Dieses Interview erschien ursprünglich in Cyber-Nachrichten.
Trotz der Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Schwierigkeiten, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene hinzufügen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu besprechen, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und abzuwehren, traf sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Sicherer Codekrieger, ein Unternehmen, das eine Lernplattform und eine Reihe von entwicklerorientierten Tools anbietet, die Entwicklungsteams bei der Behebung von Sicherheitslücken unterstützen.
Wie war deine Reise? Wie ist die Idee von Secure Code Warrior entstanden?
Als junger Nerd war ich fasziniert davon, Technologie auseinanderzunehmen, um herauszufinden, was darin steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsam genutzten Geräte entschied ich mich schließlich dafür, bei Hard- und Software den gleichen Ansatz zu verfolgen und nach Möglichkeiten zu suchen, diese zu knacken und kaputt zu machen. Eine lebenslange Leidenschaft für Sicherheit war geboren, und viele Jahre lang konzentrierte ich mich darauf, meine „bahnbrechenden“ Fähigkeiten mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen und zu zeigen, wie man Fehler in Software findet, verwendet und missbraucht. Später konzentrierte ich mich wieder darauf, die Verteidiger weiterzubilden, Entwicklern gute, sichere Codierungsmuster in einer Unterrichtsumgebung beizubringen und ihnen zu helfen, häufige Sicherheitslücken zu verstehen und ihnen zu helfen, sie zu vermeiden. Ich war auch in der Beratung tätig, wo ich große Unternehmen darin beriet, wie sie ihre Sicherheitsprogramme verbessern könnten, insbesondere in Bezug auf die Einbindung von Entwicklern. In dieser Zeit habe ich Kontakt zu meinem heutigen Gründungsteam bei Secure Code Warrior aufgenommen. Gemeinsam verstanden wir die Probleme, mit denen sowohl die Sicherheits- als auch die Entwicklungsteams konfrontiert waren, wenn es um Sicherheitslücken auf Codeebene ging, sowie die Probleme, die bei den meisten Schulungslösungen auftraten, die auf die Verbesserung der Sicherheitsfähigkeiten von Entwicklern abzielten. Wir machten uns an die Arbeit an unserer Vision einer Lernplattform, die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend bleibt. Letztlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung der Entwickler zugeschnitten sind, weniger störend sind und ihnen helfen, eine Denkweise zu entwickeln, bei der Sicherheit an erster Stelle steht. Und wir haben uns vorgenommen, dies so sprachflexibel und inhaltsreich wie möglich zu gestalten.
Kannst du uns vorstellen, was du tust? Was sind die wichtigsten Herausforderungen, bei denen du hilfst?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine Lernplattform und eine Reihe von entwicklerorientierten Tools entwickelt, die Entwicklungsteams dabei unterstützen, häufig auftretende Sicherheitslücken zu erkennen, von denen viele schon seit Jahrzehnten bestehen und Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund dafür ist, dass es den Entwicklern an der Ausbildung und den Fähigkeiten mangelt, um diese Probleme auf Codeebene zu lösen, und dass sie sie häufig erst einführen, indem sie weiterhin schlechte Codierungsmuster und -techniken verwenden. Im Tertiärbereich wird ihnen kein sicheres Programmieren beigebracht, und die meisten Schulungsprogramme am Arbeitsplatz sind ineffektiv, wenn es darum geht, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und sie kommen auch zu selten vor, um im Laufe der Zeit wirklich Auswirkungen auf die Codequalität und -sicherheit zu haben. Unsere Lösungen zielen darauf ab, ansprechende, relevante Fähigkeiten zu entwickeln, die das Programmierverhalten verändern und ihnen helfen, Sicherheit in der realen Welt an die erste Stelle zu setzen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am besten vertraut sind, und unser Fokus auf kontextbezogenes Lernen bietet Benutzern die beste Chance, wichtige Bildungsergebnisse beizubehalten. Wir bemühen uns auch, dies so zu tun, dass Entwickler Sicherheit in einem positiven, unterhaltsamen Licht sehen, das Erfolg belohnt und eine Community aufbaut.
Da es für manche mühsam klingt, etwas über sicheres Programmieren zu lernen, wie schaffen Sie es, Ihr Training effektiv und dennoch unterhaltsam zu gestalten?
Unsere Flaggschiff-Lernplattform wurde mit Blick auf das Engagement der Entwickler entwickelt. Eine der beliebtesten Funktionen ist der Turniermodus, in dem die Teilnehmer das Wissen, das sie während des Trainings erworben haben, gegen Gleichaltrige testen können. Punkte werden für jede richtige Antwort vergeben und während der gesamten Turniersitzung werden die Bestenlisten live aktualisiert. Wir haben diese Spiele auf Community-Events und Konferenzen veranstaltet, und einige unserer Kunden haben unglaublich komplizierte Themen entworfen, bei denen jeder verkleidet ist. Es ist eine großartige Teambuilding-Erfahrung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause vom normalen Alltag zu feiern. Darüber hinaus sind unsere Inhalte im Allgemeinen in mehr als sechzig Programmier-Frameworks verfügbar, wobei echte Codefragmente verwendet werden, die sie bei ihrer täglichen Arbeit tatsächlich sehen werden. Es ist viel einfacher, bei der Stange zu bleiben, wenn die Inhalte hochrelevant sind und bei der Lösung echter Probleme helfen, als wenn Sie sich Videos ansehen oder eine jährliche Konformitätsprüfung durchführen müssen.
Was sind Ihrer Meinung nach die größten Herausforderungen, vor denen Entwickler heutzutage stehen?
Ich denke, es ist wichtig, klarzustellen, dass Entwickler gute Leistungen erbringen wollen, aber sie wurden in ihrer Ausbildung oder Karriere nicht ausreichend in Bezug auf Sicherheit geschult. Dies ist der Schlüssel zu vielen Problemen, mit denen sie aus Sicherheitsgründen konfrontiert sind. Sie neigen auch dazu, Sicherheit außerhalb ihres Zuständigkeitsbereichs zu sehen, und in der überwiegenden Mehrheit der Unternehmen enthalten ihre KPIs nichts, was mit sicheren Codierungsergebnissen zu tun hat.Wenn wir eine Veränderung der Anzahl von Sicherheitslücken auf Codeebene sehen wollen, muss dieser Status Quo durchbrochen werden. Entwickler benötigen jedoch die richtige Unterstützung und die richtigen Tools, um den Wandel, den wir uns wünschen, zu verwirklichen. Die Herausforderung liegt in der effektiven Unterstützung, ihnen Zeit zum Training zu geben und jetzt in diese Weiterbildung zu investieren, um später schnell Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihr Arbeitsfeld ausgewirkt?
Zwar spürte zweifellos jedes Unternehmen einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets, aber wir hatten das Glück, den Sturm bisher überstanden zu haben. Cybersicherheit ist in den meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Was sind einige der Best Practices, die Unternehmen bei der Entwicklung von Software oder Anwendungen befolgen sollten?
Jedes Unternehmen hat seine Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, um die Ecke zu denken und andere Ansätze auszuprobieren. Sie vergessen nicht, dass Menschen in der Lage sind, die Sicherheitsergebnisse positiv zu beeinflussen. In den meisten Fällen spielen Entwickler in einem Sicherheitsprogramm keine große Rolle. Angesichts der weltweiten Qualifikationslücke im Bereich Sicherheit, die in absehbarer Zeit wahrscheinlich nicht geschlossen werden wird, können sicherheitsorientierte Entwickler jedoch dazu beitragen, Risiken zu reduzieren und die Einhaltung von Vorschriften aus Sicht der Softwareentwicklung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses Wirkung zeigen.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Codierungstools den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte über eine Art rollenbasiertes Sicherheitstraining verfügen. Abgesehen von Exploits auf Codeebene, die von Bedrohungsakteuren genutzt werden, gibt es eine Vielzahl von Bedrohungen. Daher muss jede einzelne Person im Unternehmen regelmäßig über Sicherheitsprinzipien verfügen, die sie für ihre Arbeit anwenden. In diesem Sinne sollte jeder, vom Büroleiter bis zum Buchhaltungsteam, die Rolle, die er bei Maßnahmen und Sensibilisierung für Cybersicherheit spielt, verstehen und akzeptieren.
Angesichts des aktuellen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den niedrigsten Kosten zu gewährleisten. Welchen Rat hätten Sie für sie?
CISOs müssen in diesem Umfeld etwas Kreativität einsetzen, insbesondere da die Cybersicherheitsgesetze immer anspruchsvoller werden und in einigen Fällen dazu führen, dass CISOs im Falle eines Verstoßes persönlich zur Rechenschaft gezogen werden. Hinzu kommen Entlassungen, und Sie haben eine Situation, in der von weniger Ingenieuren erwartet wird, dass sie mehr Verantwortung übernehmen, während sie dieselbe Menge an Software schreiben. CISOs können dem Unternehmen helfen, seinen Erfolg zu sichern, indem sie eines der größten Hindernisse angehen, das sie ausbremst: die Sicherheit.
Der mit Abstand günstigste Schritt, um Sicherheitslücken und Fehlkonfigurationen auf Codeebene zu beheben, ist vor der Auslieferung der Software, was den Entwickler natürlich in die beste Position versetzt, um dieses Risiko zu reduzieren. Um dies zu erreichen, benötigen sie jedoch maßgeschneiderte Unterstützung. Schnelle Sicherheit ist möglich, wenn sie der technischen Abteilung Tools zur Verfügung stellen, bei denen die Entwickler an erster Stelle stehen und deren aktueller Arbeitsablauf und Technologie-Stack berücksichtigt werden. Sie müssen befähigt werden, Sicherheitsgenauigkeit mit hoher Geschwindigkeit zu erreichen, und dieses Problem lässt sich am besten lösen, indem sie ihnen zeigen, wie sie sichere Codierungsmuster verwenden und Probleme schneller beheben können.
Gegen die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen daran arbeiten, Sicherheitslücken an der Quelle zu beseitigen und so später im Softwareentwicklungszyklus (SDLC) Zeit und Geld zu sparen. Angesichts der Häufigkeit groß angelegter Angriffe und einer höheren Haftung für CISOs als je zuvor in der Geschichte müssen wir aufhören, einem Fachkräftemangel im Bereich Cybersicherheit die Schuld dafür zu geben, dass er ins Hintertreffen gerät. Priorisieren Sie defensive Sicherheitspraktiken und stärken Sie das Personal, das sich bereits direkt vor Ihnen befindet.
Was hält die Zukunft für Secure Code Warrior bereit?
Wir wollen weiterhin innovativ sein, wobei die Entwickler bei den Lösungen, die wir auf den Markt bringen, stets im Mittelpunkt stehen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne Kompromisse bei der Geschwindigkeit der Bereitstellung von Funktionen oder ihrer geistigen Gesundheit einzugehen, wenn sie mehrere Prioritäten unter einen Hut bringen.
Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihr defensives Sicherheitsprogramm zu revolutionieren, und wir möchten, dass sicherheitsorientierte Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Bereich.
