Il ne suffit pas de passer à gauche : pourquoi commencer à gauche est la clé d'une excellente sécurité logicielle
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Une grande partie de l'initiative visant à « déplacer vers la gauche », c'est-à-dire à introduire des mesures de sécurité à un stade beaucoup plus précoce du processus de développement, ne va tout simplement pas assez loin.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
In einer digital getriebenen Welt sind wir einem ständig steigenden Risiko des Datendiebstahls ausgesetzt. Angesichts der Tatsache, dass große Unternehmen als Torwächter unserer wertvollen Informationen agieren, erkennen viele die Notwendigkeit, strenge Sicherheitsstandards einzuführen.
Ein Großteil der Initiative zur „Linksverlagerung“, also der Einführung von Sicherheitsvorkehrungen zu einem viel früheren Zeitpunkt im Entwicklungsprozess, geht einfach nicht weit genug. Das impliziert, dass wir den Prozess immer noch falsch beginnen und letztlich einen Rückzieher machen, um sicherere Software zu entwickeln. Wir müssen links anfangen und einen kulturellen Wandel einleiten, der Entwicklungsteams positiv einbezieht und sie mit dem Wissen ausstattet, das ihnen derzeit fehlt. Allerdings sind nicht alle Schulungen und Tools gleich.
In diesem Artikel untersuchen wir, wie führende Führungskräfte wie Sicherheitsverantwortliche und Entwicklungsmanager ihre Entwicklerkohorte wirklich stärken und sie in die Defensive gegen kostspielige Cyberangriffe verwandeln können.
Links verschieben vs. links starten: Ein wichtiger Unterschied.
Im Zeitalter häufiger Datenschutzverletzungen, von denen einige der vertrauenswürdigsten Unternehmen der Welt betroffen sind, haben sich Unternehmensleiter an die Sicherheitsbranche gewandt, um die finanzielle, rufschädigende und aufsehenerregende Katastrophe zu vermeiden, die ein erfolgreicher Angriff darstellt.
Seit geraumer Zeit raten AppSec-Spezialisten (einschließlich mir), dass wir in der Tat „nach links“ wechseln müssen. Im Einklang mit den Best Practices von DevOps und besseren Ergebnissen bei der Softwaresicherheit rieten viele von uns, dass der Sicherheitsaspekt eines Software-Builds früher im Softwareentwicklungszyklus (SDLC) behandelt werden muss. Dies sollte nicht der letzte, kostspielige Schritt sein. Vielmehr sollte er näher an den Beginn des Prozesses rücken, wobei die AppSec-Teams bereits zu Beginn der Softwareprojekte eingebunden werden sollten.
Das ist nicht schlecht Ratschläge, und es ist sicherlich besser als die alte Vorgehensweise (die, wenn die Menge der gestohlenen Daten da draußen und das Alter der Sicherheitslücken, die für den Diebstahl verwendet wurden, ein Hinweis darauf sind, sowieso nicht funktioniert). Aber wenn wir tatsächlich gestartet links wären die Sicherheitsergebnisse weitaus positiver.
Links verschieben, links anfangen... was ist der Unterschied? Der Unterschied liegt darin, wie Sie Ihr Entwicklungsteam einbeziehen. Sie sind in der Tat der Schlüssel zur Bereitstellung sichererer Software, die viel billiger ist, als dies mit Toolchains in späteren Zyklen und manueller Codeüberprüfung möglich ist. In einer idealen Welt hätte jeder einzelne Entwickler, der Software schreibt, das Wissen und die Tools, um von Anfang an sicher zu programmieren. Sie würden potenzielle Fehler erkennen und sie beheben, bevor sie behoben werden (und es wäre daher weitaus teurer, sie auszusortieren und zu beheben). Es würde eine dramatische Reduzierung der Sicherheitslücken geben, die wir seit Jahrzehnten beobachten — solche, die noch verantwortlich dafür, Angreifer durch die Hintertür hereinzulassen. Diese Zeitfenster in Form von SQL-Injection, Cross-Site-Scripting und defekter Authentifizierung würden sich schließen.
Derzeit wird der Sicherheit auf beruflicher Ebene jedoch einfach nicht genug Bedeutung beigemessen, und die Ausbildung zum sicheren Programmieren am Arbeitsplatz ist sehr unterschiedlich. Das hat zur Folge, dass Entwickler selten das haben, was sie benötigen, um einem Unternehmen zu ermöglichen, links anzufangen. Es ist an der Zeit, dass diejenigen in Führungspositionen zusammenarbeiten und sich für ein breiteres Sicherheitsbewusstsein einsetzen. Ihr direktes Wissen und der Kontakt zu Entwicklern sind für die Umsetzung funktionierender Programme von entscheidender Bedeutung. Schließlich saßen Entwicklungsmanager einmal in ihrer Position, an den Tools und im besten Fall war es schwierig, sich im Sicherheitsbereich zurechtzufinden.
Entwickler lieben Sicherheit (noch) nicht... aber Sie können die Konversation ändern.
Sie wissen, wie das geht: Wenn Sie Ihrem typischen Entwickler „Sicherheit“ sagen, werden Sie wahrscheinlich bestenfalls mit einem Augenrollen oder im schlimmsten Fall mit Verwirrung konfrontiert. Im Allgemeinen wird die ganze Sicherheitssache als das Problem einer anderen Person angesehen.
Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktionsfähig ist, voller innovativer Funktionen ist und innerhalb eines engen Projektzeitplans geliefert wird. Sicherheit hat auf der Programmierebene selten Priorität und kann sogar als lästiges Hindernis für eine schnelle Bereitstellung und Kreativität angesehen werden. AppSec hat die Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde und ansonsten recht gut funktioniert. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die letztlich dasselbe Ziel verfolgen, aber völlig unterschiedliche Sprachen sprechen.
Jetzt, in diesem Klima, wird der Empfang der obligatorischen Sicherheitsschulungen wahrscheinlich ziemlich kühl sein. Aber die Fähigkeit, bei jedem Entwickler eine Sicherheitsmentalität zu wecken, ist kein Hirngespinst. Mit der richtigen Schulung und Unterstützung können sie beginnen, Sicherheit in ihre Software zu integrieren und Verantwortung für die Sicherheitsergebnisse zu übernehmen, die sie kontrollieren können. Wenn sich die Entwickler selbst um die häufigsten Bugs kümmern können, entlastet das teure Spezialisten, um die wirklich komplexen Probleme zu lösen. Und wenn Sie in der Position sind, ein Entwicklungsteam zu leiten, können Sie maßgeblich dazu beitragen, diese Lücke zu schließen und Ihrem Team zu helfen, die Vorteile zu erkennen.
Jede Ausbildung ist nicht gleich.
Wann hast du dich das letzte Mal so richtig darauf gefreut, etwas Neues zu lernen? In den Zeiten, in denen Sie es getan haben, kommen Ihnen Wörter wie „verpflichtend“, „Einhaltung der Vorschriften“ oder „siebzehn Stunden Video“ wahrscheinlich nicht in den Sinn.
Entwickler sind nicht anders. Sie sind klug, kreativ und lieben es, Probleme zu lösen. Es ist ziemlich unwahrscheinlich, dass sie durch das Anschauen endloser Videos zu Sicherheitslücken angesprochen werden, dass der Inhalt einprägsam bleibt oder dass sie spezifisch für ihre täglichen Rollen und Aufgaben sind. In meiner Zeit als SANS-Dozent wurde sehr früh klar, dass die beste Schulung praxisnah ist und die Teilnehmer gezwungen werden, zu analysieren und sich intellektuell herausfordern zu lassen. Dabei wurden Beispiele aus der Praxis verwendet, die ihr Gehirn auf die Probe stellen und auf früheren Erkenntnissen aufbauen. Gamification und freundschaftlicher Wettbewerb sind ebenfalls leistungsstarke Tools, um alle an neue Konzepte heranzuführen und gleichzeitig nützlich und praktisch in der Anwendung zu bleiben.
Ein weiterer beängstigender Faktor ist, dass viele Sicherheitsschulungen nicht überwacht werden. Niemand hat gerne das Gefühl, dass Big Brother zuschaut, aber was nützt es, Zeit, Geld und Mühe in Bildung zu investieren, wenn niemand prüft, ob sie relevant ist?
Die richtige Lösung kann sicheres Programmieren unterhaltsam, relevant, ansprechend und messbar machen. Fordern Sie Ihre Entwickler heraus, behandeln Sie sie gut und machen Sie es zu einem besonderen Ereignis. Gamifiziertes Training bringt die Belohnungszentren im Gehirn zum Leuchten und bietet einen Anreiz, weiter zu lernen, Wissensgrenzen zu überschreiten und, ganz einfach, einen höheren Softwarestandard zu entwickeln, ist eine Win-Win-Situation.
Gesundheitscheck zur Sicherheitskultur: Ist Ihre eigene Lebenserhaltungt?
Die Entwicklung sicherer Software in einer Umgebung mit einer schlechten Sicherheitskultur ist wie der Versuch, einen Marathon mit einem Felsbrocken am Knöchel zu gewinnen: praktisch unmöglich und unnötig schwierig.
Gamifizierte Schulungen, Kopf-an-Kopf-Turniere und das Engagement, Entwickler bei ihrem Sicherheitswachstum zu unterstützen, tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Bessere Beziehungen wachsen und gedeihen, und das (oft begrenzte) Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu beheben, in dem dieselben kleinen, nervigen Fehler immer wieder behoben werden.
Es gibt noch ein weiteres starkes Nebenprodukt: die Aufdeckung von Sicherheitsexperten, von denen Sie nie gewusst haben, dass Sie sie haben. Eine angemessene Schulung, die alle Beteiligten einbezieht und gleichzeitig eine gründliche Bewertung ermöglicht, kann diejenigen aufdecken, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür an den Tag legen. Diese Experten sind unverzichtbar, um die Dynamik aufrechtzuerhalten und als Kontaktstelle zwischen Teams zu fungieren, Kollegen zu beaufsichtigen und Best-Practice-Richtlinien durchzusetzen. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen. Außerdem sieht es im Lebenslauf des Einzelnen beeindruckend aus und fördert seine zukünftige Karriere.
Wenn Sie sich für eine positive Sicherheitskultur einsetzen, wird die Verantwortung geteilt und ein höheres Niveau an sicherer Software kann erreicht werden. Letztlich muss sich jede Person im Lebenszyklus der Softwareentwicklung an ein einfaches Mantra halten: Wenn es sich nicht um sichere Software handelt, ist es keine gute Software.
Verbreite das Wort.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
