十多年来,网络安全的最佳实践一直是一个热点问题,在全世界大多数地区的政府层面上经常讨论。网络攻击基本上是一个日常现实,任何在网上存储有价值的私人数据的实体都是一个潜在的目标。仅在德国,联邦教育和研究部估计,96%的中小型企业已经经历过一次IT安全事件。同一份报告强调了对网络安全研究、立法和意识的迫切需求,并明确呼吁在计算机科学和IT相关领域纳入更有力的安全培训。
随着GDPR的到来,以及在一次暴露了许多公众人物的敏感数据的多阶段攻击后修订的战略--以及德国联邦政府的服务器--显然,网络安全意识和行动是DACH地区领导人的首要任务。2018年年底的黑客攻击是由一个技术水平相对较低的20岁学生实施的,他的主要访问点是通过简单地猜测密码来获得高度敏感的信息。虽然这是一个极其令人担忧的认证漏洞,但它确实突出了在政府、企业和社会层面大大提高安全意识的必要性。2019年的一份报告强调,德国在网络安全防御措施方面已经落后,依靠立法作为主要策略。然而,随着DevSecOps作为一种理想的开发方法的到来,许多企业已经认识到需要进行实际的培训,通过设计安全的软件创建,以及全公司的安全意识计划。
DACH地区的软件安全心声
像OWASP和MITRE这样的组织发布了经数据验证的最频繁发生的漏洞排名。在所有语言中,SQL注入排名第一,尽管它有几十年的历史,但它是一个常见的缺陷,并且经常被利用,造成灾难性的后果。
瑞士BPC银行软件SmartVista被SwissCERT提醒存在一个SQLi漏洞,然而,尽管它有可能暴露敏感的客户数据,包括信用卡号码,但几个月来它仍然没有打补丁。SQL注入可以而且确实导致了危险的漏洞,就像2017年美国和英国的多个政府部门和大学的漏洞。许多这类事件是由宽松的输入验证过程引起的,允许攻击者从应用程序的前端插入恶意代码。另一个常见的漏洞来源是使用不安全的供应商代码,这些代码没有被检查出安全漏洞,缺陷因此被引入到之前被扫描和清除的生产环境中。这两个接入点都不是DACH地区所特有的,相反,它们是不良安全实践的全球性例子,随着世界上产生更多的代码,这种情况不能继续。
一旦发现问题,就必须立即打补丁,SmartVista的决定拖后腿可能是一场灾难。虽然DACH已经有了自己的违规行为,但在安全意识和培训方面更有针对性的指导方针和支持可以防止组织层面的潜在问题失控,这将需要立法,在推动对开发人员的评估培训方面更加具体。
不是所有的安全代码培训都是一样的。
世界各地的许多网络安全指令正变得越来越全面,然而,当涉及到概述有效的安全培训时,它们仍然相当不具体。欧盟的NIS指令确实包括了在国家层面上的 "提高认识、培训和教育 "的要求,但是,如果培训方案缺少了推动技能开发和组织变革的关键因素,那么匆匆忙忙的培训方案可能不会达到降低实际风险的预期效果。
教育解决方案各不相同,培训必须针对开发者的日常工作(包括用他们喜欢的语言和框架进行学习的能力),并随着时间的推移保持吸引力和可衡量性。
静态培训解决方案,如基于计算机的视频培训,往往过于笼统,而且很少重新审视或评估其在提高意识和技能以阻止漏洞进入正在编写的代码方面的成功。然而,动态培训对于通过上下文实例提高开发人员的技能至关重要,此外还提供影响业务缓解过程的指标。它经常更新,促进高水平的知识保留,是建立安全意识的开发人员的一部分,有助于在工作场所形成积极的安全文化。
Secure Code Warrior 来自DACH试点的数据点。
Secure Code Warrior 销售总监Ema Rimeike(网络安全硕士)一直在与DACH地区的组织密切合作,为开发人员开展试点项目,以衡量开发人员的内部安全编码能力、他们对安全最佳实践的参与以及企业的整体安全文化。利用游戏化的动态安全代码培训,她的主要发现揭示了当开发人员从SDLC开始就获得促进成功减少漏洞的知识和工具时的光明前景。
在她的试点项目中,她整理了基于每个用户在Secure Code Warrior (SCW)平台上平均花费90分钟的统计数据,其中他们玩了15个安全编码挑战(比特大小、游戏化和自定进度的课程)。
用户平均花了5.5分钟来完成一项挑战,而其他全球SCW试点的平均时间为3分钟。
一般来说,强烈的职业道德和对精确性的关注被德黑兰地区的许多人所重视,尝试试点项目的开发者也不例外,这已不是什么秘密。这些数据点说明了他们对这种训练方式的不熟悉,但也说明了他们希望继续玩下去,提高分数并避免使用现有的 "提示 "功能。他们对学习和提高的渴望是显而易见的,但这也表明必须做更多的工作,在组织本身实施有效的培训和意识。
能够降低风险和挫败漏洞的优秀培训不是一次性的,它不仅仅是合规性。管理人员和AppSec人员必须努力推出具有战略和支持的安全意识计划,以反映核心安全目标并寻求长期保持。这实际上是具有安全意识的开发人员的成功DevSecOps流程的支柱。
试点项目对一个组织的启示是什么?
Secure Code Warrior的试点项目是一个非常有价值的工具,它为企业提供了一个关于其当前安全健康状况的快照(通常在65-75%之间),以及需要立即改进的领域。它们揭示了。
- 明确哪些漏洞必须优先解决,以及这一方向是否应适用于特定的团队、业务部门或编程语言
- 对其SDLC中的网络安全风险因素进行准确的、范围更广的情报,包括软件开发的人为因素。
- 通过利用SCW平台,企业可以预测笔测试的潜在结果,并有机会预先减轻这些风险,在团队被分配到一个特定项目之前就做好准备。
在那些已经开始推出全面有效的安全计划的组织中,通常每周有1-1.5小时的专业发展在管理层得到批准,以帮助他们的开发人员提高安全编码的知识水平。然而,我们注意到,组织正在从 "花在平台上的时间 "的重点转向 "哪些软件开发团队对业务构成最高和最低的风险"。这与正式的认证/约束、安全倡导者的发现和指导计划紧密相连,以获得最佳效果。时间的分配,加上建设性的和积极的assessment ,绝对是创造安全意识的开发者的关键,他们不仅喜欢安全,而且可衡量地减少对企业的风险。
各组织已经如何使用Secure Code Warrior ?
一些企业已经在使用Secure Code Warrior ,以建立意识、培养开发人员的技能和扩大积极的安全文化。
例如,在一个使用案例中,一个在平台上培训的团队使用SCW来揭示他们的安全优势和弱点。
开发人员的行动。 开发人员能够看到他们自己的结果,显示出他们应该关注的领域,并被授权进行自我指导,把握培训的节奏,以减轻特定的漏洞或知识差距,这将有助于他们在未来的软件构建中。
管理行动。他 们分析了团队层面的整体优势和劣势,并能够规定一个游戏化的方法来解决具体的关注领域。这创造了一个双向的教育途径,迅速建立起相关的知识。
结果。 一旦在团队层面上进行了五次测试,任何漏洞都是可见的,比较以前的结果,可以很容易地验证培训是否有效地减少了常见的安全漏洞。
这就回到了软件开发的初始阶段,在这个阶段,对团队进行持续改进的预培训目标,并在一开始就引入安全最佳实践,可以有效、容易地推广,并在整个开发范围内节省时间。
DevSecOps项目团队
在一个理想的DevSecOps环境中,多个业务部门在一个项目团队中都有代表,以决定和交付核心成果,其中之一就是安全最佳实践。
在项目前的研究和规划方面,SCW平台可以在开发团队开始工作之前评估其安全技能,预测最终的entesting结果,以及SDLC中与安全相关的延迟,并有足够的时间来充分准备。可以为团队创建针对项目代码和结构的培训,包括验证整体安全意识技能的assessment/认证过程,要求在项目交付物上预设合格分数。
这提供了一种具有巨大商业价值的方法,可以降低修复漏洞的成本,减轻安全风险,节省测试的时间,减少昂贵的悬赏计划的成本,并以集中、可持续、可扩展和统一的方式提高开发队伍的技能。
结论。
企业面临越来越大的压力,需要优先考虑安全问题,保持我们的数据安全,并遵守全球范围内越来越严格的法规,但对于在欧盟交易的组织来说,尤其是在严格的GDPR准则下。
对于DACH地区的公司来说,很明显,他们正在通过将培训工作和成果与现实世界中与预防风险有关的活动联系起来,包括减少他们生产的代码中的常见漏洞,来制定可行的安全路径。
为了建立一个真正可量化的商业案例,以增加安全预算、意识和整体合规性,培训必须对开发人员具有吸引力、一致、可调整和可衡量。追踪当前阶段的能力以定制正确的培训,发现安全推行者,并随着时间的推移衡量团队的表现,这些都是至关重要的举措,整个DACH地区许多有远见的公司在进行了全面的SCW试点后,都实现了这些好处。
许多企业在安全性能指标上纠结,因为这些指标太通用了。随着对SCW平台的长期、持续使用,企业可以利用精确的评估、courses ,以及管理指标来发现。
- 随着时间的推移,脆弱性的减少
- 随着时间的推移,修复漏洞的成本减少
- 随着时间的推移,个人和团队的技能发展
- 在五次测试阶段减少成本和时间
你的组织目前跟踪哪些指标,多长时间重新测量一次,这些指标随着时间的推移是否有明显的改善?在现有的开发人员工作流程方面,你的培训计划是如何整合的?
SCW的动态、游戏化和综合方法被视为安全软件开发生命周期工作流程的重要组成部分。企业正在为他们的开发人员配备正确的工具和培训,并将SCW嵌入其SSDLC工作流程中。