Ist Ihr Sicherheitsprogramm bereit für den Cybersicherheitsstrategieplan von CISA?
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
