Hintergrund
Die Thales-Gruppe ist ein französisches multinationales Unternehmen, das elektrische Systeme sowie Geräte und Ausrüstungen für die Bereiche Luft- und Raumfahrt, Verteidigung, Transport und Sicherheit entwirft, entwickelt und herstellt. Viswanath S. Chirravuri ist der technische Direktor für Software-Sicherheit bei Thales. Viswanath, oder Vis, begann seine Karriere im Bereich Sicherheit zunächst als Programmierer. Heute ist er ein Senior Security Leader bei Thales und verfügt über mehr als 18 Jahre Erfahrung in der Sicherheitsbranche. Er ist Inhaber von mehr als 30 Zertifizierungen, darunter CISSP, PMP und GSE. Er hat über 3.000 Softwareexperten in mehr als 18 Ländern geschult. Darüber hinaus gewann Vis mehr als 10 SANS-Challenge-Münzen in internationalen Cybersecurity-Wettbewerben tournaments (z. B. Netwars) und ist ein aktives Mitglied des GIAC Advisory Board. Wir sprachen mit Vis, um zu erfahren, wie er Menschen, Prozesse und Technologie aufeinander abstimmte, um ein erfolgreiches Programm zum sicheren Code-Lernen bei Thales zu entwickeln.
Situation
Als Vis bei Thales anfing, coachte er die Geschäftsbereiche, um die Quelle der durch Pen-Tests entdeckten Schwachstellen als mögliche Lösung zur Verringerung des Rückstands an technischen Schulden zu betrachten. Das Team für Anwendungssicherheit arbeitete mit sieben verschiedenen Anbietern zusammen, um seine Sicherheitslage zu festigen - von IAST/DAST-Tools bis hin zu Pen-Testing-Tools. Vis wollte die Markttrends verstehen und Bedrohungen in einer skalierbaren Art und Weise verwalten, um durch eine starke Integration von Prozessen und Technologien Abhilfestrategien zu entwickeln. Dies bedeutete eine Umstellung von einem rein toolbasierten Ansatz auf eine Strategie, die eine starke Lernkomponente enthielt. Er stellte fest, dass viele der Entwickler keinen Sicherheitshintergrund oder keine Sicherheitskenntnisse besaßen. Sein anfänglicher Ansatz bestand darin, den Entwicklern Präsenzschulungen zu Themen wie den OWASP Top 10 anzubieten, aber er erkannte schnell, dass dies angesichts der vielen Reisen, die für den persönlichen Unterricht erforderlich waren, und der Notwendigkeit, Tausende von Entwicklern auf der ganzen Welt zu erreichen, nicht zu realisieren war. Vis bemerkte das:
"Es wird immer ein Ungleichgewicht im Verhältnis zwischen Sicherheit und Entwicklung geben. Selbst wenn ich ein Verhältnis von 1:1 zwischen Sicherheitspersonal und Entwicklern hätte, könnte ich sie nicht die ganze Zeit über beschäftigen. Um unsere Entwickler über neue Angriffsvektoren, bewährte Praktiken, neue Sprachen und neu entdeckte Schwachstellen auf dem Laufenden zu halten, mussten wir das Selbststudium der Entwickler fördern und ihnen die Möglichkeit geben, in ihrem eigenen Tempo zu arbeiten. Wenn sie Hilfe brauchten, konnte ich ihnen helfen, aber mir wurde klar, dass ich nicht derjenige sein konnte, der ihnen beibringt, wie sie jede gefundene Schwachstelle beheben können."
Anfänglich gab es Widerstand von Entwicklungsmanagern wegen der Zeit, die die Entwickler für das Erlernen von sicherem Code aufwenden mussten, da viele Entwickler von Grund auf neu anfingen. Vis musste mit dem Eindruck fertig werden, dass das Engagement für sicheres Codelernen die Software-Release-Zyklen unterbrechen oder geschäftskritische Sprints verlangsamen könnte. Er musste einen Weg finden, um die Organisation zu motivieren, Zeit für agiles Lernen für sicheren Code aufzuwenden. Vis vertrat die Ansicht, dass der Mensch im Mittelpunkt stehen muss, um Schwachstellen an der Quelle zu beheben, "Die Leute sagen oft, dass die Sicherheit der Entwicklung Zeit wegnimmt. Für mich ist es Zeitverschwendung, wenn man etwas entwickelt und es unsicher ist. Man sollte Software immer so entwickeln, dass sie sicher ist, und sich die Zeit sparen, Schwachstellen zu beheben, die man leicht hätte vermeiden können. Wir sollten alle das gemeinsame Ziel haben, zuverlässigen Code zu liefern."
Aktion
Vis hatte zwei Hauptziele vor Augen: die Sicherung der Software und die Steigerung des Sicherheitsbewusstseins in den Entwicklerteams von Thales. Es war entscheidend, ein Programm zu implementieren, das es den Entwicklern ermöglichte, unabhängig zu sein und sich in ihrem eigenen Tempo weiterzubilden. Die Strategie von Vis bestand darin, im Laufe der Zeit eine Sicherheits-Community aufzubauen, die sichere Codierung mit den Unternehmensrichtlinien zu verknüpfen und ein Mandat für das Erlernen von sicherem Code im Unternehmen zu entwickeln. Durch die Förderung einer Gemeinschaftskultur, die Entwickler, Tester, Architekten und Ingenieure miteinander verbindet, konnte er einen Multiplikatoreffekt der Motivation feststellen. Es entstanden Sicherheitschampions, die sich für Sicherheit als Teil ihrer täglichen Arbeit begeisterten und dazu beitrugen, das Bewusstsein für sichere Codierungspraktiken im gesamten Unternehmen zu verbreiten. Vis evaluierte mehr als ein Dutzend Anbieter von Sicherheitsschulungen und wurde 2019 Kunde von SCW. Für Thales war es ein großer Vorteil, einen Anbieter zu haben, der alle Programmiersprachen und Frameworks in ihrer Umgebung abdeckt, anstatt eine stückweise Lösung zu haben. Vis stützte sich auf die riesige Menge an Inhalten von Secure Code Warrior, um Schulungen und Lernprogramme zum Selbststudium für die Entwickler des Sicherheitsprogramms zu erstellen:
"Die OWASP Top 10 sind nicht einfach nur zehn Dinge, die man wissen muss. Die Tiefe und Vielfalt der von OWASP abgedeckten Schwachstellen in Kombination mit der schieren Anzahl der Programmiersprachen kann überwältigend sein - die große Bandbreite an Herausforderungen und die Abdeckung dieser Dinge war ein Schlüsselfaktor für die Wahl von SCW. Sie fügen ständig neue Dinge hinzu. Die Tiefe, die Vielfalt der Themen, die Aktualität der Inhalte und der Fokus auf sichere Code-Design-Prinzipien heben SCW wirklich ab. Bei SCW handelt es sich nicht um eine einmalige Schulung, sondern wir haben die Möglichkeit, ein kontinuierliches Programm aufzubauen."
Vis und sein Team strukturierten die Einführung des Programms zum Erlernen von sicherem Code in vier Stufen, mit unterschiedlichen Meilensteinen für jede technische Rolle:
Wichtig ist, dass der SCW die Quelle der Wahrheit für die Behebung von Sicherheitslücken wurde. Anstatt sich auf Google-Suchen zu verlassen, die zu einer Fehlersuche führen könnten, veröffentlichte Vis sowohl Richtlinien des AppSec-Teams als auch solche aus der SCW-Inhaltsbibliothek, so dass Entwickler auf eine vertrauenswürdige und authentische Quelle für die Behebung von Sicherheitslücken im Code verweisen konnten. Laut Vis:
"Die Entwickler sollten nicht frei entscheiden können, wie sie eine Schwachstelle beheben und dabei möglicherweise eine neue Schwachstelle einführen. Wir haben die SCW-Videos über die SCORM-Integration von SCW in unser LMS integriert, um sicherzustellen, dass die Entwickler lernen, wie sie die Schwachstelle auf die richtige Weise beheben können. Auf diese Weise konnten wir auch sicherstellen, dass die Entwickler, die sichere Software liefern, anerkannt werden. Wir verlangen von ihnen, dass sie ein bestimmtes Maß an sicherer Codierung erreichen, und wir können dies anhand der Schwachstellen, die sie beheben und nicht wieder einführen, verfolgen. Auf diese Weise wird die harte Arbeit, die sie geleistet haben, anerkannt und im Unternehmen wertgeschätzt."
Ergebnisse
Vis und sein Team veröffentlichen einen monatlichen Secure Code Newsletter, in dem sie die besten Lernenden im Unternehmen auszeichnen können. Sie verwenden SCW, um die Ergebnisse von assessment , die Teilnahme an tournament und die gespielten Herausforderungen zu betrachten, um diese Leistung zu verstärken. Dies motiviert andere Entwickler, ebenfalls zu lernen. Die KPIs, die er anfangs festlegte, konzentrierten sich auf die Reduzierung der Gesamtzahl der Schwachstellen innerhalb von 2 Jahren. Nach der Einführung von SCW stellte er eine abnehmende Trendlinie fest. Diese Schwachstellen werden nicht mehr auf Quellcode-Ebene eingeführt. Vis drückt es folgendermaßen aus:
"Die KPIs, die wir unserer Geschäftsleitung vorlegen, spiegeln diese wohlüberlegte Entscheidung wider, die wir getroffen haben. Wir sind stolz darauf, dass wir über eine sichere Codeschulung verfügen, die unseren Kunden Vertrauen in ihr Geschäft vermittelt. Wir sind für unser umfassendes Schulungsprogramm für sicheren Code anerkannt und werden von unseren Kunden und Kollegen respektiert. Ein solches Programm ist für ein Unternehmen von großem Wert."
Die wichtigsten Erkenntnisse
Vis erkannte, dass Menschen, Prozesse und Technologie bei jeder Sicherheitsinitiative eine Rolle spielen. Wenn man sich auf die Sicherheit der Software, das Wissen der Entwickler und die Einhaltung von Vorschriften konzentriert, ist es möglich, ein agiles Lernprogramm für einen sicheren Code zusammenzustellen, das die Schwachstellen im Quellcode im Laufe der Zeit reduziert. Vis gibt diese Empfehlungen an Fachleute in seinem Bereich weiter, die Sicherheitskompetenzen in Entwicklerteams aufbauen wollen.
