Blog

Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern

Matias Madou, Ph.D.
Veröffentlicht Okt 22, 2024

Da Cyber-Bedrohungen immer häufiger auftreten und immer ausgefeilter werden, rückt die Bedeutung von sicherem Code immer mehr in den Mittelpunkt der Cybersicherheit. Die Nationale Cybersicherheitsstrategie des Weißen Hauses und die Secure-by-Design-Initiative der Cybersecurity and Infrastructure Security Agency (CISA) sowie Initiativen und Gesetze in anderen Ländern legen die Verantwortung für die Sicherheit ganz klar auf die Schultern der Softwarehersteller. Eine Verschiebung nach links - oder besser gesagt, ein Beginn nach links - zur Gewährleistung der Sicherheit zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC), der früher als "nice to have" angesehen wurde, ist heute für Unternehmen unabdingbar, um ihre Daten und Systeme zu schützen und regulatorische Konsequenzen im Falle einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Kodierungspraktiken liegt in der Ausbildung der Entwickler. Software-Ingenieure erhalten in der Regel wenig oder gar keine Ausbildung in Cybersicherheit. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, besteht darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich zu entwickeln - zunehmend mit Hilfe von schnell arbeitenden generativen KI-Modellen - und die Sicherheitsteams sich erst zu einem späteren Zeitpunkt im SDLC mit Cybersicherheitsproblemen befassen zu lassen. Das ist ein ineffizienter Weg, um die Vielzahl von Fehlern zu beheben, die bei der Erstellung von so viel Code entstehen und oft dazu führen, dass Software-Schwachstellen im Ökosystem veröffentlicht werden.

Entwickler müssen darin geschult werden, von Anfang an sicheren Code zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von der KI generiert wird oder in Open-Source-Software und Software von Drittanbietern, die sie verwenden, enthalten ist. Für viele Entwicklungsteams und Unternehmen ist dies Neuland. Woher wissen sie, dass die Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung auch regelmäßig durchgeführt?

Einige Unternehmen, die sich um die Ausbildung von Entwicklern bemühen, haben es als vorteilhaft empfunden, eine Reihe von Grundkenntnissen festzulegen, die sich die Entwickler aneignen müssen, und ihre Fortschritte anhand klar definierter Maßstäbe zu messen. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt von Entwicklern bei der Sicherheitsschulung genau gemessen werden kann. Mit dem SCW Trust Score können Unternehmen messen, wie gut die Schulung bei der Arbeit angewendet wird, und die Zusammenarbeit von Sicherheits-, Entwickler- und Technikteams ermöglichen.

Auf diese Weise können Sie nachweisen, dass die Schulung in sicherem Code greift, und gleichzeitig Bereiche mit Verbesserungsbedarf ermitteln.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, die Sicherheit in den SDLC zu Beginn des Prozesses einzubeziehen. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI für den Entwicklungsprozess mit sich bringt, hat sich für die Entwickler als nützlich erwiesen, da sie die generative KI schnell übernommen haben, aber sie führt auch unweigerlich dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler gibt es. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, wobei fast 20 % davon als kritisch eingestuft werden. 

Die Behebung von Schwachstellen zu einem späteren Zeitpunkt im SDLC wird immer zeitaufwändiger und kostspieliger. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Mängeln während des Testens 15 Mal länger dauert als die Sicherung von Software zu Beginn des SDLC, und die Behebung während der Bereitstellungs-/Wartungsphase kann 30 bis 100 Mal länger dauern. 

All dies unterstreicht, wie wichtig es ist, die Sicherheit zu Beginn des Entwicklungszyklus einzusetzen, was sich nicht nur als der effektivste, sondern auch als der kostengünstigste Weg zur Risikominderung erwiesen hat. Entwickler, die mit den Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten arbeiten zu lassen, sind in der besten Position, um Sicherheit in den SDLC einzubringen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, haben Schwachstellen wirksam reduziert. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks 

Der grundlegende Weg für Unternehmen besteht darin, einen Grundstock an Sicherheitskompetenzen zu schaffen, Schulungen anzubieten und sowohl den Organisationen als auch den Aufsichtsbehörden gegenüber nachzuweisen, dass die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftszweigen als Herausforderung erwiesen, aber das muss nicht sein.

Eine der Herausforderungen für Sicherheitsverantwortliche ist die Schwierigkeit, ein Schulungsprogramm auf das gesamte Unternehmen auszuweiten. Die Untersuchungen des SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einer großen Zahl von Entwicklern, einen Secure-by-Design-Ansatz erfolgreich umsetzen können. Die Ergebnisse kleinerer Unternehmen zeigen eine große Bandbreite in der Anwendung der Secure-by-Design-Prinzipien. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden wahrscheinlich schneller Verbesserungen zeigen.

Trust Score nutzt Benchmarking-Metriken, um den Fortschritt der einzelnen Lernenden zu messen, fasst deren Ergebnisse zusammen, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit Branchen-Benchmarks und Best Practices. Es verfolgt nicht nur die Schulung, sondern zeigt auch, wie gut die Entwickler ihre neuen Fähigkeiten im Alltag anwenden. Es zeigt auch Bereiche auf, die verbessert werden müssen, so dass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann. 

In allen kritischen Infrastruktursektoren, für die Daten der CISA zur Verfügung standen, sind die meisten Organisationen bei der Umsetzung von Sicherheitsdesignprinzipien auf dem gleichen Stand. Die Vertrauenswerte für Sektoren, die von Finanzdienstleistungen und der Verteidigungsindustrie bis hin zum Gesundheitswesen, der IT und der kritischen Fertigung reichen, liegen im gleichen Bereich - etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl die Finanzdienstleister als die am stärksten regulierte Branche weit vorne liegen würden.

Kritische Infrastruktursektoren, die nicht im Trust Score-Ranking enthalten sind - wie z. B. Chemie-, Energie- und Nuklearbetriebe - entwickeln im Allgemeinen keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch, wie wichtig es ist, die von ihnen verwendete Software zu sichern.

Fazit

Der zunehmende regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft machen einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unabdingbar. Die Erstellung sicherer Software liegt größtenteils in den Händen der Entwickler, aber sie brauchen Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die nötige Ausbildung vermittelt und zeigt, wie sie angewandt wird. 

Ein Programm mit Benchmarks, das von einem Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, den sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, benötigen, um sicherzustellen, dass sie ihre Fähigkeiten zur sicheren Softwareentwicklung ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

Ressource anzeigen
Ressource anzeigen

Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.

Interessiert an mehr?

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Matias Madou, Ph.D.
Veröffentlicht Okt 22, 2024

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Weitergeben:

Da Cyber-Bedrohungen immer häufiger auftreten und immer ausgefeilter werden, rückt die Bedeutung von sicherem Code immer mehr in den Mittelpunkt der Cybersicherheit. Die Nationale Cybersicherheitsstrategie des Weißen Hauses und die Secure-by-Design-Initiative der Cybersecurity and Infrastructure Security Agency (CISA) sowie Initiativen und Gesetze in anderen Ländern legen die Verantwortung für die Sicherheit ganz klar auf die Schultern der Softwarehersteller. Eine Verschiebung nach links - oder besser gesagt, ein Beginn nach links - zur Gewährleistung der Sicherheit zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC), der früher als "nice to have" angesehen wurde, ist heute für Unternehmen unabdingbar, um ihre Daten und Systeme zu schützen und regulatorische Konsequenzen im Falle einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Kodierungspraktiken liegt in der Ausbildung der Entwickler. Software-Ingenieure erhalten in der Regel wenig oder gar keine Ausbildung in Cybersicherheit. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, besteht darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich zu entwickeln - zunehmend mit Hilfe von schnell arbeitenden generativen KI-Modellen - und die Sicherheitsteams sich erst zu einem späteren Zeitpunkt im SDLC mit Cybersicherheitsproblemen befassen zu lassen. Das ist ein ineffizienter Weg, um die Vielzahl von Fehlern zu beheben, die bei der Erstellung von so viel Code entstehen und oft dazu führen, dass Software-Schwachstellen im Ökosystem veröffentlicht werden.

Entwickler müssen darin geschult werden, von Anfang an sicheren Code zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von der KI generiert wird oder in Open-Source-Software und Software von Drittanbietern, die sie verwenden, enthalten ist. Für viele Entwicklungsteams und Unternehmen ist dies Neuland. Woher wissen sie, dass die Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung auch regelmäßig durchgeführt?

Einige Unternehmen, die sich um die Ausbildung von Entwicklern bemühen, haben es als vorteilhaft empfunden, eine Reihe von Grundkenntnissen festzulegen, die sich die Entwickler aneignen müssen, und ihre Fortschritte anhand klar definierter Maßstäbe zu messen. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt von Entwicklern bei der Sicherheitsschulung genau gemessen werden kann. Mit dem SCW Trust Score können Unternehmen messen, wie gut die Schulung bei der Arbeit angewendet wird, und die Zusammenarbeit von Sicherheits-, Entwickler- und Technikteams ermöglichen.

Auf diese Weise können Sie nachweisen, dass die Schulung in sicherem Code greift, und gleichzeitig Bereiche mit Verbesserungsbedarf ermitteln.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, die Sicherheit in den SDLC zu Beginn des Prozesses einzubeziehen. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI für den Entwicklungsprozess mit sich bringt, hat sich für die Entwickler als nützlich erwiesen, da sie die generative KI schnell übernommen haben, aber sie führt auch unweigerlich dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler gibt es. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, wobei fast 20 % davon als kritisch eingestuft werden. 

Die Behebung von Schwachstellen zu einem späteren Zeitpunkt im SDLC wird immer zeitaufwändiger und kostspieliger. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Mängeln während des Testens 15 Mal länger dauert als die Sicherung von Software zu Beginn des SDLC, und die Behebung während der Bereitstellungs-/Wartungsphase kann 30 bis 100 Mal länger dauern. 

All dies unterstreicht, wie wichtig es ist, die Sicherheit zu Beginn des Entwicklungszyklus einzusetzen, was sich nicht nur als der effektivste, sondern auch als der kostengünstigste Weg zur Risikominderung erwiesen hat. Entwickler, die mit den Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten arbeiten zu lassen, sind in der besten Position, um Sicherheit in den SDLC einzubringen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, haben Schwachstellen wirksam reduziert. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks 

Der grundlegende Weg für Unternehmen besteht darin, einen Grundstock an Sicherheitskompetenzen zu schaffen, Schulungen anzubieten und sowohl den Organisationen als auch den Aufsichtsbehörden gegenüber nachzuweisen, dass die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftszweigen als Herausforderung erwiesen, aber das muss nicht sein.

Eine der Herausforderungen für Sicherheitsverantwortliche ist die Schwierigkeit, ein Schulungsprogramm auf das gesamte Unternehmen auszuweiten. Die Untersuchungen des SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einer großen Zahl von Entwicklern, einen Secure-by-Design-Ansatz erfolgreich umsetzen können. Die Ergebnisse kleinerer Unternehmen zeigen eine große Bandbreite in der Anwendung der Secure-by-Design-Prinzipien. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden wahrscheinlich schneller Verbesserungen zeigen.

Trust Score nutzt Benchmarking-Metriken, um den Fortschritt der einzelnen Lernenden zu messen, fasst deren Ergebnisse zusammen, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit Branchen-Benchmarks und Best Practices. Es verfolgt nicht nur die Schulung, sondern zeigt auch, wie gut die Entwickler ihre neuen Fähigkeiten im Alltag anwenden. Es zeigt auch Bereiche auf, die verbessert werden müssen, so dass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann. 

In allen kritischen Infrastruktursektoren, für die Daten der CISA zur Verfügung standen, sind die meisten Organisationen bei der Umsetzung von Sicherheitsdesignprinzipien auf dem gleichen Stand. Die Vertrauenswerte für Sektoren, die von Finanzdienstleistungen und der Verteidigungsindustrie bis hin zum Gesundheitswesen, der IT und der kritischen Fertigung reichen, liegen im gleichen Bereich - etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl die Finanzdienstleister als die am stärksten regulierte Branche weit vorne liegen würden.

Kritische Infrastruktursektoren, die nicht im Trust Score-Ranking enthalten sind - wie z. B. Chemie-, Energie- und Nuklearbetriebe - entwickeln im Allgemeinen keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch, wie wichtig es ist, die von ihnen verwendete Software zu sichern.

Fazit

Der zunehmende regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft machen einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unabdingbar. Die Erstellung sicherer Software liegt größtenteils in den Händen der Entwickler, aber sie brauchen Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die nötige Ausbildung vermittelt und zeigt, wie sie angewandt wird. 

Ein Programm mit Benchmarks, das von einem Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, den sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, benötigen, um sicherzustellen, dass sie ihre Fähigkeiten zur sicheren Softwareentwicklung ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

Da Cyber-Bedrohungen immer häufiger auftreten und immer ausgefeilter werden, rückt die Bedeutung von sicherem Code immer mehr in den Mittelpunkt der Cybersicherheit. Die Nationale Cybersicherheitsstrategie des Weißen Hauses und die Secure-by-Design-Initiative der Cybersecurity and Infrastructure Security Agency (CISA) sowie Initiativen und Gesetze in anderen Ländern legen die Verantwortung für die Sicherheit ganz klar auf die Schultern der Softwarehersteller. Eine Verschiebung nach links - oder besser gesagt, ein Beginn nach links - zur Gewährleistung der Sicherheit zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC), der früher als "nice to have" angesehen wurde, ist heute für Unternehmen unabdingbar, um ihre Daten und Systeme zu schützen und regulatorische Konsequenzen im Falle einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Kodierungspraktiken liegt in der Ausbildung der Entwickler. Software-Ingenieure erhalten in der Regel wenig oder gar keine Ausbildung in Cybersicherheit. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, besteht darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich zu entwickeln - zunehmend mit Hilfe von schnell arbeitenden generativen KI-Modellen - und die Sicherheitsteams sich erst zu einem späteren Zeitpunkt im SDLC mit Cybersicherheitsproblemen befassen zu lassen. Das ist ein ineffizienter Weg, um die Vielzahl von Fehlern zu beheben, die bei der Erstellung von so viel Code entstehen und oft dazu führen, dass Software-Schwachstellen im Ökosystem veröffentlicht werden.

Entwickler müssen darin geschult werden, von Anfang an sicheren Code zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von der KI generiert wird oder in Open-Source-Software und Software von Drittanbietern, die sie verwenden, enthalten ist. Für viele Entwicklungsteams und Unternehmen ist dies Neuland. Woher wissen sie, dass die Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung auch regelmäßig durchgeführt?

Einige Unternehmen, die sich um die Ausbildung von Entwicklern bemühen, haben es als vorteilhaft empfunden, eine Reihe von Grundkenntnissen festzulegen, die sich die Entwickler aneignen müssen, und ihre Fortschritte anhand klar definierter Maßstäbe zu messen. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt von Entwicklern bei der Sicherheitsschulung genau gemessen werden kann. Mit dem SCW Trust Score können Unternehmen messen, wie gut die Schulung bei der Arbeit angewendet wird, und die Zusammenarbeit von Sicherheits-, Entwickler- und Technikteams ermöglichen.

Auf diese Weise können Sie nachweisen, dass die Schulung in sicherem Code greift, und gleichzeitig Bereiche mit Verbesserungsbedarf ermitteln.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, die Sicherheit in den SDLC zu Beginn des Prozesses einzubeziehen. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI für den Entwicklungsprozess mit sich bringt, hat sich für die Entwickler als nützlich erwiesen, da sie die generative KI schnell übernommen haben, aber sie führt auch unweigerlich dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler gibt es. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, wobei fast 20 % davon als kritisch eingestuft werden. 

Die Behebung von Schwachstellen zu einem späteren Zeitpunkt im SDLC wird immer zeitaufwändiger und kostspieliger. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Mängeln während des Testens 15 Mal länger dauert als die Sicherung von Software zu Beginn des SDLC, und die Behebung während der Bereitstellungs-/Wartungsphase kann 30 bis 100 Mal länger dauern. 

All dies unterstreicht, wie wichtig es ist, die Sicherheit zu Beginn des Entwicklungszyklus einzusetzen, was sich nicht nur als der effektivste, sondern auch als der kostengünstigste Weg zur Risikominderung erwiesen hat. Entwickler, die mit den Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten arbeiten zu lassen, sind in der besten Position, um Sicherheit in den SDLC einzubringen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, haben Schwachstellen wirksam reduziert. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks 

Der grundlegende Weg für Unternehmen besteht darin, einen Grundstock an Sicherheitskompetenzen zu schaffen, Schulungen anzubieten und sowohl den Organisationen als auch den Aufsichtsbehörden gegenüber nachzuweisen, dass die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftszweigen als Herausforderung erwiesen, aber das muss nicht sein.

Eine der Herausforderungen für Sicherheitsverantwortliche ist die Schwierigkeit, ein Schulungsprogramm auf das gesamte Unternehmen auszuweiten. Die Untersuchungen des SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einer großen Zahl von Entwicklern, einen Secure-by-Design-Ansatz erfolgreich umsetzen können. Die Ergebnisse kleinerer Unternehmen zeigen eine große Bandbreite in der Anwendung der Secure-by-Design-Prinzipien. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden wahrscheinlich schneller Verbesserungen zeigen.

Trust Score nutzt Benchmarking-Metriken, um den Fortschritt der einzelnen Lernenden zu messen, fasst deren Ergebnisse zusammen, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit Branchen-Benchmarks und Best Practices. Es verfolgt nicht nur die Schulung, sondern zeigt auch, wie gut die Entwickler ihre neuen Fähigkeiten im Alltag anwenden. Es zeigt auch Bereiche auf, die verbessert werden müssen, so dass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann. 

In allen kritischen Infrastruktursektoren, für die Daten der CISA zur Verfügung standen, sind die meisten Organisationen bei der Umsetzung von Sicherheitsdesignprinzipien auf dem gleichen Stand. Die Vertrauenswerte für Sektoren, die von Finanzdienstleistungen und der Verteidigungsindustrie bis hin zum Gesundheitswesen, der IT und der kritischen Fertigung reichen, liegen im gleichen Bereich - etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl die Finanzdienstleister als die am stärksten regulierte Branche weit vorne liegen würden.

Kritische Infrastruktursektoren, die nicht im Trust Score-Ranking enthalten sind - wie z. B. Chemie-, Energie- und Nuklearbetriebe - entwickeln im Allgemeinen keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch, wie wichtig es ist, die von ihnen verwendete Software zu sichern.

Fazit

Der zunehmende regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft machen einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unabdingbar. Die Erstellung sicherer Software liegt größtenteils in den Händen der Entwickler, aber sie brauchen Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die nötige Ausbildung vermittelt und zeigt, wie sie angewandt wird. 

Ein Programm mit Benchmarks, das von einem Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, den sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, benötigen, um sicherzustellen, dass sie ihre Fähigkeiten zur sicheren Softwareentwicklung ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

Starten

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Matias Madou, Ph.D.
Veröffentlicht Okt 22, 2024

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.

Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.

Weitergeben:

Da Cyber-Bedrohungen immer häufiger auftreten und immer ausgefeilter werden, rückt die Bedeutung von sicherem Code immer mehr in den Mittelpunkt der Cybersicherheit. Die Nationale Cybersicherheitsstrategie des Weißen Hauses und die Secure-by-Design-Initiative der Cybersecurity and Infrastructure Security Agency (CISA) sowie Initiativen und Gesetze in anderen Ländern legen die Verantwortung für die Sicherheit ganz klar auf die Schultern der Softwarehersteller. Eine Verschiebung nach links - oder besser gesagt, ein Beginn nach links - zur Gewährleistung der Sicherheit zu einem frühen Zeitpunkt im Softwareentwicklungszyklus (SDLC), der früher als "nice to have" angesehen wurde, ist heute für Unternehmen unabdingbar, um ihre Daten und Systeme zu schützen und regulatorische Konsequenzen im Falle einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Kodierungspraktiken liegt in der Ausbildung der Entwickler. Software-Ingenieure erhalten in der Regel wenig oder gar keine Ausbildung in Cybersicherheit. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, besteht darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich zu entwickeln - zunehmend mit Hilfe von schnell arbeitenden generativen KI-Modellen - und die Sicherheitsteams sich erst zu einem späteren Zeitpunkt im SDLC mit Cybersicherheitsproblemen befassen zu lassen. Das ist ein ineffizienter Weg, um die Vielzahl von Fehlern zu beheben, die bei der Erstellung von so viel Code entstehen und oft dazu führen, dass Software-Schwachstellen im Ökosystem veröffentlicht werden.

Entwickler müssen darin geschult werden, von Anfang an sicheren Code zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von der KI generiert wird oder in Open-Source-Software und Software von Drittanbietern, die sie verwenden, enthalten ist. Für viele Entwicklungsteams und Unternehmen ist dies Neuland. Woher wissen sie, dass die Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung auch regelmäßig durchgeführt?

Einige Unternehmen, die sich um die Ausbildung von Entwicklern bemühen, haben es als vorteilhaft empfunden, eine Reihe von Grundkenntnissen festzulegen, die sich die Entwickler aneignen müssen, und ihre Fortschritte anhand klar definierter Maßstäbe zu messen. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt von Entwicklern bei der Sicherheitsschulung genau gemessen werden kann. Mit dem SCW Trust Score können Unternehmen messen, wie gut die Schulung bei der Arbeit angewendet wird, und die Zusammenarbeit von Sicherheits-, Entwickler- und Technikteams ermöglichen.

Auf diese Weise können Sie nachweisen, dass die Schulung in sicherem Code greift, und gleichzeitig Bereiche mit Verbesserungsbedarf ermitteln.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, die Sicherheit in den SDLC zu Beginn des Prozesses einzubeziehen. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI für den Entwicklungsprozess mit sich bringt, hat sich für die Entwickler als nützlich erwiesen, da sie die generative KI schnell übernommen haben, aber sie führt auch unweigerlich dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler gibt es. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, wobei fast 20 % davon als kritisch eingestuft werden. 

Die Behebung von Schwachstellen zu einem späteren Zeitpunkt im SDLC wird immer zeitaufwändiger und kostspieliger. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Mängeln während des Testens 15 Mal länger dauert als die Sicherung von Software zu Beginn des SDLC, und die Behebung während der Bereitstellungs-/Wartungsphase kann 30 bis 100 Mal länger dauern. 

All dies unterstreicht, wie wichtig es ist, die Sicherheit zu Beginn des Entwicklungszyklus einzusetzen, was sich nicht nur als der effektivste, sondern auch als der kostengünstigste Weg zur Risikominderung erwiesen hat. Entwickler, die mit den Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten arbeiten zu lassen, sind in der besten Position, um Sicherheit in den SDLC einzubringen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, haben Schwachstellen wirksam reduziert. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks 

Der grundlegende Weg für Unternehmen besteht darin, einen Grundstock an Sicherheitskompetenzen zu schaffen, Schulungen anzubieten und sowohl den Organisationen als auch den Aufsichtsbehörden gegenüber nachzuweisen, dass die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftszweigen als Herausforderung erwiesen, aber das muss nicht sein.

Eine der Herausforderungen für Sicherheitsverantwortliche ist die Schwierigkeit, ein Schulungsprogramm auf das gesamte Unternehmen auszuweiten. Die Untersuchungen des SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einer großen Zahl von Entwicklern, einen Secure-by-Design-Ansatz erfolgreich umsetzen können. Die Ergebnisse kleinerer Unternehmen zeigen eine große Bandbreite in der Anwendung der Secure-by-Design-Prinzipien. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden wahrscheinlich schneller Verbesserungen zeigen.

Trust Score nutzt Benchmarking-Metriken, um den Fortschritt der einzelnen Lernenden zu messen, fasst deren Ergebnisse zusammen, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit Branchen-Benchmarks und Best Practices. Es verfolgt nicht nur die Schulung, sondern zeigt auch, wie gut die Entwickler ihre neuen Fähigkeiten im Alltag anwenden. Es zeigt auch Bereiche auf, die verbessert werden müssen, so dass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann. 

In allen kritischen Infrastruktursektoren, für die Daten der CISA zur Verfügung standen, sind die meisten Organisationen bei der Umsetzung von Sicherheitsdesignprinzipien auf dem gleichen Stand. Die Vertrauenswerte für Sektoren, die von Finanzdienstleistungen und der Verteidigungsindustrie bis hin zum Gesundheitswesen, der IT und der kritischen Fertigung reichen, liegen im gleichen Bereich - etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl die Finanzdienstleister als die am stärksten regulierte Branche weit vorne liegen würden.

Kritische Infrastruktursektoren, die nicht im Trust Score-Ranking enthalten sind - wie z. B. Chemie-, Energie- und Nuklearbetriebe - entwickeln im Allgemeinen keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch, wie wichtig es ist, die von ihnen verwendete Software zu sichern.

Fazit

Der zunehmende regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft machen einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unabdingbar. Die Erstellung sicherer Software liegt größtenteils in den Händen der Entwickler, aber sie brauchen Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die nötige Ausbildung vermittelt und zeigt, wie sie angewandt wird. 

Ein Programm mit Benchmarks, das von einem Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, den sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, benötigen, um sicherzustellen, dass sie ihre Fähigkeiten zur sicheren Softwareentwicklung ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge