先下手为强:为什么策划的安全编码courses ,对网络威胁毫不手软?
外面有一个不方便的事实,一个往往被政府、大公司,甚至一些行业领导者所掩盖的事实:作为一个社会,我们正处于一场与网络威胁的持续战斗中,而我们目前处于失败的一方。我们如何知道这一点?这些统计数据讲述了一个令人警醒的故事。
- 据估计,到2021年,网络犯罪的全球成本将达到6万亿美元。
- 每39秒就有一次网络攻击发生
- 24%的数据泄露是由人为错误造成的
- 令人震惊的是,77%的组织没有一个跨企业的网络安全事件响应计划,而且在各部门之间的应用也不一致。
谈到网络安全专家,我们的人手严重不足;技能差距不可能被填补,也没有秘密的AppSec军队来拯救我们。我们知道这一点已经很多年了,我们必须要改变我们的方法。在我们的情况下,最好的攻击是一个伟大的防御,我们可以用一个好的计划先下手为强。
这一切听起来有点令人沮丧,但它并不像一些人可能认为的那样糟糕。我们有一张王牌,网络安全环境为我们提供了一个黄金机会。你不需要在你的内部开发团队中寻找来拯救组织的人员,但你的安全计划必须支持他们成为有安全意识的工程师,准备好分担安全编码的责任的轨迹。
任何老式的培训都无法完成工作--我们当然已经说得够多了--但即使是正确的培训,如果能吸引人、建立上下文知识并帮助开发人员爱上安全,也会有效得多,只要它能针对企业的需求、他们面临的威胁以及帮助企业保持我们所有数据安全的合规要求进行策划。
而这正是我们最新的功能所在。 Courses的作用。顺便说一下,如果你明白了标题中的参考,你就正式老了(或只是欣赏经典)。
针对组织的学习:建立防御,加强开发者技能
对于为什么有些类型的开发者培训比其他的好,我们有各种各样的意见(即不要用几个小时的干巴巴的通用视频说教把他们烦死,然后期望安全编码的激情能绽放)。但是,即使是旨在吸引开发人员思维的竞争性学习,其内容仍然可能比组织内的特定需求更广泛。
一个精心策划的课程包含了你的开发人员需要显示熟练程度的确切模块,将产生有力的影响,并使他们在日常工作中的安全最佳实践中打好基础。为前端团队、云计算工程师等量身定制课程,能够以与他们相关的语言和框架,深入研究最重要的漏洞。开发人员将通过持续的背景、接触点和经验提高他们的技能,而企业将从对构成最大风险的问题的精确认识中受益。
定制符合要求的课程
世界各地都在实施更严格的网络安全相关法规,而软件安全合规性是建立积极有效的安全文化的一个重要基础。它不应该是枯燥的,一个好的安全计划会点燃开发人员的自豪感和责任感,而不是呻吟和打脸。
作为一个起点,让每个人都掌握OWASP Top 10是一个非常好的主意,但要真正达到行业相关合规的新高度,你可以围绕特定法规的要求设计一个定制课程。例如,一个金融组织可以根据管理支付和卡处理应用的PCI-DSS准则,为他们的软件量身定制一个课程,以适应其合规性要求。当你负责处理和存储像信用卡号码这样的敏感信息时,风险是很高的,而对开发人员的学习进行超具体化,则可以穿过噪音,在正确的时间提供正确的教育,并使团队的能力更容易被监控。
这就是通用电气(GE)如何在其团队中使用Courses 。
"Courses 是我们的工程师的一个伟大的解决方案。有了新功能--将学习途径、视频和检查点捆绑到一个可定制的模块中--我们有能力根据我们在任何特定时刻的需要来塑造内容。合规能力和灵活性提供了一个更好的机会,以确保一个更加精简和灵活的过程。 这种能力帮助通用电气为每个工程师量身定做相关的培训,比以往任何时候都更快、更容易"。
请记住,这可能是精心策划的合规培训,但它仍然是以一点一滴的、有背景的、引人入胜的学习体验的方式提供的,这对开发者来说更有吸引力。
建立在尊重和相关性基础上的积极安全文化
教育是一个终身的过程,但在疯狂的DevSecOps世界中,有很多盘子要转。为培训留出的时间应该被明智地利用,有一个可行的学习路径,继续吸引和增加价值。
通过策划一个高度相关的定制课程,你尊重开发者的时间和工作流程,同时努力为企业实现漏洞和网络安全风险的可衡量的减少。
AppSec专家和工程师之间的关系传统上充满了误解和紧张,但通过Courses ,结构化的学习可以使双方在安全最佳实践方面达成一致。开发人员肯定会感谢AppSec团队提供的一些以解决方案为重点的支持,这可以最大限度地减少他们的负担,并协助他们制作出更高标准的代码。
消除弱点,扩大企业级安全卫生的规模
我们都是人,而且不幸的是,我们会犯错误。这些错误在数字世界中可能会造成极大的损失,但它们却令人震惊地普遍存在。赛门铁克的2019年互联网安全威胁报告证实,由于S3桶配置错误,超过7000万条记录被盗。安全错误配置是数据泄露的主要原因,其中人为错误占了大约四分之一。
这些问题发生的原因有很多,但缺乏安全意识和培训是一个巨大的驱动力,使小的机会窗口被攻击者所利用。要想获得具有影响力的可扩展的安全卫生,你必须通过为你的企业定制的课程使其发挥作用。对你的敌人不留情面,并关闭他们造成你可能遇到的最大头痛的每一个机会。
我们已经看到我们的客户产生了惊人的影响,包括这个领先的基于云的会计SaaS供应商。
"Courses'定制的学习途径已经改变了游戏规则。围绕编程语言和漏洞的特殊性提供了更多的控制和灵活性,以根据个人和公司的需求为每个开发人员创造正确的学习经验。将Courses 与Secure Code Warrior'更广泛的安全编码平台结合起来使用,已经改变了我们的开发人员的参与度,因为他们现在对提高他们的安全编码技能以编写更好、更安全的代码更感兴趣。"
为开发安全做好准备。了解更多关于安全代码勇士全新的Courses 功能。 这里.
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
先下手为强:为什么策划的安全编码courses ,对网络威胁毫不手软?
外面有一个不方便的事实,一个往往被政府、大公司,甚至一些行业领导者所掩盖的事实:作为一个社会,我们正处于一场与网络威胁的持续战斗中,而我们目前处于失败的一方。我们如何知道这一点?这些统计数据讲述了一个令人警醒的故事。
- 据估计,到2021年,网络犯罪的全球成本将达到6万亿美元。
- 每39秒就有一次网络攻击发生
- 24%的数据泄露是由人为错误造成的
- 令人震惊的是,77%的组织没有一个跨企业的网络安全事件响应计划,而且在各部门之间的应用也不一致。
谈到网络安全专家,我们的人手严重不足;技能差距不可能被填补,也没有秘密的AppSec军队来拯救我们。我们知道这一点已经很多年了,我们必须要改变我们的方法。在我们的情况下,最好的攻击是一个伟大的防御,我们可以用一个好的计划先下手为强。
这一切听起来有点令人沮丧,但它并不像一些人可能认为的那样糟糕。我们有一张王牌,网络安全环境为我们提供了一个黄金机会。你不需要在你的内部开发团队中寻找来拯救组织的人员,但你的安全计划必须支持他们成为有安全意识的工程师,准备好分担安全编码的责任的轨迹。
任何老式的培训都无法完成工作--我们当然已经说得够多了--但即使是正确的培训,如果能吸引人、建立上下文知识并帮助开发人员爱上安全,也会有效得多,只要它能针对企业的需求、他们面临的威胁以及帮助企业保持我们所有数据安全的合规要求进行策划。
而这正是我们最新的功能所在。 Courses的作用。顺便说一下,如果你明白了标题中的参考,你就正式老了(或只是欣赏经典)。
针对组织的学习:建立防御,加强开发者技能
对于为什么有些类型的开发者培训比其他的好,我们有各种各样的意见(即不要用几个小时的干巴巴的通用视频说教把他们烦死,然后期望安全编码的激情能绽放)。但是,即使是旨在吸引开发人员思维的竞争性学习,其内容仍然可能比组织内的特定需求更广泛。
一个精心策划的课程包含了你的开发人员需要显示熟练程度的确切模块,将产生有力的影响,并使他们在日常工作中的安全最佳实践中打好基础。为前端团队、云计算工程师等量身定制课程,能够以与他们相关的语言和框架,深入研究最重要的漏洞。开发人员将通过持续的背景、接触点和经验提高他们的技能,而企业将从对构成最大风险的问题的精确认识中受益。
定制符合要求的课程
世界各地都在实施更严格的网络安全相关法规,而软件安全合规性是建立积极有效的安全文化的一个重要基础。它不应该是枯燥的,一个好的安全计划会点燃开发人员的自豪感和责任感,而不是呻吟和打脸。
作为一个起点,让每个人都掌握OWASP Top 10是一个非常好的主意,但要真正达到行业相关合规的新高度,你可以围绕特定法规的要求设计一个定制课程。例如,一个金融组织可以根据管理支付和卡处理应用的PCI-DSS准则,为他们的软件量身定制一个课程,以适应其合规性要求。当你负责处理和存储像信用卡号码这样的敏感信息时,风险是很高的,而对开发人员的学习进行超具体化,则可以穿过噪音,在正确的时间提供正确的教育,并使团队的能力更容易被监控。
这就是通用电气(GE)如何在其团队中使用Courses 。
"Courses 是我们的工程师的一个伟大的解决方案。有了新功能--将学习途径、视频和检查点捆绑到一个可定制的模块中--我们有能力根据我们在任何特定时刻的需要来塑造内容。合规能力和灵活性提供了一个更好的机会,以确保一个更加精简和灵活的过程。 这种能力帮助通用电气为每个工程师量身定做相关的培训,比以往任何时候都更快、更容易"。
请记住,这可能是精心策划的合规培训,但它仍然是以一点一滴的、有背景的、引人入胜的学习体验的方式提供的,这对开发者来说更有吸引力。
建立在尊重和相关性基础上的积极安全文化
教育是一个终身的过程,但在疯狂的DevSecOps世界中,有很多盘子要转。为培训留出的时间应该被明智地利用,有一个可行的学习路径,继续吸引和增加价值。
通过策划一个高度相关的定制课程,你尊重开发者的时间和工作流程,同时努力为企业实现漏洞和网络安全风险的可衡量的减少。
AppSec专家和工程师之间的关系传统上充满了误解和紧张,但通过Courses ,结构化的学习可以使双方在安全最佳实践方面达成一致。开发人员肯定会感谢AppSec团队提供的一些以解决方案为重点的支持,这可以最大限度地减少他们的负担,并协助他们制作出更高标准的代码。
消除弱点,扩大企业级安全卫生的规模
我们都是人,而且不幸的是,我们会犯错误。这些错误在数字世界中可能会造成极大的损失,但它们却令人震惊地普遍存在。赛门铁克的2019年互联网安全威胁报告证实,由于S3桶配置错误,超过7000万条记录被盗。安全错误配置是数据泄露的主要原因,其中人为错误占了大约四分之一。
这些问题发生的原因有很多,但缺乏安全意识和培训是一个巨大的驱动力,使小的机会窗口被攻击者所利用。要想获得具有影响力的可扩展的安全卫生,你必须通过为你的企业定制的课程使其发挥作用。对你的敌人不留情面,并关闭他们造成你可能遇到的最大头痛的每一个机会。
我们已经看到我们的客户产生了惊人的影响,包括这个领先的基于云的会计SaaS供应商。
"Courses'定制的学习途径已经改变了游戏规则。围绕编程语言和漏洞的特殊性提供了更多的控制和灵活性,以根据个人和公司的需求为每个开发人员创造正确的学习经验。将Courses 与Secure Code Warrior'更广泛的安全编码平台结合起来使用,已经改变了我们的开发人员的参与度,因为他们现在对提高他们的安全编码技能以编写更好、更安全的代码更感兴趣。"
为开发安全做好准备。了解更多关于安全代码勇士全新的Courses 功能。 这里.
