スタティック対.ダイナミック・サイバーセキュリティ・トレーニング:衝動的なコンプライアンス、今後の問題
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
規制イニシアティブは時間の経過とともに改善され拡大することは間違いありませんが、組織がすでにパニックに陥り、今すぐトレーニングを開始している場合、将来に向けた準備が整っていないことに気付くかもしれません。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
