Dieses Interview erschien ursprünglich in CyberNews.
Trotz der weiten Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Mühe, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene schaffen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu erörtern, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und zu entschärfen, hat sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrioreinem Unternehmen, das eine learning platform und eine Reihe von Tools für Entwickler anbietet, die Entwicklungsteams bei der Erkennung von Sicherheitslücken unterstützen.
Wie hat sich Ihre Reise gestaltet? Wie kam es zu der Idee von Secure Code Warrior ?
Als junger Nerd war ich fasziniert davon, Technik auseinanderzunehmen, um herauszufinden, was in ihr steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsamen Geräte ging ich schließlich dazu über, den gleichen Ansatz mit Hardware und Software zu verfolgen und nach Möglichkeiten zu suchen, sie zu knacken und zu zerstören. Damit war eine lebenslange Leidenschaft für die Sicherheit geboren, und viele Jahre lang konzentrierte ich mich darauf, meine Fähigkeiten zum "Brechen" mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen, indem ich zeigte, wie man Fehler in Software findet, nutzt und missbraucht. Später konzentrierte ich mich darauf, die Verteidiger weiterzubilden, indem ich Entwicklern gute, sichere Programmiermuster im Unterricht beibrachte und ihnen half, häufige Schwachstellen zu verstehen und sie zu vermeiden. Ich arbeitete auch in der Beratung, wo ich große Unternehmen beriet, wie sie ihre Sicherheitsprogramme verbessern konnten, insbesondere was die Einbeziehung von Entwicklern betraf. In dieser Zeit lernte ich mein heutiges Gründungsteam bei Secure Code Warrior kennen. Gemeinsam erkannten wir die Probleme, mit denen sowohl Sicherheits- als auch Entwicklungsteams konfrontiert waren, wenn es um Schwachstellen auf Code-Ebene ging, sowie die Probleme, die mit den meisten Schulungslösungen zur Verbesserung der Sicherheitskompetenz von Entwicklern bestanden. Wir begannen mit der Arbeit an unserer Vision einer learning platform , die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend ist. Letztendlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung des Entwicklers zugeschnitten sind, ihn weniger stören und ihm helfen, eine sicherheitsorientierte Denkweise zu entwickeln. Und wir wollten dies so sprachflexibel und inhaltsreich wie möglich gestalten.
Können Sie uns vorstellen, was Sie tun? Was sind die größten Herausforderungen, bei deren Bewältigung Sie helfen?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine learning platform und eine Reihe von Tools für Entwickler entwickelt, die Entwicklungsteams bei der Behebung gängiger Sicherheitsschwachstellen unterstützen, von denen viele schon seit Jahrzehnten bestehen und die Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund für das Fortbestehen dieser Schwachstellen ist, dass die Entwickler nicht über die erforderlichen Schulungen und Fähigkeiten verfügen, um diese Probleme auf Code-Ebene zu beheben, und dass sie diese Schwachstellen häufig durch die fortgesetzte Verwendung schlechter Codierungsmuster und -techniken überhaupt erst verursachen; sie werden nicht auf Hochschulniveau in sicherer Codierung unterrichtet, und die meisten Schulungsprogramme am Arbeitsplatz sind nicht in der Lage, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und werden zudem zu selten durchgeführt, um sich wirklich auf die Code-Qualität und die Sicherheit im Laufe der Zeit auszuwirken. Unsere Lösungen zielen darauf ab, eine ansprechende, relevante Kompetenzentwicklung zu bieten, die das Verhalten der Programmierer verändert und ihnen hilft, die Sicherheit in der realen Welt in den Vordergrund zu stellen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am meisten vertraut sind, und unser Fokus auf kontextbezogenes Lernen gibt den Benutzern die besten Chancen, die wichtigsten Schulungsergebnisse zu behalten.
Da das Erlernen von sicherem Kodieren für manche langweilig klingen mag, wie schaffen Sie es, Ihre Schulungen effektiv und dennoch unterhaltsam zu gestalten?
Unser Flaggschiff learning platform ist so konzipiert, dass die Beteiligung der Entwickler im Vordergrund steht. Eine der beliebtesten Funktionen ist der Tournament Modus, in dem die Teilnehmer ihr Wissen, das sie während der Schulung erworben haben, gegen ihre Kollegen testen können. Für jede richtige Antwort gibt es Punkte und eine Live-Rangliste, die während der gesamten tournament Sitzung aktualisiert wird. Wir haben dies bei Community-Veranstaltungen und Konferenzen durchgeführt, und einige unserer Kunden haben unglaublich komplizierte Themen erstellt, bei denen jeder in einem Kostüm kam. Es ist eine großartige Erfahrung für die Teambildung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause von der normalen Routine zu feiern. Es ist viel einfacher, sich zu engagieren, wenn die Inhalte relevant sind und bei der Lösung echter Probleme helfen, als wenn man sich Videos oder eine jährliche Prüfung zur Einhaltung von Vorschriften ansieht.
Was sind Ihrer Meinung nach die größten Herausforderungen, denen sich Entwickler heutzutage stellen müssen?
Ich denke, es ist wichtig festzustellen, dass Entwickler zwar gut arbeiten wollen, aber in ihrer Ausbildung oder in ihrer Laufbahn nicht ausreichend für das Thema Sicherheit sensibilisiert worden sind. Sie neigen auch dazu, die Sicherheit als außerhalb ihres Verantwortungsbereichs liegend zu betrachten, und in der großen Mehrheit der Unternehmen beinhalten ihre KPIs nichts, was mit sicheren Kodierungsergebnissen zu tun hat.Wenn wir eine Veränderung im Umfang der Schwachstellen auf Code-Ebene sehen wollen, muss dieser Status quo durchbrochen werden. Entwickler brauchen jedoch die richtige Unterstützung und die richtigen Tools, um die gewünschte Veränderung herbeizuführen. Die Herausforderung besteht darin, sie effektiv zu befähigen, ihnen Zeit für die Schulung zu geben und jetzt in diese Weiterbildung zu investieren, um später eine schnelle Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihren Arbeitsbereich ausgewirkt?
Während jedes Unternehmen zweifellos einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets zu spüren bekam, hatten wir bisher das Glück, den Sturm zu überstehen. Cybersicherheit ist für die meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Welche bewährten Verfahren sollten Unternehmen bei der Entwicklung von Software oder Anwendungen anwenden?
Jedes Unternehmen hat seine eigenen Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, über den Tellerrand hinauszuschauen und verschiedene Ansätze auszuprobieren. Sie vergessen nicht, dass die Menschen einen positiven Einfluss auf die Sicherheitsergebnisse haben können. Angesichts der weltweiten Lücke bei den Sicherheitskompetenzen, die wahrscheinlich in absehbarer Zeit nicht geschlossen werden kann, können sicherheitsfähige Entwickler jedoch dazu beitragen, Risiken zu verringern und die Einhaltung von Vorschriften bei der Softwareerstellung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses einen Beitrag leisten.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Kodierungswerkzeugen den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte eine Art von rollenbasierter Sicherheitsschulung durchführen. Es gibt eine Fülle von Bedrohungen, die nicht nur auf Code-Ebene bestehen, sondern auch von Bedrohungsakteuren ausgenutzt werden können. Daher muss jede einzelne Person im Unternehmen regelmäßig mit den Sicherheitsgrundsätzen vertraut gemacht werden, die für ihre Arbeit relevant sind - vom Büroleiter bis zum Buchhaltungsteam.
In Anbetracht des derzeitigen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den geringsten Kosten zu gewährleisten. Was würden Sie ihnen raten?
CISOs müssen in diesem Klima ein gewisses Maß an Kreativität an den Tag legen, zumal die Gesetzgebung zur Cybersicherheit immer anspruchsvoller wird und in einigen Fällen dazu führt, dass CISOs im Falle eines Verstoßes persönlich zur Verantwortung gezogen werden. Wenn dann noch Entlassungen hinzukommen, wird von weniger Ingenieuren erwartet, dass sie mehr Verantwortung übernehmen und gleichzeitig die gleiche Menge an Software schreiben. CISOs können dem Unternehmen helfen, erfolgreich zu sein, indem sie eines der größten Hindernisse aus dem Weg räumen, das sie bremst: die Sicherheit.
Es ist bei weitem am günstigsten, Sicherheitslücken und Fehlkonfigurationen auf Code-Ebene zu beheben, bevor die Software ausgeliefert wird, was den Entwickler natürlich in die beste Position bringt, dieses Risiko zu verringern. Dazu brauchen sie jedoch maßgeschneiderte Unterstützung. Sicherheit in kürzester Zeit ist möglich, wenn die Entwickler mit Tools versorgt werden, die auf den Entwickler ausgerichtet sind und seine aktuellen Arbeitsabläufe und technischen Möglichkeiten berücksichtigen. Sie müssen in die Lage versetzt werden, Sicherheit mit hoher Geschwindigkeit zu erreichen, und das geht am besten, indem man ihnen zeigt, wie sie sichere Codierungsmuster verwenden und Dinge schneller beheben können.
Für die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen auf die Beseitigung von Schwachstellen an der Quelle hinarbeiten und so später im Lebenszyklus der Softwareentwicklung (SDLC) Zeit und Geld sparen. Angesichts der Häufigkeit groß angelegter Angriffe und der Tatsache, dass CISOs mehr Verantwortung tragen müssen als je zuvor in der Geschichte, müssen wir aufhören, den Mangel an Cybersecurity-Kenntnissen für den Rückstand verantwortlich zu machen. Setzen Sie Prioritäten bei defensiven Sicherheitspraktiken und fördern Sie das Personal, das Sie bereits vor sich haben.
Wie sieht die Zukunft von Secure Code Warrior aus?
Wir wollen weiterhin innovativ sein und bei den Lösungen, die wir auf den Markt bringen, den Entwickler in den Vordergrund stellen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne die Geschwindigkeit der Funktionsbereitstellung zu beeinträchtigen oder ihre Vernunft beim Jonglieren mit mehreren Prioritäten zu verlieren.
Unser Ziel ist es, Unternehmen bei der Revolutionierung ihrer defensiven Sicherheitsprogramme zu unterstützen, und wir möchten, dass sicherheitsfähige Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Raum.