Statisch Vs. Dynamisches Cybersicherheitstraining: Impulsive Compliance, zukünftige Probleme
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Zwar werden sich regulatorische Initiativen im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
%20(1).avif)
.avif)
