Formation statique ou dynamique en matière de cybersécurité : conformité impulsive, problèmes futurs
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Bien que les initiatives réglementaires s'amélioreront et se développeront sans aucun doute au fil du temps, si les entreprises réagissent de manière précipitée dès maintenant et commencent immédiatement à mettre en place des formations, elles risquent de ne pas être suffisamment préparées pour l'avenir.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
