Wie die australische Regierung die nationale Widerstandsfähigkeit gegenüber Cybersicherheit stärken und Bedrohungen standhaft abwehren kann
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich eingestuft wurde, aber reicht ihre Strategie weit genug?
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
