Wie kreative CISOs und CIOs ihr Sicherheitsprogramm innovieren und transformieren können
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
Kreative, inspirierende CISOs und CIOs haben die Macht, unsere digitale Welt zu innovieren und zu gestalten, aber sie können auch maßgeblich zur Transformation der Sicherheitskultur eines Unternehmens beitragen.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Eine Version dieses Artikels erschien auf DevOps.com; es wurde umbenannt und um neue Informationen erweitert.
CISOs und CIOs haben zwar die nicht beneidenswerte Position, den Löwenanteil der Verantwortung für Softwaresicherheit auf sich zu nehmen, insbesondere im Fall einer peinlichen Verletzung der Unternehmensdaten, aber sie haben auch eine einzigartige Gelegenheit, die zunehmend an Bedeutung gewinnt: Sie sind die neuen Innovatoren, und sie können mit dem richtigen Ansatz großen Einfluss haben. Jede Organisation auf dem Planeten, sowohl öffentliche als auch kommerzielle, kämpft darum, ihren Marktplatz in einer sich schnell digitalisierenden Welt zu behalten (und zu gewinnen). Kunden erwarten sowohl von früheren als auch zukünftigen Produkten ein nahtloses Online-Erlebnis, und ein Geschäftsansatz, bei dem die Digitalisierung an erster Stelle steht, wird immer mehr zur Pflicht. Denn wenn diese Erwartungen nicht erfüllt werden, gibt es mit ziemlicher Sicherheit einen Konkurrenten, der bereit ist, die Gelegenheit zu nutzen.
Also, was bedeutet das für den modernen CISO oder CIO? Das bedeutet natürlich, dass sie Entwicklerteams beschäftigen, die jeweils Zeile für Zeile den Code erstellen, aus dem ihr digitales Produkt oder ihre digitale Dienstleistung besteht. Cybersicherheit ist zwar seit vielen Jahren ein wichtiger Aspekt, stellt aber einen zunehmenden Risikofaktor dar, da immer mehr Geschäftsabläufe online und im Visier von Angreifern abgewickelt werden. Die Auswirkungen einer Sicherheitsverletzung sind enorm, aber eine Absage an die Digitalisierung ist keine Option.
Kreative CISOs und CIOs sind in der besten Position, um gemeinsam mit ihren AppSec- und Entwicklungsteams den Weg unserer digitalen Zukunft weiter zu beschreiten. Sie werden zweifellos die langfristige Innovation von Unternehmen, Behörden und öffentlichen Diensten im Internet prägen, aber sie tragen die große Verantwortung dafür, schnelle Markteinführungsziele und hohe Softwarequalität in Einklang zu bringen und Minderung des Sicherheitsrisikos.
Dieses Gleichgewicht war bis heute äußerst schwierig zu erreichen. Dies hat dazu geführt, dass Entwicklungsteams oft fragmentiert sind und sich hauptsächlich auf die Bereitstellung von Features und Funktionen konzentrieren, ohne die Sicherheitslücken zu berücksichtigen, die sie in dem Code, den sie so schnell erstellen, verursachen könnten. AppSec-Spezialisten beheben ständig dieselben Fehler, während die Gefahr einer Sicherheitsverletzung durch eine relativ einfache Hintertür, die offen gelassen wird, groß ist.
Wenn unsere Daten sicher bleiben sollen, müssen CISOs und CIOs kreativ mit der Art und Weise umgehen, wie ihre Teams zusammenarbeiten, und eine Kultur der positiven Sicherheit und geteilten Verantwortung von oben nach unten entwickeln. Schauen Sie sich nur die katastrophalen Folgen an Marriott als Folge ihres Verstoßes von 2018: Eine DSGVO-Geldbuße von über 123 Millionen US-Dollar, mehr als 500 Millionen gestohlene Datensätze und ein Ruf in Sachen Sicherheit in Trümmern. Diese Katastrophe ereignete sich größtenteils als direkte Folge unsicherer Codierungspraktiken, nämlich SQL-Injection-Schwachstellen wurden bereits 2014 auf Starwoods-Servern aufgedeckt, ein Unternehmen, das 2016 von Marriott übernommen wurde. Ihre spätere Verwendung der Software blieb aus Sicht der Anwendungssicherheit eindeutig unkontrolliert. Dadurch hatten böswillige Angreifer mehrere Jahre Zeit, auf Daten zuzugreifen und diese zu erwerben, während andere Sicherheitslücken, wie schwache Passwörter, im Laufe der Zeit immer mehr Lücken hinterließen, die es auszunutzen galt.
CIOs und CISOs müssen den Zustand ihres eigenen Softwaresicherheitsklimas sehr sorgfältig abwägen. Wie sicherheitsbewusst ist ein durchschnittlicher Entwickler? Wie gut arbeiten die AppSec- und Entwicklungsteams zusammen? Es gibt keinen „Zauberstab“, aber die Unternehmenskultur, das Training und der Support können weiterentwickelt und verbessert werden. Entwicklungsteams Dose Verwandeln Sie sich von der ersten Linie, in der das Risiko von Datenschutzverletzungen im Unternehmen besteht, zu Sicherheits-Superhelden, die schlechten Code stoppen, bevor er überhaupt in Produktion geht.
Gesundheitscheck beim sicheren Programmieren: Ist Ihr System lebenserhaltend?
Wo passt dein eigenes Entwicklerteam hin? Ich habe diese Checkliste für sicheres Programmieren erstellt, um CIOs und CISOs dabei zu helfen, herauszufinden, ob ihre Entwicklungsteams wirklich in der Lage sind, Experten für sicheres Programmieren zu werden und Innovationen mit schnellerem, besserem und sichererem Code voranzutreiben (oder ob Sie tatsächlich eine Überarbeitung des Sicherheitsprogramms benötigen):
1. Wie unterstützend ist der Rest Ihrer C-Suite? Verstehen sie, dass herkömmliche Netzwerksicherheit nicht mehr ausreicht?
In der Zukunft der Software ist die Absicherung der Netzwerkebene mit veralteten Sicherheitsmaßnahmen einfach nicht gut genug (und, seien wir ehrlich, ist es sowieso selten erfolgreich), selbst gegen semiprofessionelle Hacker. Neben vielen konsistenten Berichten Verizons „Bericht zur Untersuchung von Datenschutzverletzungen 2017“„gibt an, dass erstaunliche 35 Prozent der Datenschutzverletzungen heute durch Sicherheitslücken in Webanwendungen verursacht werden.
Die Sicherheit von Webanwendungen ist genauso wichtig wie die Netzwerksicherheit. Wenn Sie dies ignorieren und das Budget für die grundlegenden, grundlegenden AppSec-Maßnahmen nicht einhalten und diese nicht implementieren, können Sie einer Sicherheitsverletzung ausgesetzt sein.
2. Verschiebst du weit genug nach links und machst du das früh genug?
Der aktuelle Ansatz zur Anwendungssicherheit ist ziemlich toollastig und konzentriert sich darauf, im Softwareentwicklungszyklus (SDLC) von rechts nach links zu wechseln. Dieser Ansatz erkennt per Definition und Design an, dass der Prozess fehlerhaft ist, und unterstützt die Erkennung und Reaktion. Sicherheitsteams suchen und erkennen Schwachstellen in Code, der bereits geschrieben wurde, und reagieren, um festgeschriebenen Code zu reparieren, anstatt sicherzustellen, dass er bereits bei der Erstellung fehlerfrei ist. Laut dem National Institute of Standards and Technology (NIST), es ist 30-mal teurer, Sicherheitslücken in festgeschriebenem Code zu erkennen und zu beheben als es darum geht, sie zu verhindern, da sie in der IDE geschrieben sind. Dies berücksichtigt nicht einmal die Produktionsverzögerungen, die doppelte Bearbeitung und die Zeit, die für die wiederholte Behebung derselben bekannten Sicherheitsprobleme aufgewendet wird.
Eine wirklich robuste Sicherheitskultur besteht darauf beginnend links, um Sicherheitsexperten innerhalb der Entwicklerkohorte zu inspirieren und gleichzeitig dem Entwicklungsteam die richtigen Tools und Schulungen an die Hand zu geben, um mit einer sicheren Programmiermentalität zu wachsen und zu handeln. Der Schwerpunkt liegt auf der kontinuierlichen Selbstentwicklung und darauf, ihre Problemlösungsmuskeln zu trainieren, damit sie die erste Verteidigungslinie in ihrem Unternehmen sein und verhindern können, dass häufig auftretende Sicherheitslücken von vornherein auftreten.
3. Machst du dir die Mühe, praktische Sicherheitsfertigkeiten aufzubauen, oder vermittelst du nur einseitiges Wissen?
Die überwiegende Mehrheit der Sicherheitsschulungslösungen (online und CBT) konzentriert sich auf den Aufbau von Wissen und nicht auf praktische Fähigkeiten, die direkt mit ihrer Arbeit zusammenhängen. Damit Entwickler erfolgreich sein und sich mit dem Schreiben von sicherem Code beschäftigen können, benötigen sie regelmäßigen Zugang zu kontextbezogenem, praktischem Lernen, das sie aktiv dazu ermutigt, ihre Fähigkeiten in einer realen Umgebung weiter zu schulen und weiterzuentwickeln. Sie müssen sich anhand von echten Codebeispielen über kürzlich identifizierte Sicherheitslücken informieren und in der Lage sein, in ihren bevorzugten Sprachen und Frameworks zu arbeiten. Diese Lernerfahrung hilft ihnen effektiv dabei, zu verstehen, wie sie bekannte Sicherheitslücken in dem Code, an dem sie im Rahmen ihrer Arbeit aktiv arbeiten, lokalisieren, identifizieren und beheben können.
Zwar gibt es viele sachkundige Lehrer und jede Menge Informationen zur Behebung von Sicherheitslücken, aber das Durchblättern von Lehrbüchern oder das Anschauen stundenlanger Videos weckt bei vielen kreativen, problemlösenden Entwicklern nicht den Verstand, und wenn der ständige Strom von Datenschutzverletzungen ein Hinweis darauf ist, bleibt er weitgehend unwirksam, um zu verhindern, dass Sicherheitslücken in Code eindringen.
4. Messen Sie Ihre Fähigkeiten zum sicheren Programmieren mit Echtzeit-Metriken?
Ein wichtiger Schritt, um sicherzustellen, dass innerhalb eines Entwicklungsteams eine Denkweise entwickelt wird, bei der Sicherheit an erster Stelle steht, besteht darin, Beweise zu sammeln und zu überprüfen. Dies sollte keine Annahme oder ein Ratespiel sein: Entwickler sind entweder sicherheitsbewusst oder nicht.
Metriken sollen dem Entwickler und seinem Unternehmen beweisen, dass sich seine harte Arbeit auszahlt und dass sich seine individuellen Fähigkeiten zur sicheren Codierung verbessern. Was man nicht messen kann, kann man nicht verbessern. Es sollte relevante Bewertungen geben, und diese sollten Ihnen helfen, den Fortschritt Ihrer Entwicklungsteams in Echtzeit zu ermitteln und ihre Stärken und Schwächen im Bereich der sicheren Codierung zu vergleichen, um sie kontinuierlich zu verbessern.
Allzu oft werden Sicherheitsschulungen für Unternehmen zu einer Übung, bei der nicht darauf geachtet wird, sicherzustellen, dass diese Schulung effektiv ist, in Anspruch genommen oder sogar beibehalten wird.
5. Verwenden Ihre ausgelagerten Anbieter robuste sichere Codierungstechniken?
Viele Organisationen beschließen, Entwicklungsarbeiten an Drittanbieter zu vergeben. Unabhängig davon, ob sie an Land oder im Ausland existieren, sind ihre allgemeinen Fähigkeiten und Praktiken zur sicheren Codierung für ihre Kunden ein relativ rätselhaftes Rätsel. Im besten Fall ist die einzige Form der Zusicherung, die ein Unternehmen in Bezug auf die Sicherheit erhält, eine Aussage im Vertrag, die vorschreibt, dass das Ergebnis „sicher“ ist. Nur sehr wenige Unternehmen ergreifen Maßnahmen, um die Fähigkeiten dieser Entwicklungshäuser im Voraus zu überprüfen, und laufen daher Gefahr, dass sie Software erhalten, die zwar wie beschrieben funktioniert, aber ohne solide sichere Codierungspraktiken entwickelt wurde. Schlimmer noch, wenn das kaufende Unternehmen keine inhärenten Sicherheitslücken in der Anwendung bemerkt, riskiert es, anfällige Software in die Wildnis zu schicken.
Das häufigste Szenario ist, dass alle Sicherheitslücken von engagierten Sicherheitsspezialisten (Personen, die schwer zu finden sind und hohe Kosten verursachen) aufgedeckt werden. Es kommt zu einer Verzögerung Ihres Go-Live-Termins und möglicherweise zu Vertragsgesprächen darüber, wer für die Behebung dieser Sicherheitslücken bezahlen muss. Wenn Sie jedoch von Anfang an klug vorgehen und die Fähigkeiten der Entwickler zur Anwendungssicherheit einschätzen, die Ihre nächste Anwendung entwickeln werden, sparen Sie sich eine Menge potenzieller Verzögerungen, Frustration und bares Geld.
6. Kennen Ihre Entwickler die am häufigsten ausgenutzten Sicherheitslücken?
Mehr als 85 Prozent der Sicherheitslücken in ausgenutzten Webanwendungen sind auf nur 10 bekannte Sicherheitslücken zurückzuführen. OWASP Top 10. Ihre Schulung zur Anwendungssicherheit muss mindestens diese und viele weitere Arten von Sicherheitslücken abdecken. Die Schulungsherausforderungen, mit denen Ihre Entwickler zu kämpfen haben, müssen regelmäßig überarbeitet und aktualisiert werden, wobei entweder neue Programmier-Frameworks oder neue Schwachstellentypen mit neuen Herausforderungen verbunden sind.
Präzisionstraining mit realen sicheren Codierungsszenarien sollte der Standard sein; vages Allgemeinwissen ist einfach nicht effektiv. (Sie fragen sich, wie diese sicheren Codierungsszenarien aussehen könnten? Schauen Sie sich unsere an Programmierer erobern die Sicherheit Blog-Serie; in jedem Beitrag gibt es eine spielbare Herausforderung).
7. Haben Sie interne Sicherheitsexperten?
Jedes Unternehmen mit vielen Entwicklern sollte in einen Sicherheitsexperten investieren — jemanden, der die Verantwortung für die Aufrechterhaltung eines hohen Sicherheitsstandards innerhalb des Entwicklungsteams übernimmt. Ihr Ziel ist es, eine Anlaufstelle für alle zu sein, die Fragen zur Sicherheit haben, und sich als Hauptvertreter für die Einhaltung bewährter Sicherheitsmethoden einzusetzen.
Sie sind ein wichtiger Teil des Puzzles der Sicherheitskultur. Ein großer Sicherheitsexperte kann die Dynamik intensiver Schulungen aufrechterhalten, sicherstellen, dass alle Teammitglieder über das verfügen, was sie benötigen, und sich weiterhin für Unterstützung einsetzen.
8. Haben Sie in Tools für Ihre Entwickler investiert, um sicheres Programmieren zu vereinfachen?
Wenn in Ihrem Unternehmen agile Entwicklung praktiziert wird, oder Sie tatsächlich mit häufigen Updates für firmeneigene Anwendungen konfrontiert sind, ist die Automatisierung von Teilen Ihrer Sicherheit eine der einzigen Möglichkeiten, mit dem rasanten Tempo und dem Arbeitsvolumen Schritt zu halten.
In jeder Phase des SDLC stehen Tools zur Verfügung, die als Berater, Qualitäts-Gatekeeper oder Erkennungsinstrumente dienen können. Darüber hinaus führen einige Tools automatische Tests des Codes durch und simulieren Hackerversuche, sobald die Software in Produktion ist. Alle haben ihre eigenen Vor- und Nachteile, und keines kann eine 100-prozentige Garantie bieten, dass innerhalb der Anwendung keine Sicherheitsbedrohungen bestehen. Die wichtigste Präventionsmaßnahme, die Sie ergreifen können, ist: Je früher Sie die Schwachstelle erkennen können, desto schneller und kostengünstiger ist es, sie mit den geringsten Auswirkungen auf Ihr Unternehmen zu beheben.
Der nächste Schritt für zukunftsorientierte CISOs
Also, wie hat Ihre Organisation im Vergleich zur obigen Checkliste abgeschnitten?
CISOs und CIOs sind zwar im Wesentlichen gezwungen, ihre DevOps- und DecSecOps-Funktionen für Unternehmen aggressiv auszubauen, aber das bedeutet nicht, dass keine Zeit bleibt, die richtigen Tools und Schulungen teamübergreifend zu implementieren. Sichere Programmierkenntnisse werden eine Waffe sein, „kein Hindernis“ für Innovationen, und ihr Verzicht auf sie könnte die absolute Zerstörung des Rufs und der Daten des Unternehmens bedeuten. Diese Fähigkeiten stellen wichtige Fähigkeiten dar und stellen eine viel kostengünstigere langfristige Lösung zur Reduzierung von Sicherheitslücken und zur Minderung von Risiken dar.
Ein brillanter, innovativer CISO ist in der Lage, eine gesunde Sicherheitskultur von oben nach unten zu orchestrieren. Stellen Sie sicher, dass Ihre Mitarbeiter über das verfügen, was sie benötigen, um die besten Sicherheitsmethoden effektiv umzusetzen.
Pieter Danhieux ist Sicherheitsexperte und Mitbegründer von Sicherer Codekrieger.
%20(1).avif)
.avif)
