Entwickler Tournaments: Die Geheimwaffe von AppSec zur Verbesserung der Sicherheitskultur und des Engagements

Veröffentlicht Jan 30, 2019
von Pieter Danhieux
FALLSTUDIE

Entwickler Tournaments: Die Geheimwaffe von AppSec zur Verbesserung der Sicherheitskultur und des Engagements

Veröffentlicht Jan 30, 2019
von Pieter Danhieux
Ressource anzeigen
Ressource anzeigen

Stellen Sie sich vor, Sie erschaffen etwas von Grund auf, setzen Ihre Fähigkeiten und Erfahrungen meisterhaft ein, um der Welt ein kleines, aber besonderes Zeichen zu setzen. Ob allein oder als Teil eines Teams, Sie stecken Ihr Herz und Ihre Seele in den Aufbau von etwas aus dem Nichts. Sie verbringen Hunderte - vielleicht sogar Tausende - von Stunden damit, um sicherzustellen, dass Ihr Baby das Beste ist, was es sein kann. Nach der Fertigstellung kann sich diese Welle der Errungenschaft wie eine ganz eigene Belohnung anfühlen.

Nun stellen Sie sich vor, ein Spielverderber kommt daher und sagt Ihnen, dass es nicht so toll ist. Vielleicht geht er noch einen Schritt weiter und sagt Ihnen, dass es trotz der Energie, Zeit und Liebe, die Sie geopfert haben, eigentlich gar nicht zu gebrauchen ist: Es ist kaputt. Sie haben Ihnen im Grunde genommen gesagt, dass Ihr Baby hässlich ist.

Das obige Szenario führt zwangsläufig zu Spannungen; denn wer möchte schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Traurigerweise kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler ist in erster Linie dafür verantwortlich, Software zu erstellen, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Die Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Lieferung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu prüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu überbringen: das Vorhandensein von Sicherheitslücken in Code, der oft schon festgeschrieben ist. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt, und führt zwangsläufig zu einem Zerwürfnis zwischen zwei Teams, die zwar das gleiche Ziel haben, aber so unterschiedliche Sprachen sprechen, dass sie scheinbar auf Kriegsfuß stehen.

Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.

Raus aus dem Klassenzimmer, rein in die Spielarena

Da viele Entwickler eine Berufsausbildung absolvieren, ohne viel über sicheres Coding zu lernen, ist es oft so, dass ihr erster Berührungspunkt mit der Sicherheitsausbildung beim Eintritt ins Berufsleben ist. Schulungen im Klassenzimmer sind eine oft genutzte Lösung, aber sie nehmen wertvolle Zeit für die Vermittlung von Funktionen weg (und, seien wir ehrlich: wenn der Lehrer und die Inhalte zu wenig anregend sind, kann es für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Video courses, papierbasierte Prüfungen und generische Schulungen zu den Sicherheitsrichtlinien des Unternehmens... die alle so unspezifisch sein können, dass sie im Arbeitsalltag des durchschnittlichen Entwicklers nutzlos sind.

Allzu oft wird sie als "Abhaken und weitermachen"-Compliance-Übung behandelt, und allzu oft hat sie den gegenteiligen Effekt: Sie führt nur zu einer größeren Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint es nicht so zu sein, dass herkömmliche Schulungen den positiven Effekt auf die Sicherheitskultur und die Compliance haben, den wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.

Laut der Common Weakness Enumeration(CWE) Community gibt es mehr als 700 gängige Software-Sicherheitsschwachstellen, die es zu bekämpfen gilt. Einige, wie SQL-Injection, sind wie Kakerlaken, die noch nicht zerquetscht wurden, obwohl sie seit mehr als zwanzig Jahren existieren. Wir wissen, wie man sie behebt; das Training ist da, um Entwickler zu befähigen, sie und so viele andere zu stoppen, doch Pen-Tests und manuelle Code-Review-Prozesse identifizieren diese Verstöße ständig.

Vielleicht haben wir das alles falsch betrachtet und wir müssen als Branche die Ausbildung von einem anderen Blickwinkel aus angehen... einem, der die erstaunlichen Fähigkeiten nutzt, die bei unseren Entwicklern so geschätzt werden. Sie sind kreative, wissbegierige Problemlöser, die die Herausforderung lieben. Sicherheitstrainings mit Spielen zu versehen, bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, durch Handeln zu üben - und wer weiß, vielleicht verlieben sie sich auf dem Weg dorthin einfach in die Sicherheit.

Die Lernpyramide

Ein bisschen gesunder Wettbewerb

Ein zentrales Vertrauen auf (eher ungenaue) Tools, teure Pen-Tests und knappe AppSec-Spezialisten wird uns tiefer in das schwarze Loch der Sicherheit stürzen. Zu viel von unserem Leben und unserer Privatsphäre existiert online, als dass Unternehmen weiterhin die Vorsicht vor den virtuellen Festungen, die unsere Daten schützen, in den Wind schlagen können. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns an die Superhelden wenden, die wir schon die ganze Zeit im Büro sitzen haben: das Entwicklerteam.

Gamified Training in relevanten Sprachen und Frameworks ist ein wirkungsvolles Werkzeug für AppSec-Manager, um die Sicherheitskultur im Unternehmen zu verändern. Nach dem Training können Entwickler ihre neu erworbenen Sicherheitsmuskeln in einer unterhaltsamen tournament Umgebung trainieren, die so aufregend sein kann, wie es Ihre Vorstellungskraft zulässt: Schauen Sie sich nur an, wie das "Game of Codes" von IAG dafür gesorgt hat, dass jeder in der Organisation über Sicherheit spricht.

Secure Code Warrior's tournament Modul bietet mehr als nur einen netten kleinen Abschluss für ein gemessenes Trainingsengagement: Es ist eine Plattform, von der aus jeder Entwickler seine Fähigkeiten validieren kann, um zu sehen, wie weit er seit Beginn des Trainings fortgeschritten ist, und um Bereiche zu identifizieren, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt wirkt wirklich als Motivator, sich positiv mit der Sicherheit zu beschäftigen und durch Belohnung und Anerkennung das Wachstum einer robusten Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens zu unterstützen.

Ein wenig Spaß in etwas zu bringen, das als mühsame - wenn nicht sogar entmutigende - Aufgabe angesehen werden kann, kann einen langen Weg gehen, um negative Denkweisen zu ändern und zur weiteren Teilnahme zu inspirieren. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerb mehr Punkte als seine Mitspieler zu erzielen?

Champions wandeln unter Ihnen

Gamified Training und die anschließende tournaments helfen immens dabei, eine positive Sicherheitskultur zu fördern, wobei AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein sicherer Entwickler ist eine Bereicherung, er behebt allgemeine Schwachstellen und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das kostbare Sicherheitsbudget wird nicht durch die Behebung eines "Murmeltiertags"-Szenarios der immer gleichen Fehler verschlungen.

Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheits-Champions, von denen Sie nie wussten, dass Sie sie haben. Tournaments kann diejenigen aufdecken, die nicht nur eine Begabung für Sicherheit haben, sondern aktiv eine Leidenschaft dafür zeigen. Diese Champions sind entscheidend, wenn es darum geht, den Schwung aufrechtzuerhalten und als Ansprechpartner zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und Best-Practice-Richtlinien aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung durch die Geschäftsleitung beinhaltet, ist ein Aushängeschild für das Unternehmen sowie eine wichtige Bereicherung für den Lebenslauf und die zukünftige Karriere des Einzelnen.

Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum sehen Sie nicht, wie ein Entwickler tournament Sie schneller dorthin bringen kann, als Sie denken?

Ressource anzeigen
Ressource anzeigen

Autor

Pieter Danhieux

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Entwickler Tournaments: Die Geheimwaffe von AppSec zur Verbesserung der Sicherheitskultur und des Engagements

Veröffentlicht Jan 30, 2019
Von Pieter Danhieux

Stellen Sie sich vor, Sie erschaffen etwas von Grund auf, setzen Ihre Fähigkeiten und Erfahrungen meisterhaft ein, um der Welt ein kleines, aber besonderes Zeichen zu setzen. Ob allein oder als Teil eines Teams, Sie stecken Ihr Herz und Ihre Seele in den Aufbau von etwas aus dem Nichts. Sie verbringen Hunderte - vielleicht sogar Tausende - von Stunden damit, um sicherzustellen, dass Ihr Baby das Beste ist, was es sein kann. Nach der Fertigstellung kann sich diese Welle der Errungenschaft wie eine ganz eigene Belohnung anfühlen.

Nun stellen Sie sich vor, ein Spielverderber kommt daher und sagt Ihnen, dass es nicht so toll ist. Vielleicht geht er noch einen Schritt weiter und sagt Ihnen, dass es trotz der Energie, Zeit und Liebe, die Sie geopfert haben, eigentlich gar nicht zu gebrauchen ist: Es ist kaputt. Sie haben Ihnen im Grunde genommen gesagt, dass Ihr Baby hässlich ist.

Das obige Szenario führt zwangsläufig zu Spannungen; denn wer möchte schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Traurigerweise kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler ist in erster Linie dafür verantwortlich, Software zu erstellen, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Die Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Lieferung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu prüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu überbringen: das Vorhandensein von Sicherheitslücken in Code, der oft schon festgeschrieben ist. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt, und führt zwangsläufig zu einem Zerwürfnis zwischen zwei Teams, die zwar das gleiche Ziel haben, aber so unterschiedliche Sprachen sprechen, dass sie scheinbar auf Kriegsfuß stehen.

Denken Sie nicht, dass es an der Zeit ist, der Sicherheit ein neues Gesicht zu geben? Es ist so einfach, wie die Konversation zu ändern und alles ein wenig positiver zu gestalten (ganz zu schweigen von Spaß!) für beide Seiten, besonders für das Entwicklerteam.

Raus aus dem Klassenzimmer, rein in die Spielarena

Da viele Entwickler eine Berufsausbildung absolvieren, ohne viel über sicheres Coding zu lernen, ist es oft so, dass ihr erster Berührungspunkt mit der Sicherheitsausbildung beim Eintritt ins Berufsleben ist. Schulungen im Klassenzimmer sind eine oft genutzte Lösung, aber sie nehmen wertvolle Zeit für die Vermittlung von Funktionen weg (und, seien wir ehrlich: wenn der Lehrer und die Inhalte zu wenig anregend sind, kann es für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Video courses, papierbasierte Prüfungen und generische Schulungen zu den Sicherheitsrichtlinien des Unternehmens... die alle so unspezifisch sein können, dass sie im Arbeitsalltag des durchschnittlichen Entwicklers nutzlos sind.

Allzu oft wird sie als "Abhaken und weitermachen"-Compliance-Übung behandelt, und allzu oft hat sie den gegenteiligen Effekt: Sie führt nur zu einer größeren Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint es nicht so zu sein, dass herkömmliche Schulungen den positiven Effekt auf die Sicherheitskultur und die Compliance haben, den wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.

Laut der Common Weakness Enumeration(CWE) Community gibt es mehr als 700 gängige Software-Sicherheitsschwachstellen, die es zu bekämpfen gilt. Einige, wie SQL-Injection, sind wie Kakerlaken, die noch nicht zerquetscht wurden, obwohl sie seit mehr als zwanzig Jahren existieren. Wir wissen, wie man sie behebt; das Training ist da, um Entwickler zu befähigen, sie und so viele andere zu stoppen, doch Pen-Tests und manuelle Code-Review-Prozesse identifizieren diese Verstöße ständig.

Vielleicht haben wir das alles falsch betrachtet und wir müssen als Branche die Ausbildung von einem anderen Blickwinkel aus angehen... einem, der die erstaunlichen Fähigkeiten nutzt, die bei unseren Entwicklern so geschätzt werden. Sie sind kreative, wissbegierige Problemlöser, die die Herausforderung lieben. Sicherheitstrainings mit Spielen zu versehen, bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, durch Handeln zu üben - und wer weiß, vielleicht verlieben sie sich auf dem Weg dorthin einfach in die Sicherheit.

Die Lernpyramide

Ein bisschen gesunder Wettbewerb

Ein zentrales Vertrauen auf (eher ungenaue) Tools, teure Pen-Tests und knappe AppSec-Spezialisten wird uns tiefer in das schwarze Loch der Sicherheit stürzen. Zu viel von unserem Leben und unserer Privatsphäre existiert online, als dass Unternehmen weiterhin die Vorsicht vor den virtuellen Festungen, die unsere Daten schützen, in den Wind schlagen können. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns an die Superhelden wenden, die wir schon die ganze Zeit im Büro sitzen haben: das Entwicklerteam.

Gamified Training in relevanten Sprachen und Frameworks ist ein wirkungsvolles Werkzeug für AppSec-Manager, um die Sicherheitskultur im Unternehmen zu verändern. Nach dem Training können Entwickler ihre neu erworbenen Sicherheitsmuskeln in einer unterhaltsamen tournament Umgebung trainieren, die so aufregend sein kann, wie es Ihre Vorstellungskraft zulässt: Schauen Sie sich nur an, wie das "Game of Codes" von IAG dafür gesorgt hat, dass jeder in der Organisation über Sicherheit spricht.

Secure Code Warrior's tournament Modul bietet mehr als nur einen netten kleinen Abschluss für ein gemessenes Trainingsengagement: Es ist eine Plattform, von der aus jeder Entwickler seine Fähigkeiten validieren kann, um zu sehen, wie weit er seit Beginn des Trainings fortgeschritten ist, und um Bereiche zu identifizieren, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt wirkt wirklich als Motivator, sich positiv mit der Sicherheit zu beschäftigen und durch Belohnung und Anerkennung das Wachstum einer robusten Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens zu unterstützen.

Ein wenig Spaß in etwas zu bringen, das als mühsame - wenn nicht sogar entmutigende - Aufgabe angesehen werden kann, kann einen langen Weg gehen, um negative Denkweisen zu ändern und zur weiteren Teilnahme zu inspirieren. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerb mehr Punkte als seine Mitspieler zu erzielen?

Champions wandeln unter Ihnen

Gamified Training und die anschließende tournaments helfen immens dabei, eine positive Sicherheitskultur zu fördern, wobei AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein sicherer Entwickler ist eine Bereicherung, er behebt allgemeine Schwachstellen und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das kostbare Sicherheitsbudget wird nicht durch die Behebung eines "Murmeltiertags"-Szenarios der immer gleichen Fehler verschlungen.

Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheits-Champions, von denen Sie nie wussten, dass Sie sie haben. Tournaments kann diejenigen aufdecken, die nicht nur eine Begabung für Sicherheit haben, sondern aktiv eine Leidenschaft dafür zeigen. Diese Champions sind entscheidend, wenn es darum geht, den Schwung aufrechtzuerhalten und als Ansprechpartner zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und Best-Practice-Richtlinien aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung durch die Geschäftsleitung beinhaltet, ist ein Aushängeschild für das Unternehmen sowie eine wichtige Bereicherung für den Lebenslauf und die zukünftige Karriere des Einzelnen.

Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum sehen Sie nicht, wie ein Entwickler tournament Sie schneller dorthin bringen kann, als Sie denken?

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.