Wer zuerst kommt, mahlt zuerst: Warum kuratierte sichere Codierung courses keine Gnade mit Cyber-Bedrohungen kennt

Veröffentlicht Jul 20, 2020
von Matias Madou, Ph.D.
FALLSTUDIE

Wer zuerst kommt, mahlt zuerst: Warum kuratierte sichere Codierung courses keine Gnade mit Cyber-Bedrohungen kennt

Veröffentlicht Jul 20, 2020
von Matias Madou, Ph.D.
Ressource anzeigen
Ressource anzeigen

Es gibt da draußen so etwas wie eine unbequeme Wahrheit, die von Regierungen, großen Unternehmen und sogar einigen Branchenführern gerne beschönigt wird: Als Gesellschaft befinden wir uns in einem ständigen Kampf gegen Cyber-Bedrohungen, und wir sind derzeit auf der Verliererseite. Woher wissen wir das? Diese Statistiken erzählen eine ernüchternde Geschichte:

Wenn es um Cybersicherheitsspezialisten geht, sind wir kritisch unterbesetzt; es ist unwahrscheinlich, dass die Qualifikationslücke geschlossen wird, und es gibt keine geheime AppSec-Armee, die uns aus der Patsche hilft. Das wissen wir seit Jahren, und wir müssen unseren Ansatz ändern. In unserem Fall ist der beste Angriff eine großartige Verteidigung, und wir können mit einem guten Plan zuerst zuschlagen.

Das klingt alles ein bisschen deprimierend, aber es ist nicht so schlimm, wie manche uns glauben machen wollen. Wir haben ein Ass im Ärmel, und das Cybersecurity-Klima bietet uns eine goldene Gelegenheit. Sie brauchen nicht weiter zu suchen als Ihre internen Entwicklungsteams, um das Personal zu finden, das die Organisation retten wird, aber Ihr Sicherheitsprogramm muss sie auf ihrem Weg unterstützen, sicherheitsbewusste Ingenieure zu werden, die bereit sind, die Verantwortung für sicheres Coding zu teilen.

Aber auch die richtigeSchulung, die motiviert, kontextbezogenes Wissen aufbaut und Entwicklern hilft, Sicherheit zu lieben, könnte viel effektiver sein, wenn sie nur besser auf die Bedürfnisse des Unternehmens, die Bedrohungen, denen sie ausgesetzt sind, und die Compliance-Anforderungen, die Unternehmen helfen, all unsere Daten sicher zu halten, abgestimmt wäre.

Und da kommt unsere neueste Funktion ins Spiel, Coursesins Spiel kommt. Übrigens, wenn Sie die Anspielung im Titel verstanden haben, sind Sie offiziell alt (oder schätzen einfach einen Klassiker).

Organisationsspezifisches Lernen: Verteidigung aufbauen, Entwicklerfähigkeiten verstärken

Wir haben alle möglichen Meinungen darüber, warum manche Arten von Entwicklerschulungen besser sind als andere (z.B. langweilen Sie sie nicht mit stundenlangen, trockenen, generischen Videopredigten zu Tode und erwarten dann, dass eine Leidenschaft für sicheres Coding aufblüht). Aber selbst bei wettbewerbsfähigen Schulungen, die darauf ausgelegt sind, die Denkweise von Entwicklern anzusprechen, kann der Inhalt immer noch ein wenig breiter sein, als es für bestimmte Anforderungen innerhalb einer Organisation erforderlich ist.

Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit Best Practices in Sachen Sicherheit durchzustarten. Schneiden Sie die Programme auf Frontend-Teams, Cloud-Ingenieure und mehr zu, mit der Möglichkeit, die wichtigsten Schwachstellen in den für sie relevanten Sprachen und Frameworks zu vertiefen. Entwickler erweitern ihre Fähigkeiten durch kontinuierlichen Kontext, Berührungspunkte und Erfahrung, während das Unternehmen von einem präzisen Bewusstsein für die Probleme profitiert, die das größte Risiko darstellen.

Anpassen eines Kurses für Compliance

Überall auf der Welt werden strengere Vorschriften in Bezug auf Cybersicherheit erlassen, und die Einhaltung von Software-Sicherheitsvorschriften ist eine großartige Grundlage, auf der eine positive, effektive Sicherheitskultur aufgebaut werden kann. Es sollte nicht langweilig sein, und ein gutes Sicherheitsprogramm entfacht bei den Entwicklern ein Gefühl von Stolz und Verantwortung, im Gegensatz zu einem Stöhnen und Facepalm.

Als Ausgangspunkt ist es eine sehr gute Idee, jeden mit den OWASP Top 10 auf den neuesten Stand zu bringen, aber um wirklich neue Höhen in der branchenrelevanten Compliance zu erreichen, können Sie einen maßgeschneiderten Kurs rund um die Anforderungen spezifischer Vorschriften entwerfen. Ein Finanzunternehmen könnte zum Beispiel einen Kurs auf die Compliance-Anforderungen seiner Software zuschneiden, in Übereinstimmung mit den PCI-DSS-Richtlinien, die für Zahlungs- und Kartenverarbeitungsanwendungen gelten. Es steht viel auf dem Spiel, wenn Sie für die Verarbeitung und Speicherung sensibler Daten wie Kreditkartennummern verantwortlich sind, und wenn Sie bei der Schulung von Entwicklern sehr spezifisch vorgehen, können Sie die richtige Schulung zur richtigen Zeit anbieten und die Eignung des Teams viel einfacher überwachen.  

So nutzt General Electric (GE) Courses innerhalb ihrer Teams:

"Courses sind eine großartige Lösung für unsere Ingenieure. Mit der neuen Funktion - die den Lernpfad, die Videos und die Checkpoints in einem anpassbaren Modul bündelt - haben wir die Möglichkeit, die Inhalte so zu gestalten, wie wir sie gerade brauchen. Die Compliance-Funktionen und die Flexibilität bieten eine noch bessere Möglichkeit, einen strafferen und flexibleren Prozess zu gewährleisten. Diese Fähigkeit hat General Electric geholfen, relevante Schulungen für jeden Ingenieur schneller und einfacher als je zuvor zu gestalten."

Und denken Sie daran, dass es sich zwar um eine kuratierte Compliance-Schulung handelt, diese aber immer noch als mundgerechtes, kontextbezogenes und ansprechendes Lernerlebnis geliefert wird, das für Entwickler viel attraktiver ist.

Eine positive Sicherheitskultur, die auf Respekt und Relevanz beruht

Bildung ist ein lebenslanger Prozess, aber in der hektischen Welt von DevSecOps gibt es eine Menge Teller zu drehen. Die Zeit, die für Schulungen vorgesehen ist, sollte klug genutzt werden, mit einem praktikablen Lernpfad, der weiterhin engagiert und wertschöpfend ist.

Indem Sie einen benutzerdefinierten Kurs kuratieren, der hyperrelevant ist, respektieren Sie die Zeit und den Arbeitsablauf des Entwicklers, während Sie gleichzeitig auf eine messbare Reduzierung von Schwachstellen und Cybersicherheitsrisiken für das Unternehmen hinarbeiten.

Die Beziehung zwischen AppSec-Spezialisten und Ingenieuren ist traditionell mit Missverständnissen und Belastungen behaftet, aber strukturiertes Lernen mit Courses kann es beiden Parteien ermöglichen, bei den Best Practices für Sicherheit auf die gleiche Seite zu kommen. Die Entwickler werden es sicherlich zu schätzen wissen, wenn das AppSec-Team sie lösungsorientiert befähigt, was die Belastung für sie minimiert und sie bei der Erstellung eines höheren Codestandards unterstützt.

Schwachstellen ausmerzen, Sicherheitshygiene auf Unternehmensebene skalieren

Wir sind alle Menschen, und leider machen wir Fehler. Diese Fehler können in der digitalen Welt extrem kostspielig sein, sind aber erstaunlich häufig. Der 2019 Internet Security Threat Report von Symantec bestätigt, dass mehr als 70 Millionen Datensätze aufgrund von falsch konfigurierten S3-Buckets gestohlen wurden. Sicherheitsfehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen, wobei menschliches Versagen für etwa ein Viertel davon verantwortlich ist.

Für diese Probleme gibt es eine Reihe von Gründen, aber ein Mangel an Sicherheitsbewusstsein und -schulung ist ein großer Treiber dafür, dass kleine Zeitfenster offen gelassen werden, die Angreifer ausnutzen können. Für eine skalierbare Sicherheitshygiene, die Wirkung zeigt, müssen Sie einen Kurs anbieten, der auf Ihr Unternehmen zugeschnitten ist. Zeigen Sie keine Gnade mit Ihren Angreifern und schalten Sie jede Möglichkeit aus, die Ihnen das größte Kopfzerbrechen bereitet, das Sie je erlebt haben.

Wir sehen bereits eine erstaunliche Wirkung bei unseren Kunden, darunter dieser führende SaaS-Anbieter für cloudbasierte Buchhaltung:

Courses"Der maßgeschneiderte Lernpfad war ein entscheidender Schritt. Die Spezifität rund um die Programmiersprachen und die Schwachstellen bietet mehr Kontrolle und Flexibilität, um die richtige Lernerfahrung für jeden Entwickler auf der Grundlage der individuellen und betrieblichen Bedürfnisse zu schaffen. Die Verwendung von Courses in Verbindung mit der breiteren Plattform für sichere Programmierung von Secure Code Warrior hat das Engagement unserer Entwickler dahingehend verändert, dass sie nun mehr daran interessiert sind, ihre Fähigkeiten im Bereich der sicheren Programmierung zu verbessern, um besseren und sichereren Code zu schreiben."

Machen Sie sich DevSec-bereit. Erfahren Sie mehr über Secure Code Warriors brandneue Funktion Courses hier.

Ressource anzeigen
Ressource anzeigen

Autor

Matias Madou, Ph.D.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Wer zuerst kommt, mahlt zuerst: Warum kuratierte sichere Codierung courses keine Gnade mit Cyber-Bedrohungen kennt

Veröffentlicht Jul 20, 2020
Von Matias Madou, Ph.D.

Es gibt da draußen so etwas wie eine unbequeme Wahrheit, die von Regierungen, großen Unternehmen und sogar einigen Branchenführern gerne beschönigt wird: Als Gesellschaft befinden wir uns in einem ständigen Kampf gegen Cyber-Bedrohungen, und wir sind derzeit auf der Verliererseite. Woher wissen wir das? Diese Statistiken erzählen eine ernüchternde Geschichte:

Wenn es um Cybersicherheitsspezialisten geht, sind wir kritisch unterbesetzt; es ist unwahrscheinlich, dass die Qualifikationslücke geschlossen wird, und es gibt keine geheime AppSec-Armee, die uns aus der Patsche hilft. Das wissen wir seit Jahren, und wir müssen unseren Ansatz ändern. In unserem Fall ist der beste Angriff eine großartige Verteidigung, und wir können mit einem guten Plan zuerst zuschlagen.

Das klingt alles ein bisschen deprimierend, aber es ist nicht so schlimm, wie manche uns glauben machen wollen. Wir haben ein Ass im Ärmel, und das Cybersecurity-Klima bietet uns eine goldene Gelegenheit. Sie brauchen nicht weiter zu suchen als Ihre internen Entwicklungsteams, um das Personal zu finden, das die Organisation retten wird, aber Ihr Sicherheitsprogramm muss sie auf ihrem Weg unterstützen, sicherheitsbewusste Ingenieure zu werden, die bereit sind, die Verantwortung für sicheres Coding zu teilen.

Aber auch die richtigeSchulung, die motiviert, kontextbezogenes Wissen aufbaut und Entwicklern hilft, Sicherheit zu lieben, könnte viel effektiver sein, wenn sie nur besser auf die Bedürfnisse des Unternehmens, die Bedrohungen, denen sie ausgesetzt sind, und die Compliance-Anforderungen, die Unternehmen helfen, all unsere Daten sicher zu halten, abgestimmt wäre.

Und da kommt unsere neueste Funktion ins Spiel, Coursesins Spiel kommt. Übrigens, wenn Sie die Anspielung im Titel verstanden haben, sind Sie offiziell alt (oder schätzen einfach einen Klassiker).

Organisationsspezifisches Lernen: Verteidigung aufbauen, Entwicklerfähigkeiten verstärken

Wir haben alle möglichen Meinungen darüber, warum manche Arten von Entwicklerschulungen besser sind als andere (z.B. langweilen Sie sie nicht mit stundenlangen, trockenen, generischen Videopredigten zu Tode und erwarten dann, dass eine Leidenschaft für sicheres Coding aufblüht). Aber selbst bei wettbewerbsfähigen Schulungen, die darauf ausgelegt sind, die Denkweise von Entwicklern anzusprechen, kann der Inhalt immer noch ein wenig breiter sein, als es für bestimmte Anforderungen innerhalb einer Organisation erforderlich ist.

Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit Best Practices in Sachen Sicherheit durchzustarten. Schneiden Sie die Programme auf Frontend-Teams, Cloud-Ingenieure und mehr zu, mit der Möglichkeit, die wichtigsten Schwachstellen in den für sie relevanten Sprachen und Frameworks zu vertiefen. Entwickler erweitern ihre Fähigkeiten durch kontinuierlichen Kontext, Berührungspunkte und Erfahrung, während das Unternehmen von einem präzisen Bewusstsein für die Probleme profitiert, die das größte Risiko darstellen.

Anpassen eines Kurses für Compliance

Überall auf der Welt werden strengere Vorschriften in Bezug auf Cybersicherheit erlassen, und die Einhaltung von Software-Sicherheitsvorschriften ist eine großartige Grundlage, auf der eine positive, effektive Sicherheitskultur aufgebaut werden kann. Es sollte nicht langweilig sein, und ein gutes Sicherheitsprogramm entfacht bei den Entwicklern ein Gefühl von Stolz und Verantwortung, im Gegensatz zu einem Stöhnen und Facepalm.

Als Ausgangspunkt ist es eine sehr gute Idee, jeden mit den OWASP Top 10 auf den neuesten Stand zu bringen, aber um wirklich neue Höhen in der branchenrelevanten Compliance zu erreichen, können Sie einen maßgeschneiderten Kurs rund um die Anforderungen spezifischer Vorschriften entwerfen. Ein Finanzunternehmen könnte zum Beispiel einen Kurs auf die Compliance-Anforderungen seiner Software zuschneiden, in Übereinstimmung mit den PCI-DSS-Richtlinien, die für Zahlungs- und Kartenverarbeitungsanwendungen gelten. Es steht viel auf dem Spiel, wenn Sie für die Verarbeitung und Speicherung sensibler Daten wie Kreditkartennummern verantwortlich sind, und wenn Sie bei der Schulung von Entwicklern sehr spezifisch vorgehen, können Sie die richtige Schulung zur richtigen Zeit anbieten und die Eignung des Teams viel einfacher überwachen.  

So nutzt General Electric (GE) Courses innerhalb ihrer Teams:

"Courses sind eine großartige Lösung für unsere Ingenieure. Mit der neuen Funktion - die den Lernpfad, die Videos und die Checkpoints in einem anpassbaren Modul bündelt - haben wir die Möglichkeit, die Inhalte so zu gestalten, wie wir sie gerade brauchen. Die Compliance-Funktionen und die Flexibilität bieten eine noch bessere Möglichkeit, einen strafferen und flexibleren Prozess zu gewährleisten. Diese Fähigkeit hat General Electric geholfen, relevante Schulungen für jeden Ingenieur schneller und einfacher als je zuvor zu gestalten."

Und denken Sie daran, dass es sich zwar um eine kuratierte Compliance-Schulung handelt, diese aber immer noch als mundgerechtes, kontextbezogenes und ansprechendes Lernerlebnis geliefert wird, das für Entwickler viel attraktiver ist.

Eine positive Sicherheitskultur, die auf Respekt und Relevanz beruht

Bildung ist ein lebenslanger Prozess, aber in der hektischen Welt von DevSecOps gibt es eine Menge Teller zu drehen. Die Zeit, die für Schulungen vorgesehen ist, sollte klug genutzt werden, mit einem praktikablen Lernpfad, der weiterhin engagiert und wertschöpfend ist.

Indem Sie einen benutzerdefinierten Kurs kuratieren, der hyperrelevant ist, respektieren Sie die Zeit und den Arbeitsablauf des Entwicklers, während Sie gleichzeitig auf eine messbare Reduzierung von Schwachstellen und Cybersicherheitsrisiken für das Unternehmen hinarbeiten.

Die Beziehung zwischen AppSec-Spezialisten und Ingenieuren ist traditionell mit Missverständnissen und Belastungen behaftet, aber strukturiertes Lernen mit Courses kann es beiden Parteien ermöglichen, bei den Best Practices für Sicherheit auf die gleiche Seite zu kommen. Die Entwickler werden es sicherlich zu schätzen wissen, wenn das AppSec-Team sie lösungsorientiert befähigt, was die Belastung für sie minimiert und sie bei der Erstellung eines höheren Codestandards unterstützt.

Schwachstellen ausmerzen, Sicherheitshygiene auf Unternehmensebene skalieren

Wir sind alle Menschen, und leider machen wir Fehler. Diese Fehler können in der digitalen Welt extrem kostspielig sein, sind aber erstaunlich häufig. Der 2019 Internet Security Threat Report von Symantec bestätigt, dass mehr als 70 Millionen Datensätze aufgrund von falsch konfigurierten S3-Buckets gestohlen wurden. Sicherheitsfehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen, wobei menschliches Versagen für etwa ein Viertel davon verantwortlich ist.

Für diese Probleme gibt es eine Reihe von Gründen, aber ein Mangel an Sicherheitsbewusstsein und -schulung ist ein großer Treiber dafür, dass kleine Zeitfenster offen gelassen werden, die Angreifer ausnutzen können. Für eine skalierbare Sicherheitshygiene, die Wirkung zeigt, müssen Sie einen Kurs anbieten, der auf Ihr Unternehmen zugeschnitten ist. Zeigen Sie keine Gnade mit Ihren Angreifern und schalten Sie jede Möglichkeit aus, die Ihnen das größte Kopfzerbrechen bereitet, das Sie je erlebt haben.

Wir sehen bereits eine erstaunliche Wirkung bei unseren Kunden, darunter dieser führende SaaS-Anbieter für cloudbasierte Buchhaltung:

Courses"Der maßgeschneiderte Lernpfad war ein entscheidender Schritt. Die Spezifität rund um die Programmiersprachen und die Schwachstellen bietet mehr Kontrolle und Flexibilität, um die richtige Lernerfahrung für jeden Entwickler auf der Grundlage der individuellen und betrieblichen Bedürfnisse zu schaffen. Die Verwendung von Courses in Verbindung mit der breiteren Plattform für sichere Programmierung von Secure Code Warrior hat das Engagement unserer Entwickler dahingehend verändert, dass sie nun mehr daran interessiert sind, ihre Fähigkeiten im Bereich der sicheren Programmierung zu verbessern, um besseren und sichereren Code zu schreiben."

Machen Sie sich DevSec-bereit. Erfahren Sie mehr über Secure Code Warriors brandneue Funktion Courses hier.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.