Comment les RSSI et les DSI créatifs peuvent innover et transformer leur programme de sécurité
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
Les RSSI et les DSI créatifs et inspirants ont le pouvoir d'innover et de façonner notre monde numérique, mais ils peuvent également contribuer de manière significative à la transformation de la culture de sécurité d'une entreprise.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
