Blog

Sichere Entwicklung sollte das Immunsystem von AppSec sein

August 24, 2021
Sicherer Codekrieger

Als Experte für Anwendungssicherheit ist es Ihre Aufgabe, die Cybersicherheit der Anwendungen Ihres Unternehmens zu gewährleisten. Sie sind jedoch nicht dafür verantwortlich, den Code zu schreiben, auf dem die Anwendung ausgeführt wird. Ingenieure innerhalb des Entwicklungsteams sind es. Wie stellen Sie also sicher, dass sie diese Systeme unter Berücksichtigung der Sicherheit entwickeln?

Höchstwahrscheinlich machst du einige oder sogar alle der folgenden Dinge:

  • Überprüfung des gesamten Codes auf Sicherheitslücken und Meldung dieser an das Entwicklungsteam zur Behebung.
  • Durchsetzung eines strengen Peer-Review-Prozesses während Ihres gesamten sicheren Entwicklungslebenszyklus.
  • Durchführung regelmäßiger Anwendungsbewertungen/Penetrationstests durch interne oder externe Sicherheitsteams.
  • Implementierung von Scan-Tools zur Erkennung von Sicherheitslücken.

Dies sind großartige bewährte Methoden, aber sie sind auch teuer und ähneln der Einnahme einer Antibiotikarunde jedes Mal, wenn Sie krank werden. Das ist nicht nur mit hohen Kosten verbunden, es verliert auch an Wirksamkeit und kann Ihr Immunsystem im Laufe der Zeit schwächen.

Wie stellen Sie tatsächlich sicher, dass der Code, den Entwickler ausliefern, überhaupt sicher geschrieben ist?

Abgesehen von der sicheren Codierung sollten Sie zunächst darüber nachdenken, wie Menschen lernen. Die meisten von uns sind visuelle Lerner und lernen durch Handeln. Dennoch werden Schulungen zum Thema „Sicherheitscode“ oft als „Häkchen“ -Aktivität angeboten und sind für die tägliche Arbeit eines Entwicklers nicht relevant. Es soll nachweisen, dass Entwickler häufig Sicherheitsschulungen absolviert haben, um den Industriestandards zu entsprechen, und nicht, dass Entwickler dieses Wissen tatsächlich behalten, geschweige denn Spaß am Lernprozess haben.

Menschen neigen auch dazu, durch unsere Fehler zu lernen, auf die gleiche Weise wie unser Immunsystem. T-Zellen erinnern sich, auf welche Art von Krankheitserregern sie in der Vergangenheit gestoßen sind und die sie erfolgreich ausgerottet haben, sodass sie sich in Zukunft vor ihnen schützen können. Das ist genau die Rolle, die Entwickler in Ihrem sichern SDLC.

Es ist unrealistisch zu erwarten, dass sie keine Fehler machen, aber Sie können sie so vorbereiten, dass Sie Codierungsmuster erkennen können, die in Zukunft zu Sicherheitslücken führen werden.

Dies ist auch der Grund, warum ein robustes Peer-Review-Verfahren so mächtig wird. Nur weil ein Entwickler eine Sicherheitslücke nicht bemerkt, heißt das nicht, dass ein anderer nicht bemerkt. Und je besser das gesamte Entwicklungsteam geschult ist, desto wahrscheinlicher ist es, dass Sicherheitslücken im Nu erkannt werden und es nie in die Produktion schaffen.

Software-Sicherheitslücken sind wie Krankheitserreger

Software-Sicherheitslücken sind in dem Sinne wie Krankheitserreger, man muss sich an sie erinnern, um sie bekämpfen zu können. Bei Krankheitserregern muss unser Immunsystem oft mehrfach exponiert werden, bevor es sich daran erinnert, wie es sie bekämpfen kann, um schwere Krankheiten oder Schlimmeres zu vermeiden.

Ein erfolgreicher Cyberangriff von anfälliger Software kann ein Unternehmen ernsthaft lahmlegen oder zum Erliegen bringen. Wenn Entwickler jedoch zuerst in einer kontrollierten Umgebung mit Software-Sicherheitslücken vertraut gemacht werden, können sie daran arbeiten, eine Immunität gegen diese Bedrohungen aufzubauen, indem sie ihre Kenntnisse und Fähigkeiten im Bereich der sicheren Codierung erweitern und regelmäßig üben.

Setzen Sie Entwickler Sicherheitslücken in einer kontrollierten Umgebung aus

Wir können uns nie vollständig davor schützen, krank zu werden, aber es gibt Dinge, die wir tun können, um unser Immunsystem zu stärken und so gesund wie möglich zu bleiben. Dinge wie regelmäßige Bewegung, gesunde Ernährung und viel Schlaf gehören zu den Lebensgewohnheiten, die häufig mit einem starken Immunsystem in Verbindung gebracht werden. Aber all diese Dinge erfordern ein wenig Aufwand und müssen kontinuierlich sein. Eine Woche lang jeden Tag joggen oder einen Monat lang auf das Trinken verzichten, wird Ihre allgemeine Gesundheit kaum beeinträchtigen. Es ist auch nicht ratsam, am ersten Tag, an dem wir mit dem Laufen beginnen, rauszugehen und 10 km zu laufen. Wir müssen zuerst unser Herz und unsere Muskeln der Übung aussetzen. Wir wissen auch, dass es ein bisschen Experimentieren erfordert, bis wir ein gutes Gleichgewicht zwischen unserem Körper und gesunden Lebensmitteln und Übungen, die wir lieben, gefunden haben.

Es ist nicht so anders, wenn es um sichere Softwareentwicklung geht. Das Lernen erfolgt im Laufe der Zeit und mit der Praxis, und Entwickler benötigen dieselbe fortlaufende Schulung, um ihre Fähigkeiten im Bereich der sicheren Codierung regelmäßig zu verbessern. Ganz zu schweigen davon, dass sich die Softwareentwicklung ständig weiterentwickelt und sich anpasst, was auch die Sicherheitslücken bedeutet. Deshalb reicht eine einfache Schulung nicht aus. Entwickler müssen regelmäßig geschult werden, um mit potenziellen Bedrohungen vertraut genug zu sein, um angemessen gegen sie gewappnet zu sein.

Ziel ist es, innerhalb des Entwicklungsteams eine Herdenimmunität zu erreichen

Eine einzelne Person kann nicht alle Sicherheitsprobleme verhindern. Es ist toll, Sicherheitsexperten im Team zu haben, aber um den besten Schutz zu erhalten, gilt: Je mehr Mitarbeiter über Sicherheitslücken und deren Vermeidung erfahren haben, desto bessere Chancen hat Ihr Unternehmen, sie zu verhindern. Auch hier ist es nicht viel anders als die Tatsache, dass das Immunsystem verschiedene Typen von T-Zellen für unterschiedliche Zwecke verwendet. Jeder einzelne Entwickler ist Teil eines Teams, das für Sicherheit sorgt. Wenn sie befähigt sind, Verantwortung zu übernehmen, es gut zu machen und sogar Spaß daran haben, dann können Sie innerhalb des Entwicklungsteams eine Herdenimmunität gegen Cyberbedrohungen schaffen.

Create Herd Immunity Against Cyber Threats Within The Development Team

Behalten Sie die Sicherheit bei wiederholter Exposition im Auge

Unser Gehirn lernt auf ähnliche Weise, wie unser Immunsystem funktioniert. Deutscher Psychologe Herman Ebbinghaus war ein Pionier auf dem Gebiet des Gedächtnisses und Lernens. Er folgerte daraus, dass Lernen im Laufe der Zeit und mit mehreren Lernsitzungen erfolgen muss. Wenn wir in der Schule sind, wird von uns nie erwartet, dass wir nach der ersten Einführung neues Wissen beibehalten. Zuerst werden uns die Informationen präsentiert, dann üben wir sie unter Anleitung und dann üben wir sie selbst. Und selbst wenn wir es gut genug gelernt haben, um eine Prüfung zu bestehen, neigen die Informationen dazu, kurz darauf vergessen zu werden, wenn wir das Wissen, für das wir Zeit und Mühe aufgewendet haben, nicht regelmäßig anwenden. Wie viele von uns können von sich behaupten, dass sie sich an ihr Highschool-Französisch erinnern?

Wie können wir also glauben, dass ein einziger Tag, an dem wir uns Folien ansehen und jemandem zuhören, der über Sicherheit spricht, tatsächlich dazu führen würde, dass die anwesenden Entwickler sicherer programmieren?

Muster wiederkehrender Sicherheitslücken zeigen uns, dass dies einfach nicht funktioniert.

Wie erreicht man eine sichere Entwicklungsimmunität?

Die Antwort liegt in unserer Natur. Unser Körper und unser Geist funktionieren auf die gleiche Weise und sie bieten wunderbare Lösungen für Probleme, solange wir mit ihnen und nicht gegen sie arbeiten.

Um sicherzustellen, dass Ihre Anwendungen sicher sind, müssen Sie zunächst Entwickler darin schulen, sicheren Code zu schreiben. Andernfalls wird AppSec weiterhin ihre gesamte Zeit damit verbringen, den gesamten Code auf Sicherheitslücken zu überprüfen und dieselben wiederkehrenden Sicherheitslücken an die Entwicklung zurückzumelden, nur um schnell behoben zu werden, ohne dass etwas gelernt wurde. Und dann machen Sie alles noch einmal für die nächste Version.

Lassen Sie uns das noch einmal wiederholen.

Healthy Security Immune System

Wenn Sie dabei mit Ihren Entwicklungsmanagern zusammenarbeiten, implementieren Sie nicht nur ein sicheres SDLC und kreuzen das Kästchen für die Einhaltung der Sicherheitsschulungen an, sondern Sie werden auch einen realen Einfluss auf den Entwicklungsprozess haben. Um dem Ganzen noch einen drauf zu setzen: AppSec wird nicht mehr auf Sicherheitslücken stoßen und diese den Entwicklungsteams melden und Entwickler werden weniger Zeit damit verbringen, sie zu beheben. Das bedeutet, dass sie mehr Zeit damit verbringen können, die fantastische Software zu entwickeln und zu verbessern, die unsere Welt besser macht.

Sind Sie bereit, Ihr Entwicklungsteam weiterzubilden? Mach weiter und eine Demo buchen bei uns.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo