Statisch Vs. Dynamisches Cybersecurity-Training: Impulsive Compliance, zukünftige Probleme
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Zwar werden sich die regulatorischen Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, könnten sie sich für die Zukunft nur schlecht gerüstet sehen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
10 wichtige Vorhersagen: Secure Code Warrior über den Einfluss von KI und Secure-by-Design im Jahr 2025
Unternehmen stehen vor schwierigen Entscheidungen über den Einsatz von KI, um die langfristige Produktivität, Nachhaltigkeit und den Sicherheits-ROI zu unterstützen. In den letzten Jahren ist uns klar geworden, dass KI die Rolle des Entwicklers niemals vollständig ersetzen wird. Von KI + Entwicklerpartnerschaften bis hin zum zunehmenden Druck (und der Verwirrung) rund um die Secure-by-Design-Erwartungen - lassen Sie uns einen genaueren Blick darauf werfen, was wir im nächsten Jahr erwarten können.
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.