情境式、实践式学习。训练你的大脑安全的超强方法

2019年9月11日发布
作者:Jaap Karan Singh
案例研究

情境式、实践式学习。训练你的大脑安全的超强方法

2019年9月11日发布
作者:Jaap Karan Singh
查看资源
查看资源

我很抱歉,我必须传达一些坏消息。

传统培训已经死亡。

嗯,好吧,它不是......但它可能应该是。一次又一次的研究表明,把一群人塞进教室学习新知识、完成合规任务或接受再培训是人们接受教育的最无效的方式之一。而当涉及到企业培训时,这些数据并没有改善。哈佛商业评论》发表了一项关于大型企业新员工课堂培训有效性的研究,发现这种学习方法平均需要8至12个月的时间才能让新员工掌握技能和提高生产力。这是一个非常长的时间来充分利用一个人的技能(如果你是新员工,也需要很长的时间来适应)。如今,大多数地方都没有这样的时间;不可避免地,角落被削减,人们没有得到他们需要的培训,公司失去了很多可以更早获得的价值。

许多地方仍然依靠教室、枯燥的教科书和令人头疼的视频培训来让他们最好和最聪明的人加入公司的最佳实践或新举措,特别是当有一个更好、更有吸引力和更有价值的学习方式时,这真是让人摸不着头脑:情景培训。事实证明,当我们亲身体验新的想法和流程时,我们会更好地保留信息。

现在,说到开发人员......我们是一群特殊的人。从我自己作为一个开发者的经验来看,传统的培训并不能完全让我的世界着火。开发人员往往是有创造力的、足智多谋的问题解决者,他们更愿意使用工具,而不是在课堂上被训话,或者在试图学习新信息时坐在无休止的视频前。如果你特别看一下安全培训,在目前的情况下,似乎有一个明显的脱节:开发人员未能解决他们代码中的常见漏洞,导致应用安全专业人员在面对同样的容易修复的问题时一次又一次地撕扯他们的头发。这些团队之间的关系是紧张的,开发人员没有得到正确的工具和培训来保持对安全开发最佳实践的参与。他们的主要目标是功能建设,但随着每个公司的网络风险迅速增加,我们根本不能再忽视和贬低安全知识了。

而最重要的是什么?如果开发者有安全意识,那些常见的漏洞就会开始消失。风险降低了,修复晚期漏洞的成本也降低了(AppSec也不再是一把一把地掉头发)。

那么,让开发人员参与情景培训到底是什么样子的呢?

真实世界的例子强大得令人发指。

想象一下,如果我们都不得不通过观看YouTube上的视频来学习驾驶。虽然你可以大致了解汽车的工作原理,以及在道路上行驶的一系列事件,但在你跳上汽车并亲自尝试之前,几乎不可能学好驾驶。

情境培训是如此有价值,因为它使学生处于所教内容的驾驶位置。当你有一个真实世界的背景时,它使学习更有吸引力和意义。

从安全编码的角度来看,任何人都可以通过视频来了解SQL注入的基本知识,但当最后期限迫近和功能交付优先时,实际解决问题的细枝末节很容易被遗忘。然而,如果有可能回顾真实的代码例子,识别注入并修复它作为培训练习的一部分,这远比试图保留单向信息更适用于开发人员的日常工作。这对开发人员来说也更有亲和力,如果他们看到的代码与他们平时写的代码相似,他们就会站起来关注。

在这个 Secure Code Warrior平台上,我们已经将安全代码培训游戏化,提供多种语言和框架的各种挑战。该系统鼓励重复游戏,最重要的是,可以立即定制,为真正的情景学习提供合适的环境。

在最有用的时候提供知识

根据情境学习理论,只有当学生在自己的个人参考框架内,以对他们有意义的方式处理新信息或知识时,才会发生有效的学习。

想象一下,一个开发者从Bug赏金计划、SAST工具或Bug跟踪软件中收到一份安全漏洞清单。如果他们以前从未遇到过这些漏洞,他们可能会感到困惑,甚至不知所措。更糟糕的是,大多数报告是为应用安全专家而不是开发者设计的。报告中的信息很难解析,而且经常包含一些不直接适用于开发者的通用建议。

最近,我们增加了直接与漏洞赏金计划、SAST工具、漏洞跟踪软件和渗透测试报告中的漏洞实践培训深度链接的能力。开发人员可以立即了解基础知识,并学习他们特定框架的良好编码配方。

以这种方式学习可以确保开发人员在最相关的时候接受知识和培训,而且他们更有可能长期保留这些信息。

Secure Code Warrior 培训信息图
发展过程中的情境培训。

更快的结果,更少的干扰,更快乐的营员。

在任何培训中,与你的日常活动直接相关的内容要比试图将通用的东西应用到你的工作中要强大得多。你花在 "学习模式 "上的时间更少,或者更糟的是,当你需要一个答案的时候,不得不回到你已经 "学到 "的东西上。

情境训练的原则之一是能够建立在知识之上,因此训练的每个部分都是对前一个部分的补充,允许有一个阶梯式的过程,为参与者提供掌握的途径。同样,这也是我们在平台上支持的东西,我们有一个类似于空手道道场的带子系统。每个人都从白带开始,然后在投入必要的训练时间和tournament 参与之后,再进入令人羡慕的黑带,或 "安全冠军 "级别。这是一个具有现实世界价值和实际应用的有趣方法。

想留住最优秀的人才并让他们保持安全意识?给他们提供成功的工具。

一个不幸的现实是,现在,有安全意识的开发人员和AppSec专家是一种稀缺的(但也是至关重要的)资源。他们也是出了名的难以抓住的。

Cybrary在2018年对3100名IT和安全专业人员进行了调查,发现留住有价值的员工的一个关键因素是投资于他们的培训。他们的调查结果显示,那些提供工具和培训以培养内部安全技能的公司能够比那些不提供工具和培训的公司多留住60%的安全专业人员,而且有高达65%的受访者希望这种培训是实战性的。很好,是吧?

然而,调查结果也提供了一个相当惊人的启示:80%的受访者认为没有做好充分的准备来保护他们的组织免受网络威胁。这些威胁不会消失,现在比以往任何时候都更需要正确的培训来对抗日益增长的昂贵的数据泄露和攻击的风险。而且,我可能有偏见,但Secure Code Warrior's平台可能是你需要的工具,以激发积极的安全文化,通过他们喜欢的上下文培训来提高和支持开发人员,并保护你的组织免受坏人的攻击。申请一个演示,我们将向你展示更多。

查看资源
查看资源

作者

Jaap Karan Singh

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

情境式、实践式学习。训练你的大脑安全的超强方法

2019年9月11日发布
作者:Jaap Karan Singh

我很抱歉,我必须传达一些坏消息。

传统培训已经死亡。

嗯,好吧,它不是......但它可能应该是。一次又一次的研究表明,把一群人塞进教室学习新知识、完成合规任务或接受再培训是人们接受教育的最无效的方式之一。而当涉及到企业培训时,这些数据并没有改善。哈佛商业评论》发表了一项关于大型企业新员工课堂培训有效性的研究,发现这种学习方法平均需要8至12个月的时间才能让新员工掌握技能和提高生产力。这是一个非常长的时间来充分利用一个人的技能(如果你是新员工,也需要很长的时间来适应)。如今,大多数地方都没有这样的时间;不可避免地,角落被削减,人们没有得到他们需要的培训,公司失去了很多可以更早获得的价值。

许多地方仍然依靠教室、枯燥的教科书和令人头疼的视频培训来让他们最好和最聪明的人加入公司的最佳实践或新举措,特别是当有一个更好、更有吸引力和更有价值的学习方式时,这真是让人摸不着头脑:情景培训。事实证明,当我们亲身体验新的想法和流程时,我们会更好地保留信息。

现在,说到开发人员......我们是一群特殊的人。从我自己作为一个开发者的经验来看,传统的培训并不能完全让我的世界着火。开发人员往往是有创造力的、足智多谋的问题解决者,他们更愿意使用工具,而不是在课堂上被训话,或者在试图学习新信息时坐在无休止的视频前。如果你特别看一下安全培训,在目前的情况下,似乎有一个明显的脱节:开发人员未能解决他们代码中的常见漏洞,导致应用安全专业人员在面对同样的容易修复的问题时一次又一次地撕扯他们的头发。这些团队之间的关系是紧张的,开发人员没有得到正确的工具和培训来保持对安全开发最佳实践的参与。他们的主要目标是功能建设,但随着每个公司的网络风险迅速增加,我们根本不能再忽视和贬低安全知识了。

而最重要的是什么?如果开发者有安全意识,那些常见的漏洞就会开始消失。风险降低了,修复晚期漏洞的成本也降低了(AppSec也不再是一把一把地掉头发)。

那么,让开发人员参与情景培训到底是什么样子的呢?

真实世界的例子强大得令人发指。

想象一下,如果我们都不得不通过观看YouTube上的视频来学习驾驶。虽然你可以大致了解汽车的工作原理,以及在道路上行驶的一系列事件,但在你跳上汽车并亲自尝试之前,几乎不可能学好驾驶。

情境培训是如此有价值,因为它使学生处于所教内容的驾驶位置。当你有一个真实世界的背景时,它使学习更有吸引力和意义。

从安全编码的角度来看,任何人都可以通过视频来了解SQL注入的基本知识,但当最后期限迫近和功能交付优先时,实际解决问题的细枝末节很容易被遗忘。然而,如果有可能回顾真实的代码例子,识别注入并修复它作为培训练习的一部分,这远比试图保留单向信息更适用于开发人员的日常工作。这对开发人员来说也更有亲和力,如果他们看到的代码与他们平时写的代码相似,他们就会站起来关注。

在这个 Secure Code Warrior平台上,我们已经将安全代码培训游戏化,提供多种语言和框架的各种挑战。该系统鼓励重复游戏,最重要的是,可以立即定制,为真正的情景学习提供合适的环境。

在最有用的时候提供知识

根据情境学习理论,只有当学生在自己的个人参考框架内,以对他们有意义的方式处理新信息或知识时,才会发生有效的学习。

想象一下,一个开发者从Bug赏金计划、SAST工具或Bug跟踪软件中收到一份安全漏洞清单。如果他们以前从未遇到过这些漏洞,他们可能会感到困惑,甚至不知所措。更糟糕的是,大多数报告是为应用安全专家而不是开发者设计的。报告中的信息很难解析,而且经常包含一些不直接适用于开发者的通用建议。

最近,我们增加了直接与漏洞赏金计划、SAST工具、漏洞跟踪软件和渗透测试报告中的漏洞实践培训深度链接的能力。开发人员可以立即了解基础知识,并学习他们特定框架的良好编码配方。

以这种方式学习可以确保开发人员在最相关的时候接受知识和培训,而且他们更有可能长期保留这些信息。

Secure Code Warrior 培训信息图
发展过程中的情境培训。

更快的结果,更少的干扰,更快乐的营员。

在任何培训中,与你的日常活动直接相关的内容要比试图将通用的东西应用到你的工作中要强大得多。你花在 "学习模式 "上的时间更少,或者更糟的是,当你需要一个答案的时候,不得不回到你已经 "学到 "的东西上。

情境训练的原则之一是能够建立在知识之上,因此训练的每个部分都是对前一个部分的补充,允许有一个阶梯式的过程,为参与者提供掌握的途径。同样,这也是我们在平台上支持的东西,我们有一个类似于空手道道场的带子系统。每个人都从白带开始,然后在投入必要的训练时间和tournament 参与之后,再进入令人羡慕的黑带,或 "安全冠军 "级别。这是一个具有现实世界价值和实际应用的有趣方法。

想留住最优秀的人才并让他们保持安全意识?给他们提供成功的工具。

一个不幸的现实是,现在,有安全意识的开发人员和AppSec专家是一种稀缺的(但也是至关重要的)资源。他们也是出了名的难以抓住的。

Cybrary在2018年对3100名IT和安全专业人员进行了调查,发现留住有价值的员工的一个关键因素是投资于他们的培训。他们的调查结果显示,那些提供工具和培训以培养内部安全技能的公司能够比那些不提供工具和培训的公司多留住60%的安全专业人员,而且有高达65%的受访者希望这种培训是实战性的。很好,是吧?

然而,调查结果也提供了一个相当惊人的启示:80%的受访者认为没有做好充分的准备来保护他们的组织免受网络威胁。这些威胁不会消失,现在比以往任何时候都更需要正确的培训来对抗日益增长的昂贵的数据泄露和攻击的风险。而且,我可能有偏见,但Secure Code Warrior's平台可能是你需要的工具,以激发积极的安全文化,通过他们喜欢的上下文培训来提高和支持开发人员,并保护你的组织免受坏人的攻击。申请一个演示,我们将向你展示更多。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。