被动安全与预防安全:预防是更好的治疗
在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。
然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露和SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change Healthcare、AT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。
为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。
迄今为止,事实证明这说起来容易做起来难。
安全编码员供不应求
美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。
如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。
软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。
如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。
考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。
还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。
在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。
建设预防文化
向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。
企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。
重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。
通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。
立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。
.avif)
在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。
然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露和SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change Healthcare、AT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。
为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。
迄今为止,事实证明这说起来容易做起来难。
安全编码员供不应求
美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。
如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。
软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。
如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。
考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。
还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。
在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。
建设预防文化
向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。
企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。
重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。
通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。
立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。
在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。
然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露和SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change Healthcare、AT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。
为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。
迄今为止,事实证明这说起来容易做起来难。
安全编码员供不应求
美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。
如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。
软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。
如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。
考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。
还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。
在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。
建设预防文化
向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。
企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。
重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。
通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。
立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在当今云驱动的 DevOps 世界中,安全团队很难跟上如潮水般涌现的新创新,因此他们同样无法跟上攻击者利用不断生成的大量代码所不可避免带来的弱点的无数方法。
然而,尽管重大安全漏洞事件的发生速度不断加快--从Equifax 数据泄露和SolarWinds供应链攻击等事件,到近年来发生的更多事件,如Change Healthcare、AT&T 和其他公司受到的成功攻击--许多组织仍将重点放在被动的安全方法上。他们将大部分安全资源用于查找和修复漏洞,并在事件发生时作出反应。这种方法在另一个时代也许是合适的,但软件、技术能力和 IT 基础设施的快速发展让人手不足、工作过度的安全团队无法跟上。
为了避免继续处于不利地位,他们需要停止追逐那些对他们来说发展太快的安全威胁,或者等到数据外泄事件发生时才行动。相反,他们应该采取预防性而非被动性的方法来解决问题。要提高传统应用程序和新应用程序的安全性,就必须采用安全设计方法,并辅以有效的开发人员培训,以确保在软件开发生命周期(SDLC)之初就采用最佳安全实践,并在投入生产之前对漏洞进行修复。
迄今为止,事实证明这说起来容易做起来难。
安全编码员供不应求
美国网络安全和基础设施安全局(CISA)一直试图通过其 "设计安全"(Secure-by-Design)倡议将预防作为一项关键政策来推动,该倡议提倡安全编码以及其他最佳实践--从多因素身份验证(MFA)到减少漏洞类别--并鼓励各组织做出 "设计安全 "承诺。澳大利亚、加拿大、德国和英国等其他国家也推出了类似计划。然而,我们的研究表明,迄今为止,只有极少数组织加入了该计划。
如果我们把Secure Code Warrior Learning Platform 上的所有开发人员与 SCW 的竞争对手中采用 "基于设计的安全 "方法的开发人员加在一起,那么采用这种方法的开发人员在 50 万到 100 万之间。据最乐观的估计,这约占全球开发人员总数的 3.5%,预计到 2024 年底将达到 2870 万。这意味着大量开发人员将比以往生产更多的代码,尤其是在生成式人工智能程序大大加快了开发速度的情况下,很少有人会学习如何从安全代码入手。
软件工程师一般不学习网络安全知识,因为传统模式要求开发人员和安全专业人员分头工作,安全团队在软件制作完成后再解决安全问题。但在当今的环境中,安全专业人员的数量少得可怜。最新的《成熟度模型中的构建安全》报告(BSIMM14)显示,全球平均每 100 名开发人员对应 3.87 名 AppSec 专业人员。只有不到四名训练有素的专家试图确保 100 名开发人员以极快的速度工作所产生的结果的安全,这并不是确保代码安全的良方。
如果将应用安全的市场规模与其他安全领域进行比较,应用安全被忽视的情况同样明显。构成 "按设计确保安全 "方法的组件属于应用安全市场,预计将从 2023 年的 60.8 亿美元增长到 2031 年的 175.1 亿美元。这看起来像是快速增长,但与网络安全(预计将从 2023 年的 235.7 亿美元增长到 2032 年的 673.3 亿美元)或操作技术安全(预计将从 2023 年的 180.3 亿美元增长到 2031 年的 575.1 亿美元)的支出相比,就显得微不足道了。
考虑到安全代码和应用程序的重要性与日俱增,这方面的资金却不足。事实上,如果企业在应用程序安全和 "安全设计 "方法上投入更多资金,就可以在其他安全领域节省开支。
还有其他一些因素导致人们认为预防性安全更难实施,因此也更难向高层管理人员推销。首先,一些历史悠久的公司,如金融服务行业的公司,都有一些老旧的遗留系统,其中一些可以追溯到上世纪中叶,当时 COBOL 还是首选的编程语言。
在更新应用程序的同时为遗留代码和系统带来预防性安全的想法似乎令人生畏,但通过提高开发人员的技能而实施的 "按设计确保安全 "方法可以将安全最佳实践应用到这些系统中。这是许多组织改善其安全态势的最佳机会。
建设预防文化
向预防性安全方法的过渡可能起步较慢,但采用 "按设计确保安全 "实践的推动力不会消失,因为在当今的网络威胁环境中,对它的迫切需要也不会消失。如果汽车行业决定投资于更多的救护车和急救人员,而不是提高汽车的安全性,那么它将会被大肆抨击。
企业需要采取预防性的主动方法来降低风险。他们应该制定计划,在 SDLC 的早期阶段,提高开发人员编写安全代码和纠正错误(如人工智能助手或第三方代码带来的错误)的能力。这些计划应包括适合开发人员日程安排的敏捷、互动式培训计划,并可根据他们的工作环境和使用的编程语言量身定制。提高技能应包括解决实际问题的实践培训。
重要的是,这需要包括一种衡量其进展的方法,以确保他们将安全最佳实践作为日常工作的重要组成部分。像 SCW 的信任度评分这样的工具可以利用基准来衡量内部和行业标准的进展情况,同时还能确定需要改进的领域。
通过设计确保安全的方法是整体性的,反映了组织内安全第一的思想,即安全是业务的优先事项。当然,响应和恢复是企业整体安全态势的重要组成部分。但是,通过将重点放在预防上,企业可以在降低风险方面取得长足进步,或许还能避免可能威胁企业生存的重大漏洞。
立即了解 Secure Code Warrior 如何帮助您实现可行的 "按设计保证安全 "计划。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
