unternehmen, das eine learning platform und eine Reihe von Tools für Entwickler anbietet, die Entwicklungsteams bei der Erkennung von Sicherheitslücken unterstützen.
Wie hat sich Ihre Reise gestaltet? Wie kam es zu der Idee von Secure Code Warrior ?
Als junger Nerd war ich fasziniert davon, Technik auseinanderzunehmen, um herauszufinden, was in ihr steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsamen Geräte ging ich schließlich dazu über, den gleichen Ansatz mit Hardware und Software zu verfolgen und nach Möglichkeiten zu suchen, sie zu knacken und zu zerstören. Damit war eine lebenslange Leidenschaft für die Sicherheit geboren, und viele Jahre lang konzentrierte ich mich darauf, meine Fähigkeiten zum "Brechen" mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen, indem ich zeigte, wie man Fehler in Software findet, nutzt und missbraucht. Später konzentrierte ich mich darauf, die Verteidiger weiterzubilden, indem ich Entwicklern gute, sichere Programmiermuster im Unterricht beibrachte und ihnen half, häufige Schwachstellen zu verstehen und sie zu vermeiden. Ich arbeitete auch in der Beratung, wo ich große Unternehmen beriet, wie sie ihre Sicherheitsprogramme verbessern konnten, insbesondere was die Einbeziehung von Entwicklern betraf. In dieser Zeit lernte ich mein heutiges Gründungsteam bei Secure Code Warrior kennen. Gemeinsam erkannten wir die Probleme, mit denen sowohl Sicherheits- als auch Entwicklungsteams konfrontiert waren, wenn es um Schwachstellen auf Code-Ebene ging, sowie die Probleme, die mit den meisten Schulungslösungen zur Verbesserung der Sicherheitskompetenz von Entwicklern bestanden. Wir begannen mit der Arbeit an unserer Vision einer learning platform , die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend ist. Letztendlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung des Entwicklers zugeschnitten sind, ihn weniger stören und ihm helfen, eine sicherheitsorientierte Denkweise zu entwickeln. Und wir wollten dies so sprachflexibel und inhaltsreich wie möglich gestalten.
Können Sie uns vorstellen, was Sie tun? Was sind die größten Herausforderungen, bei deren Bewältigung Sie helfen?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine learning platform und eine Reihe von Tools für Entwickler entwickelt, die Entwicklungsteams bei der Behebung gängiger Sicherheitsschwachstellen unterstützen, von denen viele schon seit Jahrzehnten bestehen und die Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund für das Fortbestehen dieser Schwachstellen ist, dass die Entwickler nicht über die erforderlichen Schulungen und Fähigkeiten verfügen, um diese Probleme auf Code-Ebene zu beheben, und dass sie diese Schwachstellen häufig durch die fortgesetzte Verwendung schlechter Codierungsmuster und -techniken überhaupt erst verursachen; sie werden nicht auf Hochschulniveau in sicherer Codierung unterrichtet, und die meisten Schulungsprogramme am Arbeitsplatz sind nicht in der Lage, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und werden zudem zu selten durchgeführt, um sich wirklich auf die Code-Qualität und die Sicherheit im Laufe der Zeit auszuwirken. Unsere Lösungen zielen darauf ab, eine ansprechende, relevante Kompetenzentwicklung zu bieten, die das Verhalten der Programmierer verändert und ihnen hilft, die Sicherheit in der realen Welt in den Vordergrund zu stellen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am meisten vertraut sind, und unser Fokus auf kontextbezogenes Lernen gibt den Benutzern die besten Chancen, die wichtigsten Schulungsergebnisse zu behalten.
Da das Erlernen von sicherem Kodieren für manche langweilig klingen mag, wie schaffen Sie es, Ihre Schulungen effektiv und dennoch unterhaltsam zu gestalten?
Unser Flaggschiff learning platform ist so konzipiert, dass die Beteiligung der Entwickler im Vordergrund steht. Eine der beliebtesten Funktionen ist der Tournament Modus, in dem die Teilnehmer ihr Wissen, das sie während der Schulung erworben haben, gegen ihre Kollegen testen können. Für jede richtige Antwort gibt es Punkte und eine Live-Rangliste, die während der gesamten tournament Sitzung aktualisiert wird. Wir haben dies bei Community-Veranstaltungen und Konferenzen durchgeführt, und einige unserer Kunden haben unglaublich komplizierte Themen erstellt, bei denen jeder in einem Kostüm kam. Es ist eine großartige Erfahrung für die Teambildung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause von der normalen Routine zu feiern. Es ist viel einfacher, sich zu engagieren, wenn die Inhalte relevant sind und bei der Lösung echter Probleme helfen, als wenn man sich Videos oder eine jährliche Prüfung zur Einhaltung von Vorschriften ansieht.
Was sind Ihrer Meinung nach die größten Herausforderungen, denen sich Entwickler heutzutage stellen müssen?
Ich denke, es ist wichtig festzustellen, dass Entwickler zwar gut arbeiten wollen, aber in ihrer Ausbildung oder in ihrer Laufbahn nicht ausreichend für das Thema Sicherheit sensibilisiert worden sind. Sie neigen auch dazu, die Sicherheit als außerhalb ihres Verantwortungsbereichs liegend zu betrachten, und in der großen Mehrheit der Unternehmen beinhalten ihre KPIs nichts, was mit sicheren Kodierungsergebnissen zu tun hat.Wenn wir eine Veränderung im Umfang der Schwachstellen auf Code-Ebene sehen wollen, muss dieser Status quo durchbrochen werden. Entwickler brauchen jedoch die richtige Unterstützung und die richtigen Tools, um die gewünschte Veränderung herbeizuführen. Die Herausforderung besteht darin, sie effektiv zu befähigen, ihnen Zeit für die Schulung zu geben und jetzt in diese Weiterbildung zu investieren, um später eine schnelle Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihren Arbeitsbereich ausgewirkt?
Während jedes Unternehmen zweifellos einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets zu spüren bekam, hatten wir bisher das Glück, den Sturm zu überstehen. Cybersicherheit ist für die meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Welche bewährten Verfahren sollten Unternehmen bei der Entwicklung von Software oder Anwendungen anwenden?
Jedes Unternehmen hat seine eigenen Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, über den Tellerrand hinauszuschauen und verschiedene Ansätze auszuprobieren. Sie vergessen nicht, dass die Menschen einen positiven Einfluss auf die Sicherheitsergebnisse haben können. Angesichts der weltweiten Lücke bei den Sicherheitskompetenzen, die wahrscheinlich in absehbarer Zeit nicht geschlossen werden kann, können sicherheitsfähige Entwickler jedoch dazu beitragen, Risiken zu verringern und die Einhaltung von Vorschriften bei der Softwareerstellung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses einen Beitrag leisten.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Kodierungswerkzeugen den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte eine Art von rollenbasierter Sicherheitsschulung durchführen. Es gibt eine Fülle von Bedrohungen, die nicht nur auf Code-Ebene bestehen, sondern auch von Bedrohungsakteuren ausgenutzt werden können. Daher muss jede einzelne Person im Unternehmen regelmäßig mit den Sicherheitsgrundsätzen vertraut gemacht werden, die für ihre Arbeit relevant sind - vom Büroleiter bis zum Buchhaltungsteam.
In Anbetracht des derzeitigen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den geringsten Kosten zu gewährleisten. Was würden Sie ihnen raten?
CISOs müssen in diesem Klima ein gewisses Maß an Kreativität an den Tag legen, zumal die Gesetzgebung zur Cybersicherheit immer anspruchsvoller wird und in einigen Fällen dazu führt, dass CISOs im Falle eines Verstoßes persönlich zur Verantwortung gezogen werden. Wenn dann noch Entlassungen hinzukommen, wird von weniger Ingenieuren erwartet, dass sie mehr Verantwortung übernehmen und gleichzeitig die gleiche Menge an Software schreiben. CISOs können dem Unternehmen helfen, erfolgreich zu sein, indem sie eines der größten Hindernisse aus dem Weg räumen, das sie bremst: die Sicherheit.
Es ist bei weitem am günstigsten, Sicherheitslücken und Fehlkonfigurationen auf Code-Ebene zu beheben, bevor die Software ausgeliefert wird, was den Entwickler natürlich in die beste Position bringt, dieses Risiko zu verringern. Dazu brauchen sie jedoch maßgeschneiderte Unterstützung. Sicherheit in kürzester Zeit ist möglich, wenn die Entwickler mit Tools versorgt werden, die auf den Entwickler ausgerichtet sind und seine aktuellen Arbeitsabläufe und technischen Möglichkeiten berücksichtigen. Sie müssen in die Lage versetzt werden, Sicherheit mit hoher Geschwindigkeit zu erreichen, und das geht am besten, indem man ihnen zeigt, wie sie sichere Codierungsmuster verwenden und Dinge schneller beheben können.
Für die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen auf die Beseitigung von Schwachstellen an der Quelle hinarbeiten und so später im Lebenszyklus der Softwareentwicklung (SDLC) Zeit und Geld sparen. Angesichts der Häufigkeit groß angelegter Angriffe und der Tatsache, dass CISOs mehr Verantwortung tragen müssen als je zuvor in der Geschichte, müssen wir aufhören, den Mangel an Cybersecurity-Kenntnissen für den Rückstand verantwortlich zu machen. Setzen Sie Prioritäten bei defensiven Sicherheitspraktiken und fördern Sie das Personal, das Sie bereits vor sich haben.
Wie sieht die Zukunft von Secure Code Warrior aus?
Wir wollen weiterhin innovativ sein und bei den Lösungen, die wir auf den Markt bringen, den Entwickler in den Vordergrund stellen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne die Geschwindigkeit der Funktionsbereitstellung zu beeinträchtigen oder ihre Vernunft beim Jonglieren mit mehreren Prioritäten zu verlieren.
Unser Ziel ist es, Unternehmen bei der Revolutionierung ihrer defensiven Sicherheitsprogramme zu unterstützen, und wir möchten, dass sicherheitsfähige Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Raum.
CyberNews im Gespräch mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrior.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieses Interview erschien ursprünglich in CyberNews.
Trotz der weiten Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Mühe, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene schaffen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu erörtern, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und zu entschärfen, hat sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrioreinem Unternehmen, das eine learning platform und eine Reihe von Tools für Entwickler anbietet, die Entwicklungsteams bei der Erkennung von Sicherheitslücken unterstützen.
Wie hat sich Ihre Reise gestaltet? Wie kam es zu der Idee von Secure Code Warrior ?
Als junger Nerd war ich fasziniert davon, Technik auseinanderzunehmen, um herauszufinden, was in ihr steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsamen Geräte ging ich schließlich dazu über, den gleichen Ansatz mit Hardware und Software zu verfolgen und nach Möglichkeiten zu suchen, sie zu knacken und zu zerstören. Damit war eine lebenslange Leidenschaft für die Sicherheit geboren, und viele Jahre lang konzentrierte ich mich darauf, meine Fähigkeiten zum "Brechen" mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen, indem ich zeigte, wie man Fehler in Software findet, nutzt und missbraucht. Später konzentrierte ich mich darauf, die Verteidiger weiterzubilden, indem ich Entwicklern gute, sichere Programmiermuster im Unterricht beibrachte und ihnen half, häufige Schwachstellen zu verstehen und sie zu vermeiden. Ich arbeitete auch in der Beratung, wo ich große Unternehmen beriet, wie sie ihre Sicherheitsprogramme verbessern konnten, insbesondere was die Einbeziehung von Entwicklern betraf. In dieser Zeit lernte ich mein heutiges Gründungsteam bei Secure Code Warrior kennen. Gemeinsam erkannten wir die Probleme, mit denen sowohl Sicherheits- als auch Entwicklungsteams konfrontiert waren, wenn es um Schwachstellen auf Code-Ebene ging, sowie die Probleme, die mit den meisten Schulungslösungen zur Verbesserung der Sicherheitskompetenz von Entwicklern bestanden. Wir begannen mit der Arbeit an unserer Vision einer learning platform , die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend ist. Letztendlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung des Entwicklers zugeschnitten sind, ihn weniger stören und ihm helfen, eine sicherheitsorientierte Denkweise zu entwickeln. Und wir wollten dies so sprachflexibel und inhaltsreich wie möglich gestalten.
Können Sie uns vorstellen, was Sie tun? Was sind die größten Herausforderungen, bei deren Bewältigung Sie helfen?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine learning platform und eine Reihe von Tools für Entwickler entwickelt, die Entwicklungsteams bei der Behebung gängiger Sicherheitsschwachstellen unterstützen, von denen viele schon seit Jahrzehnten bestehen und die Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund für das Fortbestehen dieser Schwachstellen ist, dass die Entwickler nicht über die erforderlichen Schulungen und Fähigkeiten verfügen, um diese Probleme auf Code-Ebene zu beheben, und dass sie diese Schwachstellen häufig durch die fortgesetzte Verwendung schlechter Codierungsmuster und -techniken überhaupt erst verursachen; sie werden nicht auf Hochschulniveau in sicherer Codierung unterrichtet, und die meisten Schulungsprogramme am Arbeitsplatz sind nicht in der Lage, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und werden zudem zu selten durchgeführt, um sich wirklich auf die Code-Qualität und die Sicherheit im Laufe der Zeit auszuwirken. Unsere Lösungen zielen darauf ab, eine ansprechende, relevante Kompetenzentwicklung zu bieten, die das Verhalten der Programmierer verändert und ihnen hilft, die Sicherheit in der realen Welt in den Vordergrund zu stellen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am meisten vertraut sind, und unser Fokus auf kontextbezogenes Lernen gibt den Benutzern die besten Chancen, die wichtigsten Schulungsergebnisse zu behalten.
Da das Erlernen von sicherem Kodieren für manche langweilig klingen mag, wie schaffen Sie es, Ihre Schulungen effektiv und dennoch unterhaltsam zu gestalten?
Unser Flaggschiff learning platform ist so konzipiert, dass die Beteiligung der Entwickler im Vordergrund steht. Eine der beliebtesten Funktionen ist der Tournament Modus, in dem die Teilnehmer ihr Wissen, das sie während der Schulung erworben haben, gegen ihre Kollegen testen können. Für jede richtige Antwort gibt es Punkte und eine Live-Rangliste, die während der gesamten tournament Sitzung aktualisiert wird. Wir haben dies bei Community-Veranstaltungen und Konferenzen durchgeführt, und einige unserer Kunden haben unglaublich komplizierte Themen erstellt, bei denen jeder in einem Kostüm kam. Es ist eine großartige Erfahrung für die Teambildung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause von der normalen Routine zu feiern. Es ist viel einfacher, sich zu engagieren, wenn die Inhalte relevant sind und bei der Lösung echter Probleme helfen, als wenn man sich Videos oder eine jährliche Prüfung zur Einhaltung von Vorschriften ansieht.
Was sind Ihrer Meinung nach die größten Herausforderungen, denen sich Entwickler heutzutage stellen müssen?
Ich denke, es ist wichtig festzustellen, dass Entwickler zwar gut arbeiten wollen, aber in ihrer Ausbildung oder in ihrer Laufbahn nicht ausreichend für das Thema Sicherheit sensibilisiert worden sind. Sie neigen auch dazu, die Sicherheit als außerhalb ihres Verantwortungsbereichs liegend zu betrachten, und in der großen Mehrheit der Unternehmen beinhalten ihre KPIs nichts, was mit sicheren Kodierungsergebnissen zu tun hat.Wenn wir eine Veränderung im Umfang der Schwachstellen auf Code-Ebene sehen wollen, muss dieser Status quo durchbrochen werden. Entwickler brauchen jedoch die richtige Unterstützung und die richtigen Tools, um die gewünschte Veränderung herbeizuführen. Die Herausforderung besteht darin, sie effektiv zu befähigen, ihnen Zeit für die Schulung zu geben und jetzt in diese Weiterbildung zu investieren, um später eine schnelle Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihren Arbeitsbereich ausgewirkt?
Während jedes Unternehmen zweifellos einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets zu spüren bekam, hatten wir bisher das Glück, den Sturm zu überstehen. Cybersicherheit ist für die meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Welche bewährten Verfahren sollten Unternehmen bei der Entwicklung von Software oder Anwendungen anwenden?
Jedes Unternehmen hat seine eigenen Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, über den Tellerrand hinauszuschauen und verschiedene Ansätze auszuprobieren. Sie vergessen nicht, dass die Menschen einen positiven Einfluss auf die Sicherheitsergebnisse haben können. Angesichts der weltweiten Lücke bei den Sicherheitskompetenzen, die wahrscheinlich in absehbarer Zeit nicht geschlossen werden kann, können sicherheitsfähige Entwickler jedoch dazu beitragen, Risiken zu verringern und die Einhaltung von Vorschriften bei der Softwareerstellung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses einen Beitrag leisten.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Kodierungswerkzeugen den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte eine Art von rollenbasierter Sicherheitsschulung durchführen. Es gibt eine Fülle von Bedrohungen, die nicht nur auf Code-Ebene bestehen, sondern auch von Bedrohungsakteuren ausgenutzt werden können. Daher muss jede einzelne Person im Unternehmen regelmäßig mit den Sicherheitsgrundsätzen vertraut gemacht werden, die für ihre Arbeit relevant sind - vom Büroleiter bis zum Buchhaltungsteam.
In Anbetracht des derzeitigen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den geringsten Kosten zu gewährleisten. Was würden Sie ihnen raten?
CISOs müssen in diesem Klima ein gewisses Maß an Kreativität an den Tag legen, zumal die Gesetzgebung zur Cybersicherheit immer anspruchsvoller wird und in einigen Fällen dazu führt, dass CISOs im Falle eines Verstoßes persönlich zur Verantwortung gezogen werden. Wenn dann noch Entlassungen hinzukommen, wird von weniger Ingenieuren erwartet, dass sie mehr Verantwortung übernehmen und gleichzeitig die gleiche Menge an Software schreiben. CISOs können dem Unternehmen helfen, erfolgreich zu sein, indem sie eines der größten Hindernisse aus dem Weg räumen, das sie bremst: die Sicherheit.
Es ist bei weitem am günstigsten, Sicherheitslücken und Fehlkonfigurationen auf Code-Ebene zu beheben, bevor die Software ausgeliefert wird, was den Entwickler natürlich in die beste Position bringt, dieses Risiko zu verringern. Dazu brauchen sie jedoch maßgeschneiderte Unterstützung. Sicherheit in kürzester Zeit ist möglich, wenn die Entwickler mit Tools versorgt werden, die auf den Entwickler ausgerichtet sind und seine aktuellen Arbeitsabläufe und technischen Möglichkeiten berücksichtigen. Sie müssen in die Lage versetzt werden, Sicherheit mit hoher Geschwindigkeit zu erreichen, und das geht am besten, indem man ihnen zeigt, wie sie sichere Codierungsmuster verwenden und Dinge schneller beheben können.
Für die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen auf die Beseitigung von Schwachstellen an der Quelle hinarbeiten und so später im Lebenszyklus der Softwareentwicklung (SDLC) Zeit und Geld sparen. Angesichts der Häufigkeit groß angelegter Angriffe und der Tatsache, dass CISOs mehr Verantwortung tragen müssen als je zuvor in der Geschichte, müssen wir aufhören, den Mangel an Cybersecurity-Kenntnissen für den Rückstand verantwortlich zu machen. Setzen Sie Prioritäten bei defensiven Sicherheitspraktiken und fördern Sie das Personal, das Sie bereits vor sich haben.
Wie sieht die Zukunft von Secure Code Warrior aus?
Wir wollen weiterhin innovativ sein und bei den Lösungen, die wir auf den Markt bringen, den Entwickler in den Vordergrund stellen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne die Geschwindigkeit der Funktionsbereitstellung zu beeinträchtigen oder ihre Vernunft beim Jonglieren mit mehreren Prioritäten zu verlieren.
Unser Ziel ist es, Unternehmen bei der Revolutionierung ihrer defensiven Sicherheitsprogramme zu unterstützen, und wir möchten, dass sicherheitsfähige Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Raum.
Dieses Interview erschien ursprünglich in CyberNews.
Trotz der weiten Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Mühe, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene schaffen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu erörtern, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und zu entschärfen, hat sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrioreinem Unternehmen, das eine learning platform und eine Reihe von Tools für Entwickler anbietet, die Entwicklungsteams bei der Erkennung von Sicherheitslücken unterstützen.
Wie hat sich Ihre Reise gestaltet? Wie kam es zu der Idee von Secure Code Warrior ?
Als junger Nerd war ich fasziniert davon, Technik auseinanderzunehmen, um herauszufinden, was in ihr steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsamen Geräte ging ich schließlich dazu über, den gleichen Ansatz mit Hardware und Software zu verfolgen und nach Möglichkeiten zu suchen, sie zu knacken und zu zerstören. Damit war eine lebenslange Leidenschaft für die Sicherheit geboren, und viele Jahre lang konzentrierte ich mich darauf, meine Fähigkeiten zum "Brechen" mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen, indem ich zeigte, wie man Fehler in Software findet, nutzt und missbraucht. Später konzentrierte ich mich darauf, die Verteidiger weiterzubilden, indem ich Entwicklern gute, sichere Programmiermuster im Unterricht beibrachte und ihnen half, häufige Schwachstellen zu verstehen und sie zu vermeiden. Ich arbeitete auch in der Beratung, wo ich große Unternehmen beriet, wie sie ihre Sicherheitsprogramme verbessern konnten, insbesondere was die Einbeziehung von Entwicklern betraf. In dieser Zeit lernte ich mein heutiges Gründungsteam bei Secure Code Warrior kennen. Gemeinsam erkannten wir die Probleme, mit denen sowohl Sicherheits- als auch Entwicklungsteams konfrontiert waren, wenn es um Schwachstellen auf Code-Ebene ging, sowie die Probleme, die mit den meisten Schulungslösungen zur Verbesserung der Sicherheitskompetenz von Entwicklern bestanden. Wir begannen mit der Arbeit an unserer Vision einer learning platform , die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend ist. Letztendlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung des Entwicklers zugeschnitten sind, ihn weniger stören und ihm helfen, eine sicherheitsorientierte Denkweise zu entwickeln. Und wir wollten dies so sprachflexibel und inhaltsreich wie möglich gestalten.
Können Sie uns vorstellen, was Sie tun? Was sind die größten Herausforderungen, bei deren Bewältigung Sie helfen?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine learning platform und eine Reihe von Tools für Entwickler entwickelt, die Entwicklungsteams bei der Behebung gängiger Sicherheitsschwachstellen unterstützen, von denen viele schon seit Jahrzehnten bestehen und die Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund für das Fortbestehen dieser Schwachstellen ist, dass die Entwickler nicht über die erforderlichen Schulungen und Fähigkeiten verfügen, um diese Probleme auf Code-Ebene zu beheben, und dass sie diese Schwachstellen häufig durch die fortgesetzte Verwendung schlechter Codierungsmuster und -techniken überhaupt erst verursachen; sie werden nicht auf Hochschulniveau in sicherer Codierung unterrichtet, und die meisten Schulungsprogramme am Arbeitsplatz sind nicht in der Lage, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und werden zudem zu selten durchgeführt, um sich wirklich auf die Code-Qualität und die Sicherheit im Laufe der Zeit auszuwirken. Unsere Lösungen zielen darauf ab, eine ansprechende, relevante Kompetenzentwicklung zu bieten, die das Verhalten der Programmierer verändert und ihnen hilft, die Sicherheit in der realen Welt in den Vordergrund zu stellen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am meisten vertraut sind, und unser Fokus auf kontextbezogenes Lernen gibt den Benutzern die besten Chancen, die wichtigsten Schulungsergebnisse zu behalten.
Da das Erlernen von sicherem Kodieren für manche langweilig klingen mag, wie schaffen Sie es, Ihre Schulungen effektiv und dennoch unterhaltsam zu gestalten?
Unser Flaggschiff learning platform ist so konzipiert, dass die Beteiligung der Entwickler im Vordergrund steht. Eine der beliebtesten Funktionen ist der Tournament Modus, in dem die Teilnehmer ihr Wissen, das sie während der Schulung erworben haben, gegen ihre Kollegen testen können. Für jede richtige Antwort gibt es Punkte und eine Live-Rangliste, die während der gesamten tournament Sitzung aktualisiert wird. Wir haben dies bei Community-Veranstaltungen und Konferenzen durchgeführt, und einige unserer Kunden haben unglaublich komplizierte Themen erstellt, bei denen jeder in einem Kostüm kam. Es ist eine großartige Erfahrung für die Teambildung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause von der normalen Routine zu feiern. Es ist viel einfacher, sich zu engagieren, wenn die Inhalte relevant sind und bei der Lösung echter Probleme helfen, als wenn man sich Videos oder eine jährliche Prüfung zur Einhaltung von Vorschriften ansieht.
Was sind Ihrer Meinung nach die größten Herausforderungen, denen sich Entwickler heutzutage stellen müssen?
Ich denke, es ist wichtig festzustellen, dass Entwickler zwar gut arbeiten wollen, aber in ihrer Ausbildung oder in ihrer Laufbahn nicht ausreichend für das Thema Sicherheit sensibilisiert worden sind. Sie neigen auch dazu, die Sicherheit als außerhalb ihres Verantwortungsbereichs liegend zu betrachten, und in der großen Mehrheit der Unternehmen beinhalten ihre KPIs nichts, was mit sicheren Kodierungsergebnissen zu tun hat.Wenn wir eine Veränderung im Umfang der Schwachstellen auf Code-Ebene sehen wollen, muss dieser Status quo durchbrochen werden. Entwickler brauchen jedoch die richtige Unterstützung und die richtigen Tools, um die gewünschte Veränderung herbeizuführen. Die Herausforderung besteht darin, sie effektiv zu befähigen, ihnen Zeit für die Schulung zu geben und jetzt in diese Weiterbildung zu investieren, um später eine schnelle Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihren Arbeitsbereich ausgewirkt?
Während jedes Unternehmen zweifellos einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets zu spüren bekam, hatten wir bisher das Glück, den Sturm zu überstehen. Cybersicherheit ist für die meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Welche bewährten Verfahren sollten Unternehmen bei der Entwicklung von Software oder Anwendungen anwenden?
Jedes Unternehmen hat seine eigenen Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, über den Tellerrand hinauszuschauen und verschiedene Ansätze auszuprobieren. Sie vergessen nicht, dass die Menschen einen positiven Einfluss auf die Sicherheitsergebnisse haben können. Angesichts der weltweiten Lücke bei den Sicherheitskompetenzen, die wahrscheinlich in absehbarer Zeit nicht geschlossen werden kann, können sicherheitsfähige Entwickler jedoch dazu beitragen, Risiken zu verringern und die Einhaltung von Vorschriften bei der Softwareerstellung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses einen Beitrag leisten.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Kodierungswerkzeugen den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte eine Art von rollenbasierter Sicherheitsschulung durchführen. Es gibt eine Fülle von Bedrohungen, die nicht nur auf Code-Ebene bestehen, sondern auch von Bedrohungsakteuren ausgenutzt werden können. Daher muss jede einzelne Person im Unternehmen regelmäßig mit den Sicherheitsgrundsätzen vertraut gemacht werden, die für ihre Arbeit relevant sind - vom Büroleiter bis zum Buchhaltungsteam.
In Anbetracht des derzeitigen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den geringsten Kosten zu gewährleisten. Was würden Sie ihnen raten?
CISOs müssen in diesem Klima ein gewisses Maß an Kreativität an den Tag legen, zumal die Gesetzgebung zur Cybersicherheit immer anspruchsvoller wird und in einigen Fällen dazu führt, dass CISOs im Falle eines Verstoßes persönlich zur Verantwortung gezogen werden. Wenn dann noch Entlassungen hinzukommen, wird von weniger Ingenieuren erwartet, dass sie mehr Verantwortung übernehmen und gleichzeitig die gleiche Menge an Software schreiben. CISOs können dem Unternehmen helfen, erfolgreich zu sein, indem sie eines der größten Hindernisse aus dem Weg räumen, das sie bremst: die Sicherheit.
Es ist bei weitem am günstigsten, Sicherheitslücken und Fehlkonfigurationen auf Code-Ebene zu beheben, bevor die Software ausgeliefert wird, was den Entwickler natürlich in die beste Position bringt, dieses Risiko zu verringern. Dazu brauchen sie jedoch maßgeschneiderte Unterstützung. Sicherheit in kürzester Zeit ist möglich, wenn die Entwickler mit Tools versorgt werden, die auf den Entwickler ausgerichtet sind und seine aktuellen Arbeitsabläufe und technischen Möglichkeiten berücksichtigen. Sie müssen in die Lage versetzt werden, Sicherheit mit hoher Geschwindigkeit zu erreichen, und das geht am besten, indem man ihnen zeigt, wie sie sichere Codierungsmuster verwenden und Dinge schneller beheben können.
Für die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen auf die Beseitigung von Schwachstellen an der Quelle hinarbeiten und so später im Lebenszyklus der Softwareentwicklung (SDLC) Zeit und Geld sparen. Angesichts der Häufigkeit groß angelegter Angriffe und der Tatsache, dass CISOs mehr Verantwortung tragen müssen als je zuvor in der Geschichte, müssen wir aufhören, den Mangel an Cybersecurity-Kenntnissen für den Rückstand verantwortlich zu machen. Setzen Sie Prioritäten bei defensiven Sicherheitspraktiken und fördern Sie das Personal, das Sie bereits vor sich haben.
Wie sieht die Zukunft von Secure Code Warrior aus?
Wir wollen weiterhin innovativ sein und bei den Lösungen, die wir auf den Markt bringen, den Entwickler in den Vordergrund stellen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne die Geschwindigkeit der Funktionsbereitstellung zu beeinträchtigen oder ihre Vernunft beim Jonglieren mit mehreren Prioritäten zu verlieren.
Unser Ziel ist es, Unternehmen bei der Revolutionierung ihrer defensiven Sicherheitsprogramme zu unterstützen, und wir möchten, dass sicherheitsfähige Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Raum.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Dieses Interview erschien ursprünglich in CyberNews.
Trotz der weiten Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Mühe, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene schaffen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu erörtern, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und zu entschärfen, hat sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrioreinem Unternehmen, das eine learning platform und eine Reihe von Tools für Entwickler anbietet, die Entwicklungsteams bei der Erkennung von Sicherheitslücken unterstützen.
Wie hat sich Ihre Reise gestaltet? Wie kam es zu der Idee von Secure Code Warrior ?
Als junger Nerd war ich fasziniert davon, Technik auseinanderzunehmen, um herauszufinden, was in ihr steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsamen Geräte ging ich schließlich dazu über, den gleichen Ansatz mit Hardware und Software zu verfolgen und nach Möglichkeiten zu suchen, sie zu knacken und zu zerstören. Damit war eine lebenslange Leidenschaft für die Sicherheit geboren, und viele Jahre lang konzentrierte ich mich darauf, meine Fähigkeiten zum "Brechen" mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen, indem ich zeigte, wie man Fehler in Software findet, nutzt und missbraucht. Später konzentrierte ich mich darauf, die Verteidiger weiterzubilden, indem ich Entwicklern gute, sichere Programmiermuster im Unterricht beibrachte und ihnen half, häufige Schwachstellen zu verstehen und sie zu vermeiden. Ich arbeitete auch in der Beratung, wo ich große Unternehmen beriet, wie sie ihre Sicherheitsprogramme verbessern konnten, insbesondere was die Einbeziehung von Entwicklern betraf. In dieser Zeit lernte ich mein heutiges Gründungsteam bei Secure Code Warrior kennen. Gemeinsam erkannten wir die Probleme, mit denen sowohl Sicherheits- als auch Entwicklungsteams konfrontiert waren, wenn es um Schwachstellen auf Code-Ebene ging, sowie die Probleme, die mit den meisten Schulungslösungen zur Verbesserung der Sicherheitskompetenz von Entwicklern bestanden. Wir begannen mit der Arbeit an unserer Vision einer learning platform , die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend ist. Letztendlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung des Entwicklers zugeschnitten sind, ihn weniger stören und ihm helfen, eine sicherheitsorientierte Denkweise zu entwickeln. Und wir wollten dies so sprachflexibel und inhaltsreich wie möglich gestalten.
Können Sie uns vorstellen, was Sie tun? Was sind die größten Herausforderungen, bei deren Bewältigung Sie helfen?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine learning platform und eine Reihe von Tools für Entwickler entwickelt, die Entwicklungsteams bei der Behebung gängiger Sicherheitsschwachstellen unterstützen, von denen viele schon seit Jahrzehnten bestehen und die Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund für das Fortbestehen dieser Schwachstellen ist, dass die Entwickler nicht über die erforderlichen Schulungen und Fähigkeiten verfügen, um diese Probleme auf Code-Ebene zu beheben, und dass sie diese Schwachstellen häufig durch die fortgesetzte Verwendung schlechter Codierungsmuster und -techniken überhaupt erst verursachen; sie werden nicht auf Hochschulniveau in sicherer Codierung unterrichtet, und die meisten Schulungsprogramme am Arbeitsplatz sind nicht in der Lage, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und werden zudem zu selten durchgeführt, um sich wirklich auf die Code-Qualität und die Sicherheit im Laufe der Zeit auszuwirken. Unsere Lösungen zielen darauf ab, eine ansprechende, relevante Kompetenzentwicklung zu bieten, die das Verhalten der Programmierer verändert und ihnen hilft, die Sicherheit in der realen Welt in den Vordergrund zu stellen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am meisten vertraut sind, und unser Fokus auf kontextbezogenes Lernen gibt den Benutzern die besten Chancen, die wichtigsten Schulungsergebnisse zu behalten.
Da das Erlernen von sicherem Kodieren für manche langweilig klingen mag, wie schaffen Sie es, Ihre Schulungen effektiv und dennoch unterhaltsam zu gestalten?
Unser Flaggschiff learning platform ist so konzipiert, dass die Beteiligung der Entwickler im Vordergrund steht. Eine der beliebtesten Funktionen ist der Tournament Modus, in dem die Teilnehmer ihr Wissen, das sie während der Schulung erworben haben, gegen ihre Kollegen testen können. Für jede richtige Antwort gibt es Punkte und eine Live-Rangliste, die während der gesamten tournament Sitzung aktualisiert wird. Wir haben dies bei Community-Veranstaltungen und Konferenzen durchgeführt, und einige unserer Kunden haben unglaublich komplizierte Themen erstellt, bei denen jeder in einem Kostüm kam. Es ist eine großartige Erfahrung für die Teambildung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause von der normalen Routine zu feiern. Es ist viel einfacher, sich zu engagieren, wenn die Inhalte relevant sind und bei der Lösung echter Probleme helfen, als wenn man sich Videos oder eine jährliche Prüfung zur Einhaltung von Vorschriften ansieht.
Was sind Ihrer Meinung nach die größten Herausforderungen, denen sich Entwickler heutzutage stellen müssen?
Ich denke, es ist wichtig festzustellen, dass Entwickler zwar gut arbeiten wollen, aber in ihrer Ausbildung oder in ihrer Laufbahn nicht ausreichend für das Thema Sicherheit sensibilisiert worden sind. Sie neigen auch dazu, die Sicherheit als außerhalb ihres Verantwortungsbereichs liegend zu betrachten, und in der großen Mehrheit der Unternehmen beinhalten ihre KPIs nichts, was mit sicheren Kodierungsergebnissen zu tun hat.Wenn wir eine Veränderung im Umfang der Schwachstellen auf Code-Ebene sehen wollen, muss dieser Status quo durchbrochen werden. Entwickler brauchen jedoch die richtige Unterstützung und die richtigen Tools, um die gewünschte Veränderung herbeizuführen. Die Herausforderung besteht darin, sie effektiv zu befähigen, ihnen Zeit für die Schulung zu geben und jetzt in diese Weiterbildung zu investieren, um später eine schnelle Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihren Arbeitsbereich ausgewirkt?
Während jedes Unternehmen zweifellos einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets zu spüren bekam, hatten wir bisher das Glück, den Sturm zu überstehen. Cybersicherheit ist für die meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Welche bewährten Verfahren sollten Unternehmen bei der Entwicklung von Software oder Anwendungen anwenden?
Jedes Unternehmen hat seine eigenen Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, über den Tellerrand hinauszuschauen und verschiedene Ansätze auszuprobieren. Sie vergessen nicht, dass die Menschen einen positiven Einfluss auf die Sicherheitsergebnisse haben können. Angesichts der weltweiten Lücke bei den Sicherheitskompetenzen, die wahrscheinlich in absehbarer Zeit nicht geschlossen werden kann, können sicherheitsfähige Entwickler jedoch dazu beitragen, Risiken zu verringern und die Einhaltung von Vorschriften bei der Softwareerstellung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses einen Beitrag leisten.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Kodierungswerkzeugen den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte eine Art von rollenbasierter Sicherheitsschulung durchführen. Es gibt eine Fülle von Bedrohungen, die nicht nur auf Code-Ebene bestehen, sondern auch von Bedrohungsakteuren ausgenutzt werden können. Daher muss jede einzelne Person im Unternehmen regelmäßig mit den Sicherheitsgrundsätzen vertraut gemacht werden, die für ihre Arbeit relevant sind - vom Büroleiter bis zum Buchhaltungsteam.
In Anbetracht des derzeitigen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den geringsten Kosten zu gewährleisten. Was würden Sie ihnen raten?
CISOs müssen in diesem Klima ein gewisses Maß an Kreativität an den Tag legen, zumal die Gesetzgebung zur Cybersicherheit immer anspruchsvoller wird und in einigen Fällen dazu führt, dass CISOs im Falle eines Verstoßes persönlich zur Verantwortung gezogen werden. Wenn dann noch Entlassungen hinzukommen, wird von weniger Ingenieuren erwartet, dass sie mehr Verantwortung übernehmen und gleichzeitig die gleiche Menge an Software schreiben. CISOs können dem Unternehmen helfen, erfolgreich zu sein, indem sie eines der größten Hindernisse aus dem Weg räumen, das sie bremst: die Sicherheit.
Es ist bei weitem am günstigsten, Sicherheitslücken und Fehlkonfigurationen auf Code-Ebene zu beheben, bevor die Software ausgeliefert wird, was den Entwickler natürlich in die beste Position bringt, dieses Risiko zu verringern. Dazu brauchen sie jedoch maßgeschneiderte Unterstützung. Sicherheit in kürzester Zeit ist möglich, wenn die Entwickler mit Tools versorgt werden, die auf den Entwickler ausgerichtet sind und seine aktuellen Arbeitsabläufe und technischen Möglichkeiten berücksichtigen. Sie müssen in die Lage versetzt werden, Sicherheit mit hoher Geschwindigkeit zu erreichen, und das geht am besten, indem man ihnen zeigt, wie sie sichere Codierungsmuster verwenden und Dinge schneller beheben können.
Für die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen auf die Beseitigung von Schwachstellen an der Quelle hinarbeiten und so später im Lebenszyklus der Softwareentwicklung (SDLC) Zeit und Geld sparen. Angesichts der Häufigkeit groß angelegter Angriffe und der Tatsache, dass CISOs mehr Verantwortung tragen müssen als je zuvor in der Geschichte, müssen wir aufhören, den Mangel an Cybersecurity-Kenntnissen für den Rückstand verantwortlich zu machen. Setzen Sie Prioritäten bei defensiven Sicherheitspraktiken und fördern Sie das Personal, das Sie bereits vor sich haben.
Wie sieht die Zukunft von Secure Code Warrior aus?
Wir wollen weiterhin innovativ sein und bei den Lösungen, die wir auf den Markt bringen, den Entwickler in den Vordergrund stellen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne die Geschwindigkeit der Funktionsbereitstellung zu beeinträchtigen oder ihre Vernunft beim Jonglieren mit mehreren Prioritäten zu verlieren.
Unser Ziel ist es, Unternehmen bei der Revolutionierung ihrer defensiven Sicherheitsprogramme zu unterstützen, und wir möchten, dass sicherheitsfähige Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Raum.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.