Para que los desarrolladores ayuden a matar a la bestia del cibercrimen, la formación es una misión que consta de dos partes
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.