博客

您是否高估了组织的安全成熟度?

马蒂亚斯-马杜博士
发表于 2023 年 11 月 10 日

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

黑色背景上的月亮渐变
黑色背景上的月亮渐变
查看资源
查看资源

随着技能的持续短缺与为满足全球软件需求而编写的大量代码之间的矛盾,许多企业的网络安全战略和现有基础设施正在落后。现在,我们应该诚实地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发表于 2023 年 11 月 10 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到
黑色背景上的月亮渐变
黑色背景上的月亮渐变

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。
黑色背景上的月亮渐变

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发表于 2023 年 11 月 10 日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

本文的一个版本刊登在 黑暗阅读.


大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。

然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。 

现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。

可持续的网络安全成熟度是一个过程。

公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。 

虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。 

即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。 

一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。 

让开发人员成为卓越软件安全的推动力

围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。

另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。

长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。 

当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。

这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心