静态 Vs.动态网络安全培训。冲动的服从,未来的问题

2019年10月31日发布
作者:Pieter Danhieux
案例研究

静态 Vs.动态网络安全培训。冲动的服从,未来的问题

2019年10月31日发布
作者:Pieter Danhieux
查看资源
查看资源

感觉上,"网络安全合规 "已经流行了很多年,有无尽的文章、倡议和委员会在讨论世界应该如何最好地解决网络犯罪这个巨大的、多威胁的野兽。

问题是,我们似乎并没有取得那么 大的进展。在全球范围内,数据泄露的成本一直在稳步上升,在五年内增长了12%,到2019年,每个泄露事件的成本约为392万美元。随着我们对互联网的使用在短短几十年内爆炸式增长,许多公司只能在没有盔甲的情况下战斗,因为他们迅速上网、开店并处理不安全的软件、有限的AppSec资源以及在某些情况下滥用客户信任的后果。

这些天,我们无可辩驳地更加成熟了。我们了解并详细讨论了威胁的范围,公司很清楚网络攻击会对客户的情绪、他们的声誉和他们的底线产生影响,许多地方正在积极寻求通过合规培训、熟练的招聘和越来越多的DevSecOps举措来提高软件安全。尽管有了这些巨大的飞跃,我们并没有赢得这场战斗--甚至没有。仅在2019年,就有至少40亿条记录在数据泄露事件中被盗

在网络安全标准、预期和违规后果方面,缺少的一个因素是(在政府层面)缓慢的涓涓细流。至少在欧洲,GDPR 的出现让一些人开始行动起来,但许多政府机构现在才追赶上来,而突然需要迅速遵守新出现的合规举措可能会在未来产生一些不必要的影响。

愚人冲进(错误的训练)中

NIST的形式出现的强有力的指导方针,纽约州的新法规和英国网络安全委员会的成立,对于那些为保护我们的数据安全而战斗的人来说,都是巨大的胜利。他们承认当前软件开发中存在的问题,并采取措施,指导组织在安全最佳实践方面必须达到的标准,以被视为道德和合规。

不幸的是,在这个阶段,一些最重要的内容有点太容易被解释。例如,英国网络安全委员会的立法中的一项任务是。

"在已经开展的职业道路工作的基础上,创建一个明确的认证清单和一个易于理解的框架,说明它们之间的联系以及它们所传达的能力"。

虽然他们的举措无疑会随着时间的推移而得到改善和发展,但如果企业现在已经按下了恐慌按钮并跃跃欲试地进行培训,他们可能会发现自己对未来准备不足。

一个组织的网络安全需求变化很快,静态的培训方案不太可能以所需的速度阻止不安全软件的流动。情况的变化比传统课程的更新速度更快,这可能会使一些地方陷入 "打勾 "的合规性练习陷阱;开发人员、承包商和其他安全专业人员没有接受足够的培训,我们又回到了坐以待毙的状态。

静态训练和静态工具存在同样的问题

静态分析工具是SDLC的一个组成部分,为大多数大型组织中稀缺且工作过度的AppSec专家提供扫描工作。它们做得很好,但有一个缺陷:没有一个工具可以扫描每一个漏洞,支持现有的大量编程框架。这也是一个缓慢的过程,只要有一个安全漏洞通过缝隙,就会给攻击者留下一个门。

对于静态培训,也有一个类似的问题。如果开发人员接受的安全培训是僵化的、"一劳永逸 "的课程,那么它就很难跟上那段时间内最普遍的安全问题的步伐。它只是写的时候的一个快照,而且很少有足够的重温,用学生喜欢的语言和框架来提供,也没有与他们在日常工作中可能面临的漏洞相联系。想象一下,当你试图从几个月前看的视频中回忆起一个相关的信息,同时又想在交付期限前完成代码......这是不可能的。

传统的教育方法在许多行业都被重新评估,但当涉及到开发人员的安全培训时,你只需要看看我们仍然经历的大量数据泄露(尤其是那些可以归咎于我们几十年来知道如何在编码中避免的漏洞,如SQL注入),就会意识到我们必须尝试一种不同的方式。

我们需要超越单一、线性课程的限制的培训,能够灵活地适应不断变化的网络安全最佳实践的需要。

动态训练:黄金标准

通过为开发人员提供一个动态的培训解决方案,一个可以根据业务、个人技能水平和一般行业动态迅速形成的解决方案,你将为他们提供安全编码的最佳基础,保持安全领先,并以安全意识的心态行事。

那些一刀切的、从未被重新审视过的、一开始就没有吸引力的培训将完全是浪费时间,不幸的是,这意味着你最终可能为了遵守规定而冲动地购买一个无效的项目。它可能在你推出之前就已经过时了,或者与他们日常工作的需要几乎没有关系。

动态培训是一个活生生的工具,它不断更新,与日常需求相联系,让用户参与批判性思维,并实际赋予他们学习技能和解决问题的能力。

那么,在安全背景下,一个动态的培训计划是什么样子的?

这将是。

  • 一点一滴。开发人员可以在可管理的小块中学习技能,这比冗长的培训手册和视频更容易记住(更重要的是,应用)。
  • 相关的。 当开发人员主要用Java编程时,通用安全培训的例子是C#,那有什么用呢?任何培训都应该直接适用于他们的角色,让他们在编码时看到应该发现和解决的问题(最好是在第一时间避免)。
  • 当前: 这似乎很明显,但往往不是。网络安全环境一直在变化,而更多的代码带来了更多的责任。为了让开发人员成为你的第一道防线,他们需要接受与现代安全最佳实践保持同步的培训。
  • 吸引人。 开发人员认为 "安全 "是件苦差事,这已经不是什么秘密了,尤其是当它干扰了他们的创作流程。正确的培训将向他们展示他们在解决可能演变成巨大风险的日常安全问题方面所拥有的力量,建立一种责任和安全意识的文化。
  • 乐趣。 动态培训很少是枯燥的;从设计上来说,它至少应该是有点刺激的。想一想开发人员喜欢什么:解决问题,与同行竞争,以及像我们许多人一样在工作中获得奖励和认可。发挥他们的长处,专注于获得最佳结果。

作为一名软件工程师,这是一个令人兴奋的时代;他们在数字创新中扮演着不可或缺的角色,帮助创建令人惊奇的公司,甚至用自己的创造掀起世界风暴。然而,随着政府机构和大型企业意识到他们在制定软件安全标准方面需要发挥的作用,重要的是要通过有效的、动态的培训解决方案来支持他们,培养他们对安全编码的热爱,而不是官僚主义的打勾做法。

查看资源
查看资源

作者

皮特-丹休

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

静态 Vs.动态网络安全培训。冲动的服从,未来的问题

2019年10月31日发布
作者:Pieter Danhieux

感觉上,"网络安全合规 "已经流行了很多年,有无尽的文章、倡议和委员会在讨论世界应该如何最好地解决网络犯罪这个巨大的、多威胁的野兽。

问题是,我们似乎并没有取得那么 大的进展。在全球范围内,数据泄露的成本一直在稳步上升,在五年内增长了12%,到2019年,每个泄露事件的成本约为392万美元。随着我们对互联网的使用在短短几十年内爆炸式增长,许多公司只能在没有盔甲的情况下战斗,因为他们迅速上网、开店并处理不安全的软件、有限的AppSec资源以及在某些情况下滥用客户信任的后果。

这些天,我们无可辩驳地更加成熟了。我们了解并详细讨论了威胁的范围,公司很清楚网络攻击会对客户的情绪、他们的声誉和他们的底线产生影响,许多地方正在积极寻求通过合规培训、熟练的招聘和越来越多的DevSecOps举措来提高软件安全。尽管有了这些巨大的飞跃,我们并没有赢得这场战斗--甚至没有。仅在2019年,就有至少40亿条记录在数据泄露事件中被盗

在网络安全标准、预期和违规后果方面,缺少的一个因素是(在政府层面)缓慢的涓涓细流。至少在欧洲,GDPR 的出现让一些人开始行动起来,但许多政府机构现在才追赶上来,而突然需要迅速遵守新出现的合规举措可能会在未来产生一些不必要的影响。

愚人冲进(错误的训练)中

NIST的形式出现的强有力的指导方针,纽约州的新法规和英国网络安全委员会的成立,对于那些为保护我们的数据安全而战斗的人来说,都是巨大的胜利。他们承认当前软件开发中存在的问题,并采取措施,指导组织在安全最佳实践方面必须达到的标准,以被视为道德和合规。

不幸的是,在这个阶段,一些最重要的内容有点太容易被解释。例如,英国网络安全委员会的立法中的一项任务是。

"在已经开展的职业道路工作的基础上,创建一个明确的认证清单和一个易于理解的框架,说明它们之间的联系以及它们所传达的能力"。

虽然他们的举措无疑会随着时间的推移而得到改善和发展,但如果企业现在已经按下了恐慌按钮并跃跃欲试地进行培训,他们可能会发现自己对未来准备不足。

一个组织的网络安全需求变化很快,静态的培训方案不太可能以所需的速度阻止不安全软件的流动。情况的变化比传统课程的更新速度更快,这可能会使一些地方陷入 "打勾 "的合规性练习陷阱;开发人员、承包商和其他安全专业人员没有接受足够的培训,我们又回到了坐以待毙的状态。

静态训练和静态工具存在同样的问题

静态分析工具是SDLC的一个组成部分,为大多数大型组织中稀缺且工作过度的AppSec专家提供扫描工作。它们做得很好,但有一个缺陷:没有一个工具可以扫描每一个漏洞,支持现有的大量编程框架。这也是一个缓慢的过程,只要有一个安全漏洞通过缝隙,就会给攻击者留下一个门。

对于静态培训,也有一个类似的问题。如果开发人员接受的安全培训是僵化的、"一劳永逸 "的课程,那么它就很难跟上那段时间内最普遍的安全问题的步伐。它只是写的时候的一个快照,而且很少有足够的重温,用学生喜欢的语言和框架来提供,也没有与他们在日常工作中可能面临的漏洞相联系。想象一下,当你试图从几个月前看的视频中回忆起一个相关的信息,同时又想在交付期限前完成代码......这是不可能的。

传统的教育方法在许多行业都被重新评估,但当涉及到开发人员的安全培训时,你只需要看看我们仍然经历的大量数据泄露(尤其是那些可以归咎于我们几十年来知道如何在编码中避免的漏洞,如SQL注入),就会意识到我们必须尝试一种不同的方式。

我们需要超越单一、线性课程的限制的培训,能够灵活地适应不断变化的网络安全最佳实践的需要。

动态训练:黄金标准

通过为开发人员提供一个动态的培训解决方案,一个可以根据业务、个人技能水平和一般行业动态迅速形成的解决方案,你将为他们提供安全编码的最佳基础,保持安全领先,并以安全意识的心态行事。

那些一刀切的、从未被重新审视过的、一开始就没有吸引力的培训将完全是浪费时间,不幸的是,这意味着你最终可能为了遵守规定而冲动地购买一个无效的项目。它可能在你推出之前就已经过时了,或者与他们日常工作的需要几乎没有关系。

动态培训是一个活生生的工具,它不断更新,与日常需求相联系,让用户参与批判性思维,并实际赋予他们学习技能和解决问题的能力。

那么,在安全背景下,一个动态的培训计划是什么样子的?

这将是。

  • 一点一滴。开发人员可以在可管理的小块中学习技能,这比冗长的培训手册和视频更容易记住(更重要的是,应用)。
  • 相关的。 当开发人员主要用Java编程时,通用安全培训的例子是C#,那有什么用呢?任何培训都应该直接适用于他们的角色,让他们在编码时看到应该发现和解决的问题(最好是在第一时间避免)。
  • 当前: 这似乎很明显,但往往不是。网络安全环境一直在变化,而更多的代码带来了更多的责任。为了让开发人员成为你的第一道防线,他们需要接受与现代安全最佳实践保持同步的培训。
  • 吸引人。 开发人员认为 "安全 "是件苦差事,这已经不是什么秘密了,尤其是当它干扰了他们的创作流程。正确的培训将向他们展示他们在解决可能演变成巨大风险的日常安全问题方面所拥有的力量,建立一种责任和安全意识的文化。
  • 乐趣。 动态培训很少是枯燥的;从设计上来说,它至少应该是有点刺激的。想一想开发人员喜欢什么:解决问题,与同行竞争,以及像我们许多人一样在工作中获得奖励和认可。发挥他们的长处,专注于获得最佳结果。

作为一名软件工程师,这是一个令人兴奋的时代;他们在数字创新中扮演着不可或缺的角色,帮助创建令人惊奇的公司,甚至用自己的创造掀起世界风暴。然而,随着政府机构和大型企业意识到他们在制定软件安全标准方面需要发挥的作用,重要的是要通过有效的、动态的培训解决方案来支持他们,培养他们对安全编码的热爱,而不是官僚主义的打勾做法。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。