Votre programme de sécurité est-il prêt pour le plan stratégique de cybersécurité de la CISA ?
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Le plan stratégique pour la cybersécurité entraîne des changements significatifs dans la manière dont la plupart des entreprises abordent la cybersécurité, et les développeurs occupent une position unique pour contribuer à la réalisation de ces nouveaux objectifs.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
