Vorteile des Benchmarkings von Sicherheitstechnologien für Entwickler
Da Cyberbedrohungen immer weiter verbreitet und ausgefeilter werden, konzentriert sich die Cybersicherheit zunehmend auf die Bedeutung von Sicherheitscodes. Die Initiative „Security by Design“ der Nationalen Cybersicherheitsstrategie des Weißen Hauses und der Cybersecurity and Infrastructure Security Agency (CISA) überträgt zusammen mit Initiativen und Gesetzen anderer Länder die Verantwortung für die Sicherheit vollständig auf die Schultern der Softwarehersteller.Was einst als wünschenswert galt, nämlich die Sicherheit bereits zu Beginn des Softwareentwicklungslebenszyklus (SDLC) zu gewährleisten, ist heute für Unternehmen unverzichtbar, um ihre Daten und Systeme zu schützen und die regulatorischen Folgen von Sicherheitsverletzungen zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Codierungspraktiken liegt in der Schulung der Entwickler. Softwareentwickler profitieren in der Regel von folgenden Vorteilen: Kaum oder gar keine Cybersicherheitsschulungen. Insbesondere in der heutigen beschleunigten DevOps-Umgebung bestand ihre Aufgabe darin, mit Hilfe schnell arbeitender generativer KI-Modelle neue Anwendungen, Upgrades und Dienste so schnell wie möglich auf den Markt zu bringen und es dem Sicherheitsteam zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC zu beheben. Dies ist eine ineffiziente Methode, um die zahlreichen Fehler zu beheben, die bei der Erstellung von zu viel Code entstehen und oft dazu führen, dass Software-Schwachstellen in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, Sicherheitscode zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von KI generiert wurde oder in von ihnen verwendeter Open-Source- und anderer Drittanbietersoftware enthalten ist. In vielen Entwicklungsteams und Organisationen ist dies ein Bereich, der bisher kaum Beachtung gefunden hat. Wie kann man sicherstellen, dass Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die Entwickler schulen, haben erkannt, dass es sinnvoll ist, grundlegende Fähigkeiten festzulegen, anhand derer Entwickler klar definierte Benchmarks erwerben und ihre Fortschritte messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior Benchmarks eingeführt, die speziell dafür entwickelt wurden, die Fortschritte von Entwicklern bei der Sicherheitsschulung genau zu messen. Der SCW Trust Score misst, inwieweit das Training in der Organisation auf die Arbeit angewendet wird, und ermöglicht die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Ingenieurteams.
Dies ist eine Methode, um Bereiche mit Verbesserungsbedarf zu identifizieren und gleichzeitig nachzuweisen, dass die Schulungen zum Sicherheitscode ordnungsgemäß durchgeführt werden.
Beispiele für sicheres Design
Softwareentwickler haben gute Gründe, Sicherheit bereits zu Beginn des Prozesses in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten sowie die Geschwindigkeit, die KI für den Entwicklungsprozess bietet, haben sich für Entwickler, die generative KI frühzeitig eingeführt haben, als nützlich erwiesen. Dies führt jedoch zwangsläufig dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler treten auf. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel aller Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, von denen fast 20 % als schwerwiegend eingestuft werden.
Um Schwachstellen in der zweiten Hälfte des SDLC zu finden, werden enorme Zeit- und Kostenaufwendungen erforderlich. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Fehlern während der Testphase 15-mal länger dauert als der Schutz der Software zu Beginn des SDLC und dass die Behebung von Fehlern in der Bereitstellungs-/Wartungsphase 30- bis 100-mal länger dauern kann.
All dies zeigt, wie wichtig es ist, Sicherheit bereits in der frühen Phase des Entwicklungszyklus zu berücksichtigen. Dies hat sich nicht nur als die effektivste Methode zur Risikominderung erwiesen, sondern auch als die kostengünstigste. Entwickler sind am besten in der Lage, Sicherheit bereits zu Beginn des SDLC zu integrieren, wenn sie mit dem Sicherheitsteam zusammenarbeiten, anstatt dieses als separate Einheit zu betrachten. Darüber hinaus konnten Entwickler, die in bewährten Sicherheitsverfahren geschult wurden, Schwachstellen effektiv reduzieren. Das Problem ist jedoch, dass nur sehr wenige von ihnen eine solche Schulung erhalten haben.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen umfasst die Festlegung von Standards für Sicherheitstechnologien, die Bereitstellung von Schulungen und die Überprüfung sowohl durch die Organisation als auch durch die Aufsichtsbehörden, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftsbereichen als schwierig erwiesen, muss aber nicht unbedingt so sein.
Eines der Probleme, das Sicherheitsverantwortliche anführen, ist die Schwierigkeit, Schulungsprogramme auf das gesamte Unternehmen auszuweiten. Laut einer Studie von SCW können jedoch Organisationen, insbesondere solche mit einer großen Anzahl von Entwicklern, einen Sicherheitsdesignansatz erfolgreich umsetzen. Die Ergebnisse kleinerer Organisationen zeigen tendenziell große Unterschiede hinsichtlich der Qualität der Anwendung von Sicherheitsdesignprinzipien. Aber auch diese Unternehmen können von einem Ansatz profitieren, der Vertrauenspunkte einbezieht, und werden wahrscheinlich schneller Verbesserungen erzielen.
Der Vertrauenswert misst den Fortschritt einzelner Lernender anhand von Benchmarking-Indikatoren, bewertet die Leistung des gesamten Teams durch die Aggregation der Punkte und vergleicht den Fortschritt der Organisation mit Branchen-Benchmarks und Best Practices. Dies ermöglicht nicht nur die Nachverfolgung der Schulungen, sondern zeigt auch, wie gut die Entwickler täglich neue Technologien anwenden. Darüber hinaus werden Bereiche hervorgehoben, in denen Verbesserungsbedarf besteht, sodass die Organisation ihre Schulungs-/Technologieverbesserungsprogramme optimieren kann.
Über alle CISA-Bereiche hinweg waren die meisten Organisationen hinsichtlich der Frage, welche Daten in wichtigen Infrastruktursektoren verwendet werden konnten, bei der Umsetzung von Sicherheitsdesignprinzipien auf einem ähnlichen Niveau. Die Vertrauenswürdigkeit verschiedener Sektoren, von Finanzdienstleistungen und Verteidigungsindustrie bis hin zu Gesundheitswesen, IT und wichtiger Fertigung, lag ebenfalls im gleichen Bereich. Auf einer Skala von 1.000 Punkten lagen sie knapp über 300 Punkten. Entgegen der allgemeinen Annahme, dass die am stärksten regulierte Branche, die Finanzdienstleistungen, am weitesten fortgeschritten sein würde, übertrifft keine Branche die anderen.
Wichtige Infrastruktursektoren wie Chemie, Energie und Kernkraft, die nicht in der Vertrauenswürdigkeitsrangliste enthalten sind, entwickeln in der Regel keine eigene Software, sondern sind auf andere Sektoren, insbesondere die IT, angewiesen. Die Tatsache, dass es in diesen Sektoren wichtig ist, Sicherheitssysteme aufrechtzuerhalten (niemand möchte, dass ein Kernkraftwerk beschädigt wird), zeigt jedoch, wie wichtig es ist, die verwendete Software von vornherein zu schützen.
Schlussfolgerung
Aufgrund des zunehmenden Regulierungsdrucks und der Realität der Cyber-Bedrohungslage ist der Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unverzichtbar geworden. Die Entwicklung von Sicherheitssoftware liegt zwar größtenteils in den Händen der Entwickler, doch diese benötigen Unterstützung in Form von umfassenden Weiterbildungs- und Schulungsprogrammen, die ihnen die erforderlichen Kenntnisse vermitteln und ihnen zeigen, wie der Entwicklungsansatz angewendet wird.
Programme, die Benchmarks auf der Grundlage von Tools wie Trust Score enthalten, ermöglichen es, den Fortschritt des Entwicklungsteams klar zu erfassen. Dies ist ein völlig neuer Ansatz für alle Unternehmen, die mit Entwicklern zusammenarbeiten, da sie gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen und ihre Fähigkeiten zur Entwicklung sicherer Software kontinuierlich verbessern müssen.
Angesichts des wachsenden Interesses an Sicherheitscodes und den Prinzipien von Secure by Design sollten Entwickler bereits zu Beginn des SDLC eine Schulung zum Thema Cybersicherheit erhalten und den Fortschritt mithilfe von Tools wie dem Trust Score von Secure Code Warrior messen und verbessern.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Da Cyberbedrohungen immer weiter verbreitet und ausgefeilter werden, konzentriert sich die Cybersicherheit zunehmend auf die Bedeutung von Sicherheitscodes. Die Initiative „Security by Design“ der Nationalen Cybersicherheitsstrategie des Weißen Hauses und der Cybersecurity and Infrastructure Security Agency (CISA) überträgt zusammen mit Initiativen und Gesetzen anderer Länder die Verantwortung für die Sicherheit vollständig auf die Schultern der Softwarehersteller.Was einst als wünschenswert galt, nämlich die Sicherheit bereits zu Beginn des Softwareentwicklungslebenszyklus (SDLC) zu gewährleisten, ist heute für Unternehmen unverzichtbar, um ihre Daten und Systeme zu schützen und die regulatorischen Folgen von Sicherheitsverletzungen zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Codierungspraktiken liegt in der Schulung der Entwickler. Softwareentwickler profitieren in der Regel von folgenden Vorteilen: Kaum oder gar keine Cybersicherheitsschulungen. Insbesondere in der heutigen beschleunigten DevOps-Umgebung bestand ihre Aufgabe darin, mit Hilfe schnell arbeitender generativer KI-Modelle neue Anwendungen, Upgrades und Dienste so schnell wie möglich auf den Markt zu bringen und es dem Sicherheitsteam zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC zu beheben. Dies ist eine ineffiziente Methode, um die zahlreichen Fehler zu beheben, die bei der Erstellung von zu viel Code entstehen und oft dazu führen, dass Software-Schwachstellen in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, Sicherheitscode zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von KI generiert wurde oder in von ihnen verwendeter Open-Source- und anderer Drittanbietersoftware enthalten ist. In vielen Entwicklungsteams und Organisationen ist dies ein Bereich, der bisher kaum Beachtung gefunden hat. Wie kann man sicherstellen, dass Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die Entwickler schulen, haben erkannt, dass es sinnvoll ist, grundlegende Fähigkeiten festzulegen, anhand derer Entwickler klar definierte Benchmarks erwerben und ihre Fortschritte messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior Benchmarks eingeführt, die speziell dafür entwickelt wurden, die Fortschritte von Entwicklern bei der Sicherheitsschulung genau zu messen. Der SCW Trust Score misst, inwieweit das Training in der Organisation auf die Arbeit angewendet wird, und ermöglicht die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Ingenieurteams.
Dies ist eine Methode, um Bereiche mit Verbesserungsbedarf zu identifizieren und gleichzeitig nachzuweisen, dass die Schulungen zum Sicherheitscode ordnungsgemäß durchgeführt werden.
Beispiele für sicheres Design
Softwareentwickler haben gute Gründe, Sicherheit bereits zu Beginn des Prozesses in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten sowie die Geschwindigkeit, die KI für den Entwicklungsprozess bietet, haben sich für Entwickler, die generative KI frühzeitig eingeführt haben, als nützlich erwiesen. Dies führt jedoch zwangsläufig dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler treten auf. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel aller Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, von denen fast 20 % als schwerwiegend eingestuft werden.
Um Schwachstellen in der zweiten Hälfte des SDLC zu finden, werden enorme Zeit- und Kostenaufwendungen erforderlich. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Fehlern während der Testphase 15-mal länger dauert als der Schutz der Software zu Beginn des SDLC und dass die Behebung von Fehlern in der Bereitstellungs-/Wartungsphase 30- bis 100-mal länger dauern kann.
All dies zeigt, wie wichtig es ist, Sicherheit bereits in der frühen Phase des Entwicklungszyklus zu berücksichtigen. Dies hat sich nicht nur als die effektivste Methode zur Risikominderung erwiesen, sondern auch als die kostengünstigste. Entwickler sind am besten in der Lage, Sicherheit bereits zu Beginn des SDLC zu integrieren, wenn sie mit dem Sicherheitsteam zusammenarbeiten, anstatt dieses als separate Einheit zu betrachten. Darüber hinaus konnten Entwickler, die in bewährten Sicherheitsverfahren geschult wurden, Schwachstellen effektiv reduzieren. Das Problem ist jedoch, dass nur sehr wenige von ihnen eine solche Schulung erhalten haben.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen umfasst die Festlegung von Standards für Sicherheitstechnologien, die Bereitstellung von Schulungen und die Überprüfung sowohl durch die Organisation als auch durch die Aufsichtsbehörden, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftsbereichen als schwierig erwiesen, muss aber nicht unbedingt so sein.
Eines der Probleme, das Sicherheitsverantwortliche anführen, ist die Schwierigkeit, Schulungsprogramme auf das gesamte Unternehmen auszuweiten. Laut einer Studie von SCW können jedoch Organisationen, insbesondere solche mit einer großen Anzahl von Entwicklern, einen Sicherheitsdesignansatz erfolgreich umsetzen. Die Ergebnisse kleinerer Organisationen zeigen tendenziell große Unterschiede hinsichtlich der Qualität der Anwendung von Sicherheitsdesignprinzipien. Aber auch diese Unternehmen können von einem Ansatz profitieren, der Vertrauenspunkte einbezieht, und werden wahrscheinlich schneller Verbesserungen erzielen.
Der Vertrauenswert misst den Fortschritt einzelner Lernender anhand von Benchmarking-Indikatoren, bewertet die Leistung des gesamten Teams durch die Aggregation der Punkte und vergleicht den Fortschritt der Organisation mit Branchen-Benchmarks und Best Practices. Dies ermöglicht nicht nur die Nachverfolgung der Schulungen, sondern zeigt auch, wie gut die Entwickler täglich neue Technologien anwenden. Darüber hinaus werden Bereiche hervorgehoben, in denen Verbesserungsbedarf besteht, sodass die Organisation ihre Schulungs-/Technologieverbesserungsprogramme optimieren kann.
Über alle CISA-Bereiche hinweg waren die meisten Organisationen hinsichtlich der Frage, welche Daten in wichtigen Infrastruktursektoren verwendet werden konnten, bei der Umsetzung von Sicherheitsdesignprinzipien auf einem ähnlichen Niveau. Die Vertrauenswürdigkeit verschiedener Sektoren, von Finanzdienstleistungen und Verteidigungsindustrie bis hin zu Gesundheitswesen, IT und wichtiger Fertigung, lag ebenfalls im gleichen Bereich. Auf einer Skala von 1.000 Punkten lagen sie knapp über 300 Punkten. Entgegen der allgemeinen Annahme, dass die am stärksten regulierte Branche, die Finanzdienstleistungen, am weitesten fortgeschritten sein würde, übertrifft keine Branche die anderen.
Wichtige Infrastruktursektoren wie Chemie, Energie und Kernkraft, die nicht in der Vertrauenswürdigkeitsrangliste enthalten sind, entwickeln in der Regel keine eigene Software, sondern sind auf andere Sektoren, insbesondere die IT, angewiesen. Die Tatsache, dass es in diesen Sektoren wichtig ist, Sicherheitssysteme aufrechtzuerhalten (niemand möchte, dass ein Kernkraftwerk beschädigt wird), zeigt jedoch, wie wichtig es ist, die verwendete Software von vornherein zu schützen.
Schlussfolgerung
Aufgrund des zunehmenden Regulierungsdrucks und der Realität der Cyber-Bedrohungslage ist der Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unverzichtbar geworden. Die Entwicklung von Sicherheitssoftware liegt zwar größtenteils in den Händen der Entwickler, doch diese benötigen Unterstützung in Form von umfassenden Weiterbildungs- und Schulungsprogrammen, die ihnen die erforderlichen Kenntnisse vermitteln und ihnen zeigen, wie der Entwicklungsansatz angewendet wird.
Programme, die Benchmarks auf der Grundlage von Tools wie Trust Score enthalten, ermöglichen es, den Fortschritt des Entwicklungsteams klar zu erfassen. Dies ist ein völlig neuer Ansatz für alle Unternehmen, die mit Entwicklern zusammenarbeiten, da sie gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen und ihre Fähigkeiten zur Entwicklung sicherer Software kontinuierlich verbessern müssen.
Da Cyberbedrohungen immer weiter verbreitet und ausgefeilter werden, konzentriert sich die Cybersicherheit zunehmend auf die Bedeutung von Sicherheitscodes. Die Initiative „Security by Design“ der Nationalen Cybersicherheitsstrategie des Weißen Hauses und der Cybersecurity and Infrastructure Security Agency (CISA) überträgt zusammen mit Initiativen und Gesetzen anderer Länder die Verantwortung für die Sicherheit vollständig auf die Schultern der Softwarehersteller.Was einst als wünschenswert galt, nämlich die Sicherheit bereits zu Beginn des Softwareentwicklungslebenszyklus (SDLC) zu gewährleisten, ist heute für Unternehmen unverzichtbar, um ihre Daten und Systeme zu schützen und die regulatorischen Folgen von Sicherheitsverletzungen zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Codierungspraktiken liegt in der Schulung der Entwickler. Softwareentwickler profitieren in der Regel von folgenden Vorteilen: Kaum oder gar keine Cybersicherheitsschulungen. Insbesondere in der heutigen beschleunigten DevOps-Umgebung bestand ihre Aufgabe darin, mit Hilfe schnell arbeitender generativer KI-Modelle neue Anwendungen, Upgrades und Dienste so schnell wie möglich auf den Markt zu bringen und es dem Sicherheitsteam zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC zu beheben. Dies ist eine ineffiziente Methode, um die zahlreichen Fehler zu beheben, die bei der Erstellung von zu viel Code entstehen und oft dazu führen, dass Software-Schwachstellen in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, Sicherheitscode zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von KI generiert wurde oder in von ihnen verwendeter Open-Source- und anderer Drittanbietersoftware enthalten ist. In vielen Entwicklungsteams und Organisationen ist dies ein Bereich, der bisher kaum Beachtung gefunden hat. Wie kann man sicherstellen, dass Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die Entwickler schulen, haben erkannt, dass es sinnvoll ist, grundlegende Fähigkeiten festzulegen, anhand derer Entwickler klar definierte Benchmarks erwerben und ihre Fortschritte messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior Benchmarks eingeführt, die speziell dafür entwickelt wurden, die Fortschritte von Entwicklern bei der Sicherheitsschulung genau zu messen. Der SCW Trust Score misst, inwieweit das Training in der Organisation auf die Arbeit angewendet wird, und ermöglicht die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Ingenieurteams.
Dies ist eine Methode, um Bereiche mit Verbesserungsbedarf zu identifizieren und gleichzeitig nachzuweisen, dass die Schulungen zum Sicherheitscode ordnungsgemäß durchgeführt werden.
Beispiele für sicheres Design
Softwareentwickler haben gute Gründe, Sicherheit bereits zu Beginn des Prozesses in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten sowie die Geschwindigkeit, die KI für den Entwicklungsprozess bietet, haben sich für Entwickler, die generative KI frühzeitig eingeführt haben, als nützlich erwiesen. Dies führt jedoch zwangsläufig dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler treten auf. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel aller Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, von denen fast 20 % als schwerwiegend eingestuft werden.
Um Schwachstellen in der zweiten Hälfte des SDLC zu finden, werden enorme Zeit- und Kostenaufwendungen erforderlich. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Fehlern während der Testphase 15-mal länger dauert als der Schutz der Software zu Beginn des SDLC und dass die Behebung von Fehlern in der Bereitstellungs-/Wartungsphase 30- bis 100-mal länger dauern kann.
All dies zeigt, wie wichtig es ist, Sicherheit bereits in der frühen Phase des Entwicklungszyklus zu berücksichtigen. Dies hat sich nicht nur als die effektivste Methode zur Risikominderung erwiesen, sondern auch als die kostengünstigste. Entwickler sind am besten in der Lage, Sicherheit bereits zu Beginn des SDLC zu integrieren, wenn sie mit dem Sicherheitsteam zusammenarbeiten, anstatt dieses als separate Einheit zu betrachten. Darüber hinaus konnten Entwickler, die in bewährten Sicherheitsverfahren geschult wurden, Schwachstellen effektiv reduzieren. Das Problem ist jedoch, dass nur sehr wenige von ihnen eine solche Schulung erhalten haben.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen umfasst die Festlegung von Standards für Sicherheitstechnologien, die Bereitstellung von Schulungen und die Überprüfung sowohl durch die Organisation als auch durch die Aufsichtsbehörden, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftsbereichen als schwierig erwiesen, muss aber nicht unbedingt so sein.
Eines der Probleme, das Sicherheitsverantwortliche anführen, ist die Schwierigkeit, Schulungsprogramme auf das gesamte Unternehmen auszuweiten. Laut einer Studie von SCW können jedoch Organisationen, insbesondere solche mit einer großen Anzahl von Entwicklern, einen Sicherheitsdesignansatz erfolgreich umsetzen. Die Ergebnisse kleinerer Organisationen zeigen tendenziell große Unterschiede hinsichtlich der Qualität der Anwendung von Sicherheitsdesignprinzipien. Aber auch diese Unternehmen können von einem Ansatz profitieren, der Vertrauenspunkte einbezieht, und werden wahrscheinlich schneller Verbesserungen erzielen.
Der Vertrauenswert misst den Fortschritt einzelner Lernender anhand von Benchmarking-Indikatoren, bewertet die Leistung des gesamten Teams durch die Aggregation der Punkte und vergleicht den Fortschritt der Organisation mit Branchen-Benchmarks und Best Practices. Dies ermöglicht nicht nur die Nachverfolgung der Schulungen, sondern zeigt auch, wie gut die Entwickler täglich neue Technologien anwenden. Darüber hinaus werden Bereiche hervorgehoben, in denen Verbesserungsbedarf besteht, sodass die Organisation ihre Schulungs-/Technologieverbesserungsprogramme optimieren kann.
Über alle CISA-Bereiche hinweg waren die meisten Organisationen hinsichtlich der Frage, welche Daten in wichtigen Infrastruktursektoren verwendet werden konnten, bei der Umsetzung von Sicherheitsdesignprinzipien auf einem ähnlichen Niveau. Die Vertrauenswürdigkeit verschiedener Sektoren, von Finanzdienstleistungen und Verteidigungsindustrie bis hin zu Gesundheitswesen, IT und wichtiger Fertigung, lag ebenfalls im gleichen Bereich. Auf einer Skala von 1.000 Punkten lagen sie knapp über 300 Punkten. Entgegen der allgemeinen Annahme, dass die am stärksten regulierte Branche, die Finanzdienstleistungen, am weitesten fortgeschritten sein würde, übertrifft keine Branche die anderen.
Wichtige Infrastruktursektoren wie Chemie, Energie und Kernkraft, die nicht in der Vertrauenswürdigkeitsrangliste enthalten sind, entwickeln in der Regel keine eigene Software, sondern sind auf andere Sektoren, insbesondere die IT, angewiesen. Die Tatsache, dass es in diesen Sektoren wichtig ist, Sicherheitssysteme aufrechtzuerhalten (niemand möchte, dass ein Kernkraftwerk beschädigt wird), zeigt jedoch, wie wichtig es ist, die verwendete Software von vornherein zu schützen.
Schlussfolgerung
Aufgrund des zunehmenden Regulierungsdrucks und der Realität der Cyber-Bedrohungslage ist der Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unverzichtbar geworden. Die Entwicklung von Sicherheitssoftware liegt zwar größtenteils in den Händen der Entwickler, doch diese benötigen Unterstützung in Form von umfassenden Weiterbildungs- und Schulungsprogrammen, die ihnen die erforderlichen Kenntnisse vermitteln und ihnen zeigen, wie der Entwicklungsansatz angewendet wird.
Programme, die Benchmarks auf der Grundlage von Tools wie Trust Score enthalten, ermöglichen es, den Fortschritt des Entwicklungsteams klar zu erfassen. Dies ist ein völlig neuer Ansatz für alle Unternehmen, die mit Entwicklern zusammenarbeiten, da sie gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen und ihre Fähigkeiten zur Entwicklung sicherer Software kontinuierlich verbessern müssen.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Da Cyberbedrohungen immer weiter verbreitet und ausgefeilter werden, konzentriert sich die Cybersicherheit zunehmend auf die Bedeutung von Sicherheitscodes. Die Initiative „Security by Design“ der Nationalen Cybersicherheitsstrategie des Weißen Hauses und der Cybersecurity and Infrastructure Security Agency (CISA) überträgt zusammen mit Initiativen und Gesetzen anderer Länder die Verantwortung für die Sicherheit vollständig auf die Schultern der Softwarehersteller.Was einst als wünschenswert galt, nämlich die Sicherheit bereits zu Beginn des Softwareentwicklungslebenszyklus (SDLC) zu gewährleisten, ist heute für Unternehmen unverzichtbar, um ihre Daten und Systeme zu schützen und die regulatorischen Folgen von Sicherheitsverletzungen zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Codierungspraktiken liegt in der Schulung der Entwickler. Softwareentwickler profitieren in der Regel von folgenden Vorteilen: Kaum oder gar keine Cybersicherheitsschulungen. Insbesondere in der heutigen beschleunigten DevOps-Umgebung bestand ihre Aufgabe darin, mit Hilfe schnell arbeitender generativer KI-Modelle neue Anwendungen, Upgrades und Dienste so schnell wie möglich auf den Markt zu bringen und es dem Sicherheitsteam zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC zu beheben. Dies ist eine ineffiziente Methode, um die zahlreichen Fehler zu beheben, die bei der Erstellung von zu viel Code entstehen und oft dazu führen, dass Software-Schwachstellen in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, Sicherheitscode zu schreiben, und sie müssen in der Lage sein, unsicheren Code zu erkennen, der von KI generiert wurde oder in von ihnen verwendeter Open-Source- und anderer Drittanbietersoftware enthalten ist. In vielen Entwicklungsteams und Organisationen ist dies ein Bereich, der bisher kaum Beachtung gefunden hat. Wie kann man sicherstellen, dass Entwickler die erforderliche Schulung erhalten? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die Entwickler schulen, haben erkannt, dass es sinnvoll ist, grundlegende Fähigkeiten festzulegen, anhand derer Entwickler klar definierte Benchmarks erwerben und ihre Fortschritte messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior Benchmarks eingeführt, die speziell dafür entwickelt wurden, die Fortschritte von Entwicklern bei der Sicherheitsschulung genau zu messen. Der SCW Trust Score misst, inwieweit das Training in der Organisation auf die Arbeit angewendet wird, und ermöglicht die Zusammenarbeit zwischen Sicherheits-, Entwickler- und Ingenieurteams.
Dies ist eine Methode, um Bereiche mit Verbesserungsbedarf zu identifizieren und gleichzeitig nachzuweisen, dass die Schulungen zum Sicherheitscode ordnungsgemäß durchgeführt werden.
Beispiele für sicheres Design
Softwareentwickler haben gute Gründe, Sicherheit bereits zu Beginn des Prozesses in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten sowie die Geschwindigkeit, die KI für den Entwicklungsprozess bietet, haben sich für Entwickler, die generative KI frühzeitig eingeführt haben, als nützlich erwiesen. Dies führt jedoch zwangsläufig dazu, dass fehlerhafte Software in die Pipeline gelangt. Je mehr Code generiert wird, desto mehr Fehler treten auf. Jüngste Untersuchungen haben ergeben, dass fast drei Viertel aller Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens einen Sicherheitsfehler enthalten, von denen fast 20 % als schwerwiegend eingestuft werden.
Um Schwachstellen in der zweiten Hälfte des SDLC zu finden, werden enorme Zeit- und Kostenaufwendungen erforderlich. Das National Institute of Standards and Technology (NIST) hat herausgefunden, dass die Behebung von Fehlern während der Testphase 15-mal länger dauert als der Schutz der Software zu Beginn des SDLC und dass die Behebung von Fehlern in der Bereitstellungs-/Wartungsphase 30- bis 100-mal länger dauern kann.
All dies zeigt, wie wichtig es ist, Sicherheit bereits in der frühen Phase des Entwicklungszyklus zu berücksichtigen. Dies hat sich nicht nur als die effektivste Methode zur Risikominderung erwiesen, sondern auch als die kostengünstigste. Entwickler sind am besten in der Lage, Sicherheit bereits zu Beginn des SDLC zu integrieren, wenn sie mit dem Sicherheitsteam zusammenarbeiten, anstatt dieses als separate Einheit zu betrachten. Darüber hinaus konnten Entwickler, die in bewährten Sicherheitsverfahren geschult wurden, Schwachstellen effektiv reduzieren. Das Problem ist jedoch, dass nur sehr wenige von ihnen eine solche Schulung erhalten haben.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen umfasst die Festlegung von Standards für Sicherheitstechnologien, die Bereitstellung von Schulungen und die Überprüfung sowohl durch die Organisation als auch durch die Aufsichtsbehörden, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Organisationen in allen Wirtschaftsbereichen als schwierig erwiesen, muss aber nicht unbedingt so sein.
Eines der Probleme, das Sicherheitsverantwortliche anführen, ist die Schwierigkeit, Schulungsprogramme auf das gesamte Unternehmen auszuweiten. Laut einer Studie von SCW können jedoch Organisationen, insbesondere solche mit einer großen Anzahl von Entwicklern, einen Sicherheitsdesignansatz erfolgreich umsetzen. Die Ergebnisse kleinerer Organisationen zeigen tendenziell große Unterschiede hinsichtlich der Qualität der Anwendung von Sicherheitsdesignprinzipien. Aber auch diese Unternehmen können von einem Ansatz profitieren, der Vertrauenspunkte einbezieht, und werden wahrscheinlich schneller Verbesserungen erzielen.
Der Vertrauenswert misst den Fortschritt einzelner Lernender anhand von Benchmarking-Indikatoren, bewertet die Leistung des gesamten Teams durch die Aggregation der Punkte und vergleicht den Fortschritt der Organisation mit Branchen-Benchmarks und Best Practices. Dies ermöglicht nicht nur die Nachverfolgung der Schulungen, sondern zeigt auch, wie gut die Entwickler täglich neue Technologien anwenden. Darüber hinaus werden Bereiche hervorgehoben, in denen Verbesserungsbedarf besteht, sodass die Organisation ihre Schulungs-/Technologieverbesserungsprogramme optimieren kann.
Über alle CISA-Bereiche hinweg waren die meisten Organisationen hinsichtlich der Frage, welche Daten in wichtigen Infrastruktursektoren verwendet werden konnten, bei der Umsetzung von Sicherheitsdesignprinzipien auf einem ähnlichen Niveau. Die Vertrauenswürdigkeit verschiedener Sektoren, von Finanzdienstleistungen und Verteidigungsindustrie bis hin zu Gesundheitswesen, IT und wichtiger Fertigung, lag ebenfalls im gleichen Bereich. Auf einer Skala von 1.000 Punkten lagen sie knapp über 300 Punkten. Entgegen der allgemeinen Annahme, dass die am stärksten regulierte Branche, die Finanzdienstleistungen, am weitesten fortgeschritten sein würde, übertrifft keine Branche die anderen.
Wichtige Infrastruktursektoren wie Chemie, Energie und Kernkraft, die nicht in der Vertrauenswürdigkeitsrangliste enthalten sind, entwickeln in der Regel keine eigene Software, sondern sind auf andere Sektoren, insbesondere die IT, angewiesen. Die Tatsache, dass es in diesen Sektoren wichtig ist, Sicherheitssysteme aufrechtzuerhalten (niemand möchte, dass ein Kernkraftwerk beschädigt wird), zeigt jedoch, wie wichtig es ist, die verwendete Software von vornherein zu schützen.
Schlussfolgerung
Aufgrund des zunehmenden Regulierungsdrucks und der Realität der Cyber-Bedrohungslage ist der Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unverzichtbar geworden. Die Entwicklung von Sicherheitssoftware liegt zwar größtenteils in den Händen der Entwickler, doch diese benötigen Unterstützung in Form von umfassenden Weiterbildungs- und Schulungsprogrammen, die ihnen die erforderlichen Kenntnisse vermitteln und ihnen zeigen, wie der Entwicklungsansatz angewendet wird.
Programme, die Benchmarks auf der Grundlage von Tools wie Trust Score enthalten, ermöglichen es, den Fortschritt des Entwicklungsteams klar zu erfassen. Dies ist ein völlig neuer Ansatz für alle Unternehmen, die mit Entwicklern zusammenarbeiten, da sie gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen und ihre Fähigkeiten zur Entwicklung sicherer Software kontinuierlich verbessern müssen.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
