スタティック対.ダイナミック・サイバーセキュリティ・トレーニング:衝動的なコンプライアンス、今後の問題
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
規制イニシアティブは時間の経過とともに改善され拡大することは間違いありませんが、組織がすでにパニックに陥り、今すぐトレーニングを開始している場合、将来に向けた準備が整っていないことに気付くかもしれません。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
サイバー犯罪という巨大で複数の脅威に世界がどのように取り組むべきかを議論する記事、イニシアチブ、委員会が無数にあり、「サイバーセキュリティコンプライアンス」は長年にわたってトレンドになっているように感じます。
問題は、私たちが作っていないようだということです それを 大いなる進歩。世界的に見ると、データ漏えいによるコストは着実に増加傾向にあり、5年間で 12% 増加し、ほぼ解消されました。 392万米ドル 1 件あたりの違反件数 2019年に。わずか数十年の間にインターネットの利用が爆発的に拡大したため、多くの企業は、急速にオンライン化して店舗を立ち上げ、安全でないソフトウェア、限られたアプリケーションセキュリティリソース、場合によっては顧客からの信頼の悪用による影響に対処し、対策を講じることなく戦うしかありませんでした。
最近、私たちは反論の余地のないほど成熟しています。私たちは脅威の範囲を理解し、詳細に議論しています。企業はサイバー攻撃が顧客センチメント、自社の評判、収益に与える影響を十分に認識しており、多くの場所がコンプライアンストレーニング、熟練した雇用、そしてますます増えているDevSecOpsイニシアチブを通じて、ソフトウェアセキュリティの向上を積極的に模索しています。このような大きな飛躍にもかかわらず、私たちはこの戦いに勝っているわけではなく、間近に迫っているわけでもありません。少なくともあったことはある 40億件の記録が盗まれた 2019年のデータ漏えい件数だけでも
欠けている要素の1つは、サイバーセキュリティ基準、期待、および侵害の結果について(政府レベルで)いくぶんゆっくりとしたトリクルダウンがあったことです。の出現 GDPR 少なくともヨーロッパでは、一部の首脳が集まり始めていますが、多くの政府機関が追いつき始めたばかりであり、新たに開花したコンプライアンスイニシアチブに迅速に従うことが突然必要になったことで、将来的に望ましくない影響が生じる可能性があります。
愚か者は突っ込んで(間違った訓練を受ける)
という形での確固たるガイドライン ニスト、新しい規制 ニューヨーク州 そしてその形成 英国サイバーセキュリティ評議会 私たちのデータを安全に保つために善戦を戦っている人々にとって、これらはすべて途方もない勝利でした。彼らは現在のソフトウェア開発における問題を認識し、セキュリティのベストプラクティスの観点から、倫理的でコンプライアンスに準拠していると見なされるために現在満たさなければならない基準について組織を導くための措置を講じています。
残念ながら、この段階では、最も重要な要素のいくつかは少し解釈の余地がありません。たとえば、英国サイバーセキュリティ理事会の法律で義務付けられているのは、以下のとおりです。
「すでに実施されているキャリアパスの取り組みに基づいて、認定資格の明確なリストと、それらがどのように相互に関連し、どのような能力が発揮されるかについてのわかりやすいフレームワークを作成すること。」
彼らの取り組みは間違いなく時間とともに改善され成長しますが、組織がすでにパニックに陥り、今トレーニングに飛び込んでいるのであれば、将来に向けた準備が整っていないことに気付くかもしれません。
組織のサイバーセキュリティに対する要求は急速に変化しており、静的なトレーニングソリューションが安全でないソフトウェアの流れを必要な速度で阻止することはまずありません。状況は、従来のコースでは更新できないほど速く変化しています。そのため、一部の場所は「チェック・ザ・ボックス」のコンプライアンス演習の罠に陥る可能性があります。開発者、請負業者、その他のセキュリティ専門家は十分なトレーニングを受けられず、私たちはただのダック状態に戻っています。
静的トレーニングと静的ツールには同じ問題があります。
静的分析ツールはSDLCの不可欠な部分であり、ほとんどの大規模組織に見られる希少で過労なAppSecスペシャリストをスキャンする主力ツールとしての役割を果たしています。これらのツールはうまく機能しますが、欠点があります。「1つの」ツールですべての脆弱性をスキャンすることはできず、世の中の膨大なプログラミングフレームワークをサポートできるわけではありません。また、これは時間のかかるプロセスでもあり、1 つのセキュリティバグが侵入するだけで、攻撃者に門戸を開けることができます。
静的トレーニングでも同様の問題があります。開発者が厳密な「1回限りの」コースとしてセキュリティトレーニングを受けたとしても、その期間に最も蔓延しているセキュリティ問題に遅れずについていける可能性はほとんどありません。このコースは執筆時点のスナップショットであり、学生が好む言語とフレームワークで提供され、十分に再検討されることはほとんどありません。また、日常業務で直面する可能性のある脆弱性に関連する内容でもありません。数か月前に視聴した動画から関連情報の 1 つを思い出し、配信期限に間に合い、コードを公開しようとしていることを想像してみてください。そんなことは起こりそうにありません。
多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、私たちがまだ経験している膨大な量のデータ漏えい(特に、コーディングで何十年にもわたって回避する方法を知っている脆弱性のせいにできるもの)を見るだけで十分です。 SQL インジェクションのような)別の方法を試さなければならないことを理解するには。
サイバーセキュリティのベストプラクティスの絶え間なく変化するニーズに柔軟に対応できる、単一の直線的なコースの範囲を超えて、トレーニングが必要です。
ダイナミックトレーニング:ゴールドスタンダード
ビジネス、個人のスキルレベル、一般的な業界動向に合わせて迅速に形作ることができる動的なトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先に考え、セキュリティを意識して行動するための最適な基盤を開発者に提供できます。
誰にでも当てはまる、一度も見直さず、最初から取り組まないトレーニングは、完全に時間の無駄になります。残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があります。導入する前から時代遅れになっていたり、日常業務のニーズとほとんど関係がない場合もあります。
ダイナミックトレーニングは、日々のニーズに合わせて常に更新され、ユーザーの批判的思考を促す生き生きとしたツールです。 実際にスキルを学び、問題を解決する力を与えてくれます。
では、セキュリティの観点から見たダイナミック・トレーニング・プログラムはどのようなものなのでしょうか。
次のようになります。
- 一口サイズ: 開発者は、長々としたトレーニング資料やビデオよりもはるかに覚えやすい(そしてもっと重要なのは適用しやすい)管理しやすいまとまりでスキルを習得できる
- 関連する: 開発者が主にJavaでコーディングする場合、例がC#などにある一般的なセキュリティトレーニングは何の役に立ちますか?どのようなトレーニングも開発者の役割に直接適用して、コーディング中に何を見つけて修正すべきか (そして理想的にはそもそも避けるべきか) を見極めることができるようにすべきです。
- 現在: これは当たり前のようですが、多くの場合そうではありません。サイバーセキュリティ環境は常に変化しており、コードが増えるほど責任も増えます。開発者が防御の最前線に立つためには、最新のセキュリティベストプラクティスを常に把握できるトレーニングが必要です。
- 魅力的: 開発者が「セキュリティ」を面倒に感じることは周知の事実です。特に、それがクリエイティブな流れを妨げる場合はなおさらです。適切なトレーニングを受けることで、大きなリスクになりかねない日常的なセキュリティ問題を解決する能力を身につけ、責任とセキュリティ意識の文化を築くことができます。
- 楽しい: ダイナミックトレーニングが退屈なことはほとんどありません。設計上、少なくともある程度は刺激的であるはずです。開発者が好きなことについて考えてみてください。問題解決、同僚、そして私たちの多くがそうであるように、労働力、報酬、表彰において競争することです。彼らの強みを活かして、最高の結果を得ることに集中しましょう。
今はソフトウェアエンジニアにとってエキサイティングな時代です。彼らはデジタルイノベーションに不可欠な役割を果たし、素晴らしい企業を作る手助けをし、さらには自分の作品で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェア・セキュリティの基準を設定するうえで果たすべき役割を認識している今、官僚的なチェック・ワークではなく、安全なコーディングへの愛情を育む効果的でダイナミックなトレーニング・ソリューションで支援することが重要です。
%20(1).avif)
.avif)
