您的安全计划是否侧重于事件响应?你做错了。
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
