스태틱 대.동적 사이버 보안 교육: 충동적인 규정 준수, 향후 문제
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
규제 이니셔티브는 의심할 여지 없이 시간이 지남에 따라 개선되고 성장하겠지만, 조직이 이미 패닉 버튼을 누르고 지금 바로 교육에 뛰어든다면 미래를 위한 준비가 제대로 되어 있지 않을 수도 있습니다.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich so an, als ob "Cybersecurity Compliance" schon seit Jahren ein Trend ist, mit endlosen Artikeln, Initiativen und Komitees, die darüber diskutieren, wie die Welt am besten gegen das riesige, mehrfach bedrohte Ungeheuer, das die Cyberkriminalität ist, vorgehen sollte.
Das Problem ist, dass wir anscheinend nicht so viel Fortschritt gemacht haben. Weltweit sind die Kosten für Datenschutzverletzungen stetig gestiegen, und zwar um 12 % in fünf Jahren, um sich im Jahr 2019 bei ca. 3,92 Millionen US-Dollar pro Datenschutzverletzung einzupendeln. Als unsere Nutzung des Internets in nur wenigen kurzen Jahrzehnten explodierte, waren viele Unternehmen einfach ohne Rüstung aufgeschmissen, als sie schnell online gingen, ihr Geschäft einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen mit dem Missbrauch des Kundenvertrauens auseinandersetzen mussten.
Heutzutage sind wir unbestreitbar reifer. Wir verstehen und diskutieren ausführlich über das Ausmaß der Bedrohung, Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Stimmung der Kunden, ihren Ruf und ihren Gewinn haben kann, und vielerorts wird aktiv versucht, die Softwaresicherheit durch Compliance-Schulungen, qualifizierte Einstellungen und zunehmend auch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte gewinnen wir den Kampf nicht - nicht einmal annähernd. Allein im Jahr 2019 wurden mindestens vier Milliarden Datensätze bei Datenschutzverletzungen gestohlen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) von Cybersicherheitsstandards, Erwartungen und Konsequenzen eines Verstoßes. Die Einführung der GDPR hat zumindest in Europa einige Köpfe rollen lassen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu entstandenen Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürzen sich (auf die falsche Ausbildung)
Robuste Richtlinien in Form von NIST, neue Vorschriften für den Bundesstaat New York und die Gründung des UK Cyber Security Council sind allesamt monumentale Erfolge für diejenigen, die den guten Kampf für die Sicherheit unserer Daten kämpfen. Sie erkennen die Probleme in der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Organisationen zu den Standards zu führen, die sie jetzt erfüllen müssen, um als ethisch und konform in Bezug auf die besten Sicherheitsverfahren zu gelten.
Leider sind in diesem Stadium einige der wichtigsten Elemente ein wenig zu offen für Interpretationen. Zum Beispiel lautet eines der Mandate in der Gesetzgebung des britischen Cyber Security Councils:
"Erstellung einer definierten Liste von Zertifizierungen und eines leicht verständlichen Rahmens, wie sie alle miteinander verbunden sind und welche Fähigkeiten sie vermitteln, aufbauend auf der bereits durchgeführten Arbeit an den Karrierewegen".
Zwar werden sich ihre Initiativen im Laufe der Zeit zweifellos verbessern und ausweiten, doch wenn Unternehmen bereits jetzt den Panikknopf drücken und sich auf Schulungen stürzen, sind sie für die Zukunft möglicherweise schlecht gerüstet.
Die Anforderungen an die Cybersicherheit einer Organisation ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen den Fluss unsicherer Software in dem erforderlichen Tempo eindämmen können. Die Landschaft ändert sich schneller, als ein traditioneller Kurs aktualisieren kann, was dazu führen kann, dass einige Orte in die "Tick-the-Box"-Compliance-Übungsfalle tappen; Entwickler, Auftragnehmer und andere Sicherheitsexperten erhalten keine angemessene Schulung, und wir sind wieder leichte Beute.
Statisches Training und statische Werkzeuge leiden unter den gleichen Problemen
Statische Analysewerkzeuge sind ein integraler Bestandteil des SDLC und erledigen ihren Job als Scan-Arbeitspferde für die knappen und überlasteten AppSec-Spezialisten in den meisten großen Unternehmen. Sie machen einen guten Job, aber es gibt einen Fehler: Kein "einziges" Tool kann nach jeder einzelnen Schwachstelle scannen und die riesige Bandbreite an Programmier-Frameworks unterstützen, die es gibt. Außerdem ist es ein langsamer Prozess, und es reicht schon ein einziger Sicherheitsfehler, der durch die Maschen fällt, um einem Angreifer Tür und Tor zu öffnen.
Bei statischem Training gibt es ein ähnliches Problem. Wenn Entwickler ein Sicherheitstraining als einen starren, "one-and-done" Kurs erhalten, ist es sehr unwahrscheinlich, dass es mit den häufigsten Sicherheitsproblemen in diesem Zeitraum Schritt gehalten hat. Es dient als eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt, in der bevorzugten Sprache und dem Framework des Schülers vermittelt, noch ist es kontextbezogen zu den Schwachstellen, mit denen sie wahrscheinlich in ihrer täglichen Arbeit konfrontiert werden. Stellen Sie sich vor, Sie versuchen, sich an eine relevante Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie versuchen, die Liefertermine einzuhalten und den Code zur Tür hinauszurollen... das ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, muss man sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (vor allem solche, die auf Schwachstellen zurückzuführen sind, von denen wir seit Jahrzehnten wissen, wie man sie in der Programmierung vermeidet, wie z. B. SQL-Injection), um zu erkennen, dass wir einen anderen Weg einschlagen müssen.
Wir brauchen ein Training, das über die Grenzen eines einzelnen, linearen Kurses hinausgeht und das sich flexibel an die sich ständig ändernden Anforderungen von Cybersecurity Best Practices anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die sich schnell an das Unternehmen, den individuellen Kenntnisstand und die allgemeinen Branchenentwicklungen anpassen lässt, bieten Sie ihnen die beste Grundlage für eine sichere Programmierung, bei der die Sicherheit im Vordergrund steht und sie mit einer sicherheitsbewussten Denkweise handeln.
Eine Schulung, die für alle passt, nie wiederholt wird und von vornherein nicht ansprechend ist, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, nur um der Einhaltung der Vorschriften willen. Es könnte schon veraltet sein, bevor Sie es überhaupt ausgerollt haben, oder es hat kaum Bezug zu den Anforderungen der täglichen Arbeit.
Dynamisches Training ist ein lebendiges, atmendes Werkzeug, das ständig aktualisiert wird, sich an den täglichen Bedürfnissen orientiert, die Benutzer zum kritischen Denken anregt und sie tatsächlich dazu befähigt, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Das wird es sein:
- Mundgerecht: Entwickler können Fertigkeiten in überschaubaren Häppchen erlernen, die sich viel leichter einprägen (und, was noch wichtiger ist, anwenden) lassen als langatmige Schulungsdecks und Videos
- Relevant: Was nützt ein allgemeines Sicherheitstraining, bei dem die Beispiele in, sagen wir, C# sind, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, damit sie sehen können, was sie beim Programmieren finden und beheben (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft ändert sich ständig, und mit mehr Code kommt auch mehr Verantwortung. Damit Entwickler Ihre erste Verteidigungslinie sein können, brauchen sie Schulungen, die mit modernen Best Practices für Sicherheit auf dem neuesten Stand sind.
- Fesselnd: Es ist kein Geheimnis, dass Entwickler "Sicherheit" als lästig empfinden können, vor allem, wenn sie ihren kreativen Fluss stören. Die richtige Schulung zeigt ihnen die Macht, die sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich zu großen Risiken entwickeln können, und schafft eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Spaß: Dynamisches Training ist selten langweilig; es soll von vornherein zumindest etwas spannend sein. Denken Sie daran, was Entwickler lieben: Probleme zu lösen, sich mit Gleichgesinnten zu messen und wie viele von uns in der Arbeitswelt, Belohnungen und Anerkennung. Spielen Sie mit ihren Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, ein Software-Ingenieur zu sein; sie spielen eine wesentliche Rolle bei der digitalen Innovation, helfen dabei, erstaunliche Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Da Regierungsbehörden und große Unternehmen jedoch erkannt haben, welche Rolle sie bei der Festlegung von Standards für die Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Liebe zur sicheren Programmierung fördern und nicht eine bürokratische Abhak-Übung darstellen.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
