Konzentriert sich Ihr Sicherheitsprogramm auf die Reaktion auf Vorfälle? Sie machen es falsch.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Die Betonung auf einen präventiven — im Gegensatz zu einem reaktiven — Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, insbesondere wenn kein großer, schwerwiegender Sicherheitsvorfall stattgefunden hat.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien als Beitrag für den Forbes Technologie-Rat. Er wurde aktualisiert und hier syndiziert.
Es gibt nichts Schöneres, als auf der falschen Seite einer Datenschutzverletzung zu stehen. Zuerst gibt es vielleicht Leugnung, dann Panik. Nachdem alle Schimpfwörter ausgesprochen wurden und der CISO um 2 Uhr morgens eine Telefonkonferenz mit der Öffentlichkeitsarbeit abhalten musste, ist es an der Zeit, die Ärmel hochzukrempeln und sich an die Arbeit zu machen, um Endpunkte und Systeme zu sichern und potenzielle Angriffsvektoren schnell zu eliminieren. Das ist, gelinde gesagt, kein Zuckerschlecken.
Und doch ist dies eine Realität, mit der viele Unternehmen in Zukunft konfrontiert werden und auf die sie sich unbedingt mit einem umfassenden Plan zur Reaktion auf Cyberangriffe vorbereiten müssen. Das Problem ist jedoch, dass ein Großteil der Zeit, der Ressourcen und des Aufwands in diese reaktive Strategie gesteckt wird, anstatt daran zu arbeiten, den potenziellen Schweregrad von Cyberangriffen im Vorfeld zu verhindern oder zu verringern. Es ist ein bisschen so, als würde man bei einem vermuteten Herzinfarkt einen Krankenwagen rufen; die Ergebnisse sind oft weit weniger positiv - ganz zu schweigen von mehr Schaden - als wenn man präventive Gesundheitsmaßnahmen ergriffen hätte, bevor es zu spät war.
Wie sieht also ein Präventionsplan aus? Lassen Sie uns herausfinden, wie Sicherheitsexperten alle ihnen zur Verfügung stehenden Werkzeuge einsetzen können, um die ständig steigenden Cyberrisiken zu minimieren - jeden Tag:
Verstehen des Umfangs der anfallenden Arbeiten
Es scheint offensichtlich zu sein, aber der "richtige" Plan zur Minderung von Cyber-Risiken ist von Branche zu Branche unterschiedlich, und es ist wichtig zu verstehen, was im Vorfeld erforderlich ist, um das gewünschte Ergebnis zu erreichen.
Welche Sicherheitsprobleme gibt es derzeit? Wie viel Zeit und Ressourcen nehmen sie in Anspruch? Wie viele davon sind wiederkehrende Probleme? Dies sind wichtige Faktoren, die Ihnen eine gute Ausgangsbasis bieten. Überlegen Sie, welche Rollen neu besetzt werden müssen, welche Lücken in den Werkzeugen bestehen und was aus der Sicht des Fachwissens und der Werkzeuge erforderlich ist, um die Endpunkte zu sichern und die Angriffsfläche zu verringern und gleichzeitig anderen Bereichen mit potenziellen Risiken vorzubeugen.
Ein kürzlich veröffentlichter Bericht zeigt, dass in elf Branchen im vergangenen Jahr jeden Tag eine schwerwiegende Sicherheitslücke in mindestens der Hälfte der Anwendungen auftrat. Insbesondere die Versorgungsunternehmen, die öffentliche Verwaltung und die freien Berufe benötigten im Durchschnitt 288 Tage, um bekannte Schwachstellen zu beheben. Das ist unglaublich langsam und gibt einem Angreifer mehr als genug Zeit, ernsthaften Schaden anzurichten, wenn diese Schwachstellen entdeckt werden, bevor ein Patch eingespielt werden kann. Dies und die Tatsache, dass die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist, bei fast 30 % liegt, ist eine ernüchternde Mahnung, dass es nicht ausreicht, auf einen Vorfall zu reagieren, und dass zu viel auf dem Spiel steht, um sich auf die Auswirkungen eines groß angelegten Cyberangriffs einzustellen und auf das Beste zu hoffen.
Vorbereitung auf die Akzeptanz des kulturellen Wandels
Das Aufrütteln des Status quo sorgt zwar für Kopfschütteln, aber die Wahrheit ist, dass Sicherheitsprogramme ständig verbessert werden sollten. Jede Komponente sollte relevant bleiben, und neue Entwicklungen sollten bewertet und berücksichtigt werden.
Die Betonung eines präventiven - im Gegensatz zu einem reaktiven - Ansatz wird außerhalb des Sicherheitsteams möglicherweise nicht allgemein verstanden, vor allem, wenn noch kein großer, schlimmer Sicherheitsvorfall stattgefunden hat. Es könnte als etwas angesehen werden, das nicht kaputt ist und nicht repariert werden muss. In diesem Fall ist es von entscheidender Bedeutung, die Zustimmung der Führungskräfte zu erhalten. Einige der wichtigsten Punkte, die sie berücksichtigen sollten, sind:
- Zeit- und Kostenersparnis durch Präventivmaßnahmen, wie z. B. rollenbasierte Schulungen und entsprechende Tools, im Vergleich zu den potenziellen Kosten eines kritischen Zwischenfalls
- Wie das Auffinden und Beheben von Schwachstellen jetzt dafür sorgt, dass die Veröffentlichungen pünktlich erfolgen und das Sicherheitsteam nicht mehr so viele Hindernisse in den Weg legt
- Warum die Vorbereitung auf und die Vorbeugung von potenziellen Sicherheitsrisiken, vom Entwicklungsteam bis hin zur Veröffentlichung, insgesamt mehr Zeit (ganz zu schweigen von erheblichem Geld) spart. Um es in die richtige Perspektive zu rücken: Späte Schwachstellen, die in der Testphase - oder schlimmer noch, nach der Produktion - aufgedeckt werden, können die Kosten im Durchschnitt um bis zu 3000 % erhöhen.
Es ist von entscheidender Bedeutung, dass die vorgeschlagenen kulturellen Veränderungen mit den Unternehmenszielen in Einklang gebracht werden, auch wenn sie zunächst unbequem erscheinen.
Sicherheitsbewusstsein ist etwas, Sicherheitskompetenz ist alles
In der Branche wird häufig über die Bedeutung des Sicherheitsbewusstseins gesprochen, das für jeden Mitarbeiter in einem Unternehmen eine immer wichtigere Rolle spielt. Es reicht jedoch nicht aus, sich mit Lippenbekenntnissen und passiven Schulungen zu begnügen, vor allem nicht für Mitarbeiter in technischen Positionen.
Einfach ausgedrückt: Jeder, der mit Code in Berührung kommt, stellt ein potenzielles Sicherheitsrisiko dar, wenn er nicht über die nötigen Fähigkeiten für eine sichere Programmierung verfügt. Ein allgemeines Bewusstsein für grundlegende Sicherheitsparameter ist ein guter Anfang, aber ohne kontextbezogenes Wissen über gute, sichere Codierungsmuster herrschen schlechte Gewohnheiten vor, und es ist dieser Mangel an qualitativ hochwertigen Entwicklungsfähigkeiten, auf den sich Angreifer verlassen, um ihre schmutzige Arbeit zu erledigen.
Schreiben Sie Ihre Entwickler nicht ab.
Obwohl sich die Einstellung ändert, sind viele Unternehmen so strukturiert, dass Entwickler in den Plänen zur Eindämmung der Sicherheitsrisiken kaum eine Rolle spielen. Einige Branchen - wie das Bank- und Finanzwesen - haben strenge Compliance- und Regulierungsanforderungen, die zu verstärkten Sicherheitspraktiken und Schulungen für alle Mitarbeiter führen. Und obwohl sie anderen Branchen sicherlich voraus sind, könnte fast jedes Unternehmen auf der Welt von einem internen Heer sicherheitsbewusster Entwickler profitieren, die in der Lage sind, gängige Sicherheitslücken zu erkennen, bevor sie begangen werden. Die meisten sind noch weit davon entfernt, dieses wichtige Teil des Sicherheitsprogramms zu erreichen - und es ist notwendig, wenn wir jemals die Hoffnung haben wollen, die Flut von Code zu sichern, die von Jahr zu Jahr ansteigt.
Vorbeugende Sicherheit sollte in dem Moment beginnen, in dem die Finger die Tastatur berühren, um Software zu erstellen. Sie brauchen die richtigen Werkzeuge und kontextbezogene Anleitungen, um einen höheren Standard der Codequalität zu erreichen. Die besten Ergebnisse werden immer dann erzielt, wenn dies Teil ihrer täglichen Arbeit ist und nicht ein nachträglicher Gedanke, der sporadisch eingeführt wird, wenn die jährlichen Compliance-Anforderungen kommen.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
