La capacitación en seguridad en profundidad está planteando interrogantes en la educación

Seit wir 2015 mit unserer Mission begannen, lag unser Fokus immer darauf, Entwicklern unterhaltsame, relevante und ansprechende Schulungen zu sicherem Coding zu ermöglichen. Wir haben schon lange erkannt, wie wichtig es ist, Entwicklern das Wissen und die Werkzeuge an die Hand zu geben, um Best Practices für die Sicherheit zu verstehen, warum sie wichtig sind und wie sie helfen können, Software vor bösartigen Angriffen zu schützen, während der Code geschrieben wird.

Sicherheitsschulungen sind jedoch kein neues Konzept. Wir waren sicher nicht die Ersten, die diese Initiative ergriffen haben, und angemessene Sicherheitsmaßnahmen sind in der Software-Entwicklung schon seit langem ein Thema. Sicherlich sind einige Arten von Schulungen effektiver als andere, aber der Zugang zu einer gewissen Sicherheitsausbildung ist relativ leicht zu finden, vor allem heutzutage.

... also warum zum Teufel haben wir so viele Datenverletzungen? Im September wurden allein im Jahr 2019 über vier Milliarden Datensätze durch mehrere Cyberangriffe offengelegt.

Viele Unternehmen kämpfen derzeit einen aussichtslosen Kampf, um unsere zunehmend wertvollen Daten sicher zu halten. Es ist CISOs und CIOs auf der ganzen Welt überdeutlich geworden, dass "nach links verschieben" immer noch zu spät ist. Wir müssen links mit der Sicherheit im SDLC beginnen, und das bedeutet, dass Entwickler über ausreichendes Sicherheitswissen verfügen müssen, um Fehler zu beheben, lange bevor der Code committed wird, geschweige denn an die Öffentlichkeit gelangt.

AppSec-Spezialisten können nicht die einzigen Torwächter für Sicherheitswissen sein.

In der Vergangenheit war Softwaresicherheit die Domäne einer ganz bestimmten Gruppe von cleveren Geeks, die so gut wie keinen Kontakt zu den Ingenieuren hatten, die den Code schrieben. Es war ihre Aufgabe, unsicheren Code zu testen, zu brechen und zu verhindern, dass er das Licht der Welt erblickt. Wenn sich ihre Wege doch einmal kreuzten, war es wahrscheinlich, dass der Sicherheitsspezialist auf Fehler im Code hinwies... etwas, das garantiert einen frostigen Empfang von dem Entwickler bekam, der an der Erstellung des Codes gearbeitet hatte.

Spulen Sie in die heutige Zeit vor, und die Situation ist so ziemlich die gleiche, nur dass jetzt viel mehr auf dem Spiel steht. Nahezu jeder Aspekt unseres Lebens ist digitalisiert... alles von Fotoalben in sozialen Medien, medizinischen Daten, Bankgeschäften und unseren wertvollsten Ausweisdokumenten. Es war eine Sache, meist offline, eigenständige Software und Betriebssysteme zu schützen. Es ist eine ganz andere Sache, sich gegen Bedrohungen von Milliarden von Codezeilen verteidigen zu müssen, bei denen Hunderte von Millionen von Benutzern potenziell gefährdet sind. Es steht einfach zu viel auf dem Spiel, als dass eine Gruppe von Spezialisten die volle Verantwortung übernehmen könnte, und deshalb müssen wir die Kluft zwischen AppSec und dem Entwicklungsteam überbrücken. Sie müssen zusammenarbeiten, ihr Wissen teilen und als eine geschlossene, sicherheitsbewusste Einheit agieren.

Es gibt nur ein Problem dabei: Entwickler haben selten die Möglichkeit, sichere Programmierkenntnisse auf sinnvolle Weise zu erlernen. Die meisten Hochschulausbildungen gehen kaum auf Best Practices im Bereich Sicherheit ein, und die Qualität der Ausbildung am Arbeitsplatz variiert stark.

Ist es da ein Wunder, dass wir jeden zweiten Tag riesige Sicherheitsverletzungen erleben? Laden Sie unsere AppSec-Checkliste herunter.

‍

Eine "Lizenz zum Coden".

Trotz der düsteren aktuellen Lage bin ich optimistisch, was die Zukunft der Sicherheit angeht. Es liegt eine Veränderung in der Luft, und ich bin so ermutigt durch die immense Anzahl von Organisationen, die sichere Kodierung gerade jetzt ernst nehmen.

Es wird immer deutlicher, dass Entwickler Zugang zu den richtigen Tools und Kenntnissen benötigen, um Sicherheitsrisiken zu minimieren, und dass eine gedeihliche Kultur des Sicherheitsbewusstseins im Kampf gegen Datenschutzverletzungen entscheidend ist. Wenn Entwickler bereits beim Schreiben des Codes die Verantwortung für die Sicherheit übernehmen, wird es für Angreifer weitaus weniger ein Kinderspiel, einfache Fehler auszunutzen und sich die Schlüssel zum Schloss zu verschaffen.

Es war schon immer so, dass einige Entwickler sicherheitsbewusster sind als andere, und das stellt eine echte Herausforderung für Unternehmen dar. Während interne Entwicklungsteams oft über ein gewisses Maß an Schulung und Kompetenzüberwachung verfügen, wird das Wasser sehr trübe, wenn Sie Auftragnehmer, Freiberufler und Hochschulabsolventen in den Mix einbeziehen. Handeln sie mit einem Sicherheitsdenken? Können sie uralte Schwachstellen wie Cross-Site-Scripting, die es schon seit Jahrzehnten gibt, erfolgreich vermeiden? Es ist schwer zu sagen, und doch werden sie oft auf wichtige Teile einer Softwareentwicklung losgelassen. Igitt.

Glücklicherweise sehen wir eine Zunahme von nicht verhandelbaren Standards für Entwickler. Zum Beispiel verwenden einige Organisationen Secure Code Warrior als Werkzeug, um Entwicklungsfähigkeiten zu bewerten und eine "Lizenz zum Coden" auszustellen. Ohne das Bestehen grundlegender sicherer Kodierungsprüfungen können sie nicht an Projekten arbeiten. Dies ist von unschätzbarem Wert, wenn es darum geht, Absolventen und Praktikanten zu helfen, ihre Sicherheitskenntnisse auf den neuesten Stand zu bringen und gleichzeitig ein Gefühl dafür zu vermitteln, wie wichtig es ist, sicher zu programmieren. Schließlich muss Sicherheit ein Synonym für Qualität sein, wenn es um Software geht.

Die außerschulische Ausbildung rückt die Hochschulen ins Rampenlicht.

Um die Diskussion über sicheres Coding zu verändern, braucht es mehr als einen Artikel hier, eine Grundsatzrede dort. Es muss eine gemeinschaftsweite Bewegung sein, und es ist großartig zu sehen, dass so viele hochrangige Unternehmen Notiz davon nehmen und Sicherheitsprogramme auf hohem Niveau nach einem beneidenswerten Standard aufbauen. Ein solches Unternehmen ist HSBC, dessen formidables Programm sicherstellt, dass junge Absolventen und neue Mitarbeiter so schnell wie möglich den "Start links" machen. Als Leiter der Technologie-Akademie von HSBC Indien hat Sekhar Babu Tatavarti eine gründliche Sicherheitsschulung für unabdingbar gehalten:

"Bei HSBC Technology wollten wir sicherstellen, dass unsere Entwickler-Community die Bedeutung von sicherem Coding versteht, um die Bank vor Sicherheitslücken zu schützen. In unserem diesjährigen Trainingsprogramm für Hochschulabsolventen sahen wir eine große Chance, die jungen Leute aufzufangen und sie in die Lage zu versetzen, die besten Praktiken für sicheres Coding selbst zu erlernen und zu verinnerlichen, bevor sie in ihren jeweiligen Projekten mit dem Coding beginnen.  

Wir haben die Plattform Secure Code Warrior wegen ihrer wunderbaren Gamification-Methode zum Lernen für die Grads gewählt, und sie haben unsere Erwartungen nicht enttäuscht. Wir freuen uns, dass jeder von ihnen mit Begeisterung an der tournament teilgenommen und zusätzlich die White Belt-Zertifizierung in verschiedenen Technologien absolviert hat", sagte er.

Immer mehr Unternehmen, wie z. B. HSBC, erkennen, dass sichere Programmierfähigkeiten auf Entwicklerebene unerlässlich sind. Dies hat dazu geführt, dass die Hochschulausbildung als Ganzes in Frage gestellt wird. CISOs und CIOs beginnen sich zu fragen, warum frischgebackene Ingenieure ihre Ausbildung ohne solides Sicherheitstraining abschließen.

Innovation im tertiären Bildungsbereich.

Während sichere Kodierung ein obligatorischer Bestandteil des Software-Engineerings auf tertiärer Ebene werden muss, sind einige Universitäten führend bei der Bereitstellung von erstklassigem Training und der Priorisierung von Sicherheit als Teil des Entwicklungsprozesses von Anfang an, anstatt als Domäne der knappen AppSec-Spezialisten vor Ort.

An der University of Queensland in Australien macht Professor Ryan Ko große Fortschritte bei der Vorbereitung der nächsten Welle von Entwicklern, die uns vor dem unvermeidlichen Ansturm von Cyberangriffen schützen sollen:

"Die meisten Software-Schwachstellen werden in der Kodierungsphase eingeführt. Wenn wir also an der Quelle (d. h. beim Programmierer) ansetzen können, wären wir in der Lage, die meisten der immer wiederkehrenden Probleme, die heute in der CVE-Liste aufgeführt sind, auszumerzen. Da Software das Leben und den Lebensunterhalt der meisten Menschen in unserer modernen Gesellschaft beeinflusst, haben die Universitäten und Ausbildungseinrichtungen eine moralische und soziale Verantwortung, allen angehenden Programmierern beizubringen, wie man sicher programmiert", sagte er.

Dies ist eine aufregende Entwicklung gegenüber dem Standard courses, der nur sehr wenig in Bezug auf ein signifikantes Sicherheitsbewusstsein und -wissen bietet. Und dies ist ein "Virus", den ich gerne weiter verbreiten würde. Zu meiner Freude infiziert auch die Macquarie University ihre Studenten mit einer auf Sicherheit ausgerichteten Denkweise, dank der Bemühungen von Personen wie Christophe Doche:

"Der 2016 ins Leben gerufene Optus Macquarie University Cyber Security Hub ist die erste Initiative dieser Art in Australien, die Akademiker aus den Bereichen Informationssicherheit, Wirtschaft, Kriminologie, Nachrichtendienst, Recht und Psychologie mit Cybersecurity-Experten aus Industrie und Regierung verbindet.

Unser Ziel ist es, Australien durch Bildung, Forschung und Partnerschaften als weltweit führendes Land im Bereich Cybersicherheit zu positionieren. Ein wichtiger Aspekt dabei ist, die gut dokumentierte Qualifikationslücke im Bereich Cybersicherheit zu schließen. Prognosen zeigen, dass im Jahr 2022 weltweit höchstwahrscheinlich 1,8 Millionen Stellen nicht besetzt werden können.

Um diese Qualifikationslücke zu schließen, bedarf es eines mehrgleisigen Ansatzes, der sowohl die Weiterbildung und Umschulung der vorhandenen Arbeitskräfte als auch die Ausbildung einer neuen Generation von Cybersicherheitsspezialisten umfasst", sagte er.

Ihr Ansatz ist unglaublich: Sie bieten hoch motivierendes, präzises Lernen, das hilft, Lücken zwischen Abteilungen zu überbrücken und ein florierendes Sicherheitsbewusstsein zu schaffen. Sie nutzen die Vorteile von Microlearning in ihrer Strategie und bieten gamifizierte, mundgerechte Lernmodule mit einer hohen Rate an Behalten, Engagement und Wiederholung. Ich bin besonders stolz darauf, dass wir ihnen helfen können, ihre Studenten kreativ einzubinden:

"Ein hervorragendes Beispiel für dieses Engagement ist die Partnerschaft mit Secure Code warrior. Nach einer tournament , die von Secure Code Warrior und dem Cyber Security Hub im August 2019 organisiert wurde, prüfen wir nun die Einbettung der Plattform Secure Code Warrior in unseren Lehrplan, insbesondere in unserer neuen Einheit zur Entwicklung sicherer Anwendungen", so Christophe.

Initiativen wie die der Macquarie University und der University of Queensland sind echte Pioniere für sicheres Coding im Bildungsbereich. Unser Ziel als AppSec-Experten, Entwickler und als breitere Sicherheits-Community muss es sein, Sicherheit in alles einzubauen, was wir tun, und unser Engagement fortzusetzen, links zu beginnen.