您是否高估了组织的安全成熟度?
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
由于持续的技能短缺与为满足世界软件需求而编写的大量代码背道而驰,许多企业的网络安全战略和现有基础设施都落在了后面。现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
