Warum Gamification der Schlüssel zur Verbesserung der Softwaresicherheit ist

AppSec-Manager, CISO, CIO, Cybersicherheitsexperten usw. Ich habe im Laufe meiner Karriere in den Bereichen Softwareentwicklung und Sicherheit bei Unternehmen aller Art auf der ganzen Welt gearbeitet und mit vielen Menschen gesprochen.

Unabhängig von den Umständen, der Erfahrung des Teams oder der Zeit, die in der sich ständig verändernden digitalen Welt vergangen ist, gibt es immer ein und dasselbe Problem: Es gibt kaum Möglichkeiten, das Entwicklungsteam positiv in die Sicherheit einzubeziehen. Sicherheit ist nach wie vor ein Reizwort, eine Quelle für Konflikte zwischen Teams und ein hinter den Kulissen liegendes Problem der Branche.

Aber die Softwaresicherheit ist zu wichtig, als dass wir mit unserer üblichen Denkweise diesen Weg weitergehen könnten. Wir müssen den Dialog ändern und uns bemühen, Sicherheit zu einem unverzichtbaren Bestandteil des Arbeitsalltags aller Entwickler zu machen. Eine der besten Methoden dafür ist meiner Meinung nach beispielsweise die Gamifizierung, um die Sicherheitskompetenz der Entwickler zu stärken und ihre Beteiligung zu fördern.

Die gegenwärtige Landschaft

Entwickler verlassen die Universität mit kaum praktischen Kenntnissen über die Bereitstellung von Sicherheitscodes und arbeiten in Berufen, in denen Sicherheitsschulungen kaum Priorität haben (und selbst wenn sie Priorität haben, sind sie in der Regel Teil der obligatorischen Videos zur Einhaltung von Gesundheits- und Sicherheitsvorschriften, sodass sich niemand für sicheres Codieren interessiert).Oftmals sind die ersten Berührungen mit dem Thema Sicherheit Audit- oder Test-Bug-Berichte, was dazu führt, dass die Kreativität schnell verloren geht, wenn nachfolgende Releases plötzlich gestoppt werden. Da sie sich mit den Verantwortlichen für Sicherheitsberichte auseinandersetzen müssen, wird „Sicherheit” in ihren Köpfen zum Synonym für „Kritik”. Oh je.

Es ist ehrlich gesagt bedauerlich, dass diese negative Wahrnehmung der Softwaresicherheit so weit verbreitet ist. Schließlich gehören einige der unvergesslichsten Momente meiner Karriere zu den Dingen, die ich über Softwaresicherheit gelernt habe. Ich habe meine Anfänge als Hacker damit verbracht, an Konferenzen teilzunehmen. Auf Konferenzen konnte ich nicht nur meine Fähigkeiten gegenüber Kollegen testen (und, um ehrlich zu sein, auch ein wenig angeben), sondern auch Gleichgesinnte treffen, die wie ich Spaß daran hatten, Software zu zerstören, und so eine wirklich schöne Zeit verbringen.

BruCon, DefCon, BlackHat... Diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in Freundschaftswettbewerben einzusetzen. Ich kann zwar keinesfalls gutheißen, dass ich mich an solchen antisozialen Aktivitäten beteiligt habe, aber manche Leute haben ihre Hackerfähigkeiten zur Schau gestellt, indem sie sich in die Telefone anderer Teilnehmer gehackt und ihre Informationen auf dem Präsentationsbildschirm für alle sichtbar angezeigt haben.Das Aufspüren solcher Schwachstellen, um Software zu verbessern, also deren Ausnutzung und Behebung, wurde zu einer Art Spiel. Vor einigen Jahren hatte ich das Privileg, vor Hunderten von Kindern im Nahen Osten über Cybersicherheit zu unterrichten. Ich erinnere mich noch gut an eine achtjährige Schülerin unter meinen Schülern. Sie lernte beim Spielen etwas über die erzwungene Verwendung von Passwörtern und die Base64-Kodierung.

Gamification wird auch zum Unterrichten von Programmierkenntnissen eingesetzt. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um schon sehr jungen Kindern bis hin zu Schülern der Oberstufe das Programmieren beizubringen. Kinder unter vier Jahren nehmen mittlerweile regelmäßig an folgenden Ferienprogrammen teil. Code Camp. Außerdemgibt es viele fantastische Online-Programme, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe sogar ein erstaunliches Tool namens Screenless Coding gekauft. Für meine kleineTochter, die gerade erst ein Jahralt ist.

Aber trotz all dieser Vorteile und Fortschritte gibt es noch eine Lücke. Niemand hat darüber nachgedacht, ob man Gamification nutzen könnte, um Entwicklern beizubringen, wie man sichere Codes schreibt.

Nun ja... fast niemand. Vor einigen Jahren wurde mir klar, dass ich die Sicherheit wieder motivierend gestalten und die Entwickler dazu motivieren musste, sich zu beteiligen und mit dem Spiel zu beginnen.

Gamification: Einfache Methoden.

In meinem Innersten verbirgt sich ein starker Wunsch, die Fähigkeiten von Entwicklern mit Sicherheitskenntnissen zu verbessern und zu stärken. Genau diese Leidenschaft hat mich dazu gebracht, Secure Code Warrior zu entwickeln. Softwaresicherheit ist äußerst wichtig und kann wirklich interessant sein.

제 생각은 저만 그런 게 아닙니다.

Gamification macht selbst die alltäglichsten Aufgaben unterhaltsamer und steigert die Beteiligung der Menschen so sehr, dass sie weiter spielen, gewinnen und sich weiterentwickeln wollen. Schauen Sie sich nur Pokémon Go an! Selbst die faulsten Menschen sitzen auf dem Sofa und suchen nach imaginären Kreaturen im Freien, oder viele Menschen mit FitBit setzen sich täglich das Ziel, eine bestimmte Anzahl von Schritten zu gehen... Wenn das Ziel nicht erreicht wird oder die Serie endet und man keine Abzeichen erhält, ist man wirklich enttäuscht.

Nun zurück zum Thema Sicherheitsschulungen. Wir haben von vielen Kunden die Bestätigung erhalten, dass Gamification die Sicherheitskultur in Unternehmen wirklich verändert, nicht nur als Brücke zwischen AppSec und Entwicklungsteams fungiert, sondern auch entscheidend dazu beiträgt, Software auf einem höheren Niveau zu entwickeln.

Derzeit hat Sicherheit für Entwickler keine Priorität. Durch die Einführung von freundlichen, wettbewerbsorientierten und attraktiven Elementen in die Schulungsmethoden können Entwickler motiviert werden, nicht nur zu „spielen“, sondern immer wieder zurückzukommen, um mehr Punkte zu sammeln, höhere Punktzahlen zu erzielen, ihre Genauigkeit zu verbessern und ihre Teamkollegen herauszufordern.

성공적인 훈련은 다음과 같다는 것을 이미 알고 있습니다.

• Entwickler können mit ihrem tatsächlichen Code und ihrer eigenen Sprache/ihrem eigenen Framework arbeiten.
• Die Challenge ist kurz und deckt alle gängigen Sicherheitslücken ab.
• Die Herausforderungen werden kontinuierlich erweitert und aktualisiert, sodass Entwickler auch im Laufe der Zeit ihre Fähigkeiten weiter ausbauen können.
• Die Aufgaben sind aufgrund ihrer vielfältigen Komplexität sowohl für erfahrene Entwickler als auch für weniger erfahrene Entwickler attraktiv.
• Entwickler und Administratoren können den Fortschritt überprüfen, einschließlich abgeschlossener Aufgaben, Stärken und Schwächen, für die Schulung aufgewendeter Zeit und der allgemeinen Genauigkeit.

Einer unserer größten Kunden hat die wahre Magie einer spielerischen Plattform unter Beweis gestellt. Er hat den Entwicklern themenbezogene Teamausrüstung zur Verfügung gestellt, den Gewinnern des Spiels fantastische Preise angeboten und das Turnier zu einem unvergesslichen Tag gemacht. Seitdem wurden auch internationale Wettbewerbe veranstaltet, und das gesamte Team trainiert bis heute ernsthaft.

Ihre eigene Software-Revolution beginnt hier. Die australische Bankenbranche ist führend bei der Einführung von spielerischem Lernen im Kampf gegen schlechten Code – mit einem wirklich innovativen Ansatz, der die herkömmliche (oder langweilige) Ausbildung komplett revolutioniert. Sehen Sie sich an, was unsere Kunden erreicht haben. Next Level Tournament. Sind Sie bereit? Team Level Up mit uns?

Wir müssen den Dialog verändern und uns bemühen, Sicherheit zu einem unverzichtbaren Bestandteil des Arbeitsalltags aller Entwickler zu machen. Eine der besten Methoden hierfür ist meiner Meinung nach beispielsweise die Gamifizierung, um die Sicherheitskompetenzen der Entwickler zu stärken und ihre Beteiligung zu fördern.