Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.
Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.
Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.
Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-box' ist vom Tisch.
Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:
"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”
Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann.
Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann.
Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein.
Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.
Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:
"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”
Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann.
Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht.
Absicherung der Lieferkette.
Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:
"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”
Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.
Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.
Die neueste Executive Order der US-Bundesregierung berührt viele Aspekte der funktionalen Cybersicherheit, umreißt aber zum ersten Mal speziell den Einfluss von Entwicklern und die Notwendigkeit, dass diese über verifizierte Sicherheitskompetenzen und -bewusstsein verfügen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.
Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.
Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.
Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-box' ist vom Tisch.
Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:
"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”
Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann.
Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann.
Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein.
Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.
Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:
"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”
Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann.
Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht.
Absicherung der Lieferkette.
Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:
"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”
Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.
Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.
Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.
Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.
Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.
Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-box' ist vom Tisch.
Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:
"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”
Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann.
Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann.
Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein.
Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.
Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:
"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”
Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann.
Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht.
Absicherung der Lieferkette.
Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:
"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”
Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.
Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wenn es so etwas wie göttliches Timing gibt, dann muss man sagen, dass die Biden-Administration mit der Ankündigung ihrer Executive Order (EO) den Nagel auf den Kopf getroffen hat, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu härten sowie die Cybersicherheitsstandards und Best Practices im ganzen Land zu verbessern. Diese Strategie folgt auf zwei jüngste, verheerende Cyberangriffe: den anhaltenden Einbruch in die Lieferkette durch SolarWinds und den Angriff auf die Gasinfrastruktur der Colonial Pipeline.
Während diese Ereignisse zweifellos auf allen Regierungsebenen Wellen schlugen, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von ganz oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und hochwertigere Software zu drängen.
Das EO berührt viele Aspekte der funktionalen Cybersicherheit, aber zum ersten Mal wird speziell der Einfluss von Entwicklern und die Notwendigkeit für sie, verifizierte Sicherheitsfähigkeiten und -bewusstsein zu haben, umrissen. Seit Jahren rufen wir von den Dächern, dass dies der Weg nach vorne ist, um die häufigen Schwachstellen zu bekämpfen, die uns so oft in die Irre führen, und dass Regierungsmandate, die sich an diesem Ansatz orientieren, der Weg zu einem weitreichenden Erfolg in der Cyberabwehr sind.
Wie sollten Organisationen - und auch Bundesbehörden - auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-box' ist vom Tisch.
Wir haben schon lange auf die Ineffektivität der meisten Arten von Cybersicherheitsschulungen für Entwickler hingewiesen. Sie sind oft zu allgemein, werden nicht auf eine Art und Weise vermittelt, die das gewünschte Ergebnis (sprich: sichereren Code) anregt und werden viel zu selten behandelt. Schlimmer noch, viele Unternehmen begnügen sich mit "Tick-the-Box"-Schulungen: ein Ansatz, der nur das Nötigste vermittelt, "One-and-Done"-Grundlagen, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben den Namen des Entwicklers zu setzen. Diese Schulungsstrategien sind das, was jeden CISO auf Messers Schneide hält, der die Finger verschränkt und hofft, dass sein Unternehmen nicht das Opfer der nächsten Zero-Day-Lücke wird. Sie funktionieren einfach nicht, um Schwachstellen zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 des Mandats von Biden wird die Notwendigkeit für eine Organisation deutlich gemacht, dass ihre Entwickler eine dokumentierte, verifizierte Sicherheitskonformität aufweisen:
"Die Richtlinien müssen Kriterien enthalten, die zur Bewertung der Softwaresicherheit verwendet werden können, sie müssen Kriterien enthalten, um die Sicherheitspraktiken der Entwickler und Lieferanten selbst zu bewerten, und sie müssen innovative Werkzeuge oder Methoden zum Nachweis der Konformität mit sicheren Praktiken identifizieren.”
Dabei gibt es ein kleines Problem: Es existiert derzeit keine branchenübliche Zertifizierung speziell für Entwickler. Die Möglichkeit, die Fähigkeiten von Entwicklern im Bereich der sicheren Programmierung zu bewerten und mit courses und Bewertungen zu arbeiten, um diese Fähigkeiten zu verbessern, ist von grundlegender Bedeutung und ermöglicht es Unternehmen, Ziele zu setzen und Compliance zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung nachweisen können, kann dies auf sinnvolle und vertrauenswürdige Weise bewertet und zertifiziert werden. Das ist der Kern unseres Angebots auf Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu schaffen, das für eine zuverlässige Zertifizierung genutzt werden kann, die an den jeweiligen Tech-Stack und die organisatorischen Anforderungen angepasst werden kann.
Diese Fähigkeiten sind wertvoll, und sie können nicht automatisiert werden. Eine Zertifizierung kann Entwickler in eine sicherheitsbewusste Kraft verwandeln, die die Codebasis gegen heimtückische Bedrohungen verteidigen kann.
Ein Fokus auf Entwickler-Tools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung von sicheren Codierungspraktiken geht die EO ziemlich tief in die Automatisierungs- und Tooling-Seite der Sicherheit ein.
Es wird einfach zu viel Code produziert, als dass der Mensch ihn aus der Sicherheitsperspektive allein bewältigen könnte, und die Automatisierung - als Teil eines umfangreichen Tech-Stacks - ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, wie es auch sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt nicht "das eine Tool für alle", das jede Schwachstelle in jeder Programmiersprache aufspüren kann. Ein großartiges Sicherheitsprogramm erfordert einen nuancierten Ansatz, insbesondere wenn es um auf Entwickler ausgerichtete Tools und Dienste geht.
Abschnitt 3 des EO umreißt die Erwartungen an Anbieter, die Software erstellen, die für die Nutzung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien zum Einsatz von Tools im Entwicklungsprozess:
"(iii) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, um vertrauenswürdige Quellcode-Lieferketten aufrechtzuerhalten und dadurch die Integrität des Codes zu gewährleisten;
(iv) Einsatz von automatisierten Werkzeugen oder vergleichbaren Prozessen, die auf bekannte und potenzielle Schwachstellen prüfen und diese beheben, die regelmäßig oder zumindest vor der Veröffentlichung eines Produkts, einer Version oder eines Updates eingesetzt werden müssen.”
Sicherheitstools im Tech-Stack von Entwicklern sind eine der Möglichkeiten, Best Practices im Bereich Sicherheit schnell zu verbessern und sicherzustellen, dass Releases die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitsfehler und andere Showstopper aufgehalten werden. Die Sache ist jedoch die, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsfähigsten Tools optimal nutzen zu können. Es ist wichtig, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie man es beheben kann.
Die besten Tools integrieren sich in die Umgebung eines Entwicklers, unterstützen ihn bei der Produktion von qualitativ hochwertigerem (und sichererem) Code und sorgen dafür, dass die Sicherheit im Vordergrund steht.
Absicherung der Lieferkette.
Einer meiner Lieblingsteile des EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Das ist angesichts der SolarWinds-Veranstaltung nicht überraschend, aber es ist ein wichtiges Highlight:
"Die Sicherheit von Software, die von der Bundesregierung verwendet wird, ist entscheidend für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen zu erfüllen. Bei der Entwicklung kommerzieller Software mangelt es oft an Transparenz, an ausreichender Konzentration auf die Fähigkeit der Software, Angriffen zu widerstehen, und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es besteht die dringende Notwendigkeit, strengere und vorhersehbare Mechanismen zu implementieren, um sicherzustellen, dass die Produkte sicher und wie vorgesehen funktionieren... die Bundesregierung muss Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette schnell zu verbessern, wobei kritische Software vorrangig behandelt werden sollte.”
Diese Entscheidung wird jedes Softwareunternehmen betreffen, das mit der US-Regierung Geschäfte machen möchte, sollte aber überall als Standard angewendet werden. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) hinsichtlich ihrer Sicherheitsmaßnahmen macht es unglaublich schwierig, die Einhaltung von Best Practices im Bereich der Cybersicherheit zu beurteilen, zu validieren und zu deklarieren. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als "Extra-Meile" angesehen werden, aber sie sollten zu einem Goldstandard der Cybersecurity Best Practices gehören.
Der sichere Versand von Code ist seit langem ein Schmerzpunkt in unserer Branche. Dies ist jedoch die perfekte Gelegenheit, um aktuelle Prozesse zu evaluieren und den Weg zu gehärteter Software und Cloud-Infrastrukturen zu ebnen, um die uns alle beneiden. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie mit Courses, Assessments und Entwickler-Tools nutzen können, um Ihr nächstes Team von sicherheitsbewussten Entwicklern zu zertifizieren.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.