Statisch Vs. Dynamisches Cybersicherheitstraining: Impulsive Compliance, zukünftige Probleme
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Zwar werden sich regulatorische Initiativen im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.
Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.
Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.
Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.
Narren stürmen rein (zum falschen Training)
Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.
Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:
„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.
Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.
Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.
Statisches Training und statische Tools haben die gleichen Probleme
Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.
Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.
Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.
Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.
Dynamisches Training: der Goldstandard
Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.
Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.
Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.
Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?
Es wird sein:
- Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
- Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
- Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
- Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
- Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.
Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
