Ist Ihr Sicherheitsprogramm bereit für den Cybersicherheitsstrategieplan von CISA?
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Eine Version dieses Artikels erschien in Forbes. Es wurde hier aktualisiert und syndiziert.
Der strategische Plan für Cybersicherheit treibt wichtige Änderungen in der Art und Weise voran, wie die meisten Unternehmen mit Cybersicherheit umgehen, und Entwickler sind in einer einzigartigen Position, um zur Erreichung dieser neuen Ziele beizutragen.
Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) war seit seiner Gründung im Jahr 2018 nicht nur maßgeblich am Schutz der kritischen Infrastruktur und Computernetzwerke der Vereinigten Staaten beteiligt, sondern sein Einfluss und seine Expertise haben auch weltweit Nachhall gefunden. Die umfassende Beratung, Sicherheitshinweise, Schwachstellenberichte und Cybersicherheitsprogramme haben weltweit Maßstäbe für umsetzbare Best Practices gesetzt und damit die Bedeutung des kürzlich veröffentlichten Strategieplans CISA 2023-2025 im Bereich der globalen Cybersicherheit unterstrichen.
Der Einfluss und die Errungenschaften von CISA gingen auch weit über das hinaus, was die meisten Regierungsbehörden erreichen konnten, insbesondere wenn man bedenkt, dass es das Unternehmen erst seit ein paar Jahren gibt. Das liegt nicht zuletzt an der exponentielles Wachstum der Bedrohungslandschaft und der Tatsache, dass Angreifer bei ihren Angriffen und Ausnutzungsversuchen immer geschickter werden. Die CISA hat eine führende Rolle im Kampf gegen Cyberkriminelle und andere sogenannte Bedrohungsakteure übernommen. Sie verfolgt methodisch Trends und berät über bewährte Verfahren im Bereich Cybersicherheit.
Trotz all der hilfreichen Ratschläge und Anleitungen der Behörde hat sie jedoch noch nie zuvor einen strategischen Gesamtplan veröffentlicht, der die allgemeine Richtung für die Cybersicherheitsbemühungen in den nächsten Jahren vorgeben soll. Dies ist nicht nur eine weitere planen, aber ein Meilenstein, den viele Organisationen untersuchen und letztendlich umsetzen wollen. Die Tatsache, dass der Plan grundlegende Änderungen in der Art und Weise vorsieht, wie Cybersicherheit angegangen wird, könnte die Befolgung dieser Leitlinien erschweren, obwohl die Entwicklungsgemeinschaft in einer einzigartigen Position ist, um zu helfen, wenn sie die richtige Unterstützung, die richtigen Tools und Weiterbildungspfade erhält.
Eine Änderung der weltweiten Best Practices für Cybersicherheit steht bevor
Auf den ersten Blick wäre es leicht, ein gewisses Maß an Frustration im CISA-Strategieplan wahrzunehmen, aber CISA erkennt einfach an, dass wir weiterhin dieselben Ergebnisse erzielen werden, wenn wir weiterhin dieselben Dinge tun wie jetzt. Um die Cybersicherheit zu verbessern, sind umfassende Änderungen erforderlich, auch seitens der Unternehmen, die die heute verwendete Software und Anwendungen herstellen.
Zumindest teilweise mit dem Finger auf Software zu zeigen, ist ein Konzept, das bereits zuvor eingeführt wurde. In der Tat ist der Nationale Sicherheitsstrategie Aus den Vereinigten Staaten heißt es ausdrücklich, dass „schlechte Softwaresicherheit das systemische Risiko im gesamten digitalen Ökosystem erheblich erhöht“. Der CISA-Strategieplan enthält eine neue Strategie zur Bewältigung und Lösung dieses Dilemmas.
Die größte Änderung der Cybersicherheit, die von CISA befürwortet wird, besteht darin, diejenigen, die Software herstellen, herauszufordern, sichere Produkte zu liefern. Wenn bewährte Methoden für sichere Codierung etabliert und eingeführt werden, wird es in der Software weitaus weniger Sicherheitslücken geben, insbesondere größere, die von Angreifern ausgenutzt werden können. Ja, hier und da könnte immer noch etwas übersehen werden und es erfordert viel Sorgfalt, um es zu finden und zu beheben, aber das ist im Vergleich zum aktuellen Status Quo ein überschaubares Unterfangen: Hunderte von täglich entdeckten Sicherheitslücken überfordern die Verteidiger der Cybersicherheit. Die CISA stellt in ihrem Plan ganz klar fest, dass diejenigen, die Software und andere Technologien herstellen, für die Sicherheit ihrer eigenen Produkte verantwortlich sein müssen.
„Als Gesellschaft können wir kein Modell mehr akzeptieren, bei dem jedes Technologieprodukt in dem Moment, in dem es veröffentlicht wird, verwundbar ist und bei dem die überwältigende Sicherheitslast bei einzelnen Organisationen und Benutzern liegt“, heißt es im CISA-Strategieplan. „Technologien sollten so konzipiert, entwickelt und getestet werden, dass sie die Anzahl ausnutzbarer Sicherheitslücken minimieren, bevor sie auf den Markt gebracht werden.“
In dem Plan heißt es weiter, dass dieser neue Ansatz letztendlich mehr als suggestiv sein könnte, und besagt, dass die CISA „alle verfügbaren Hebel nutzen wird, um die Risikoentscheidungen der Unternehmensleiter zu beeinflussen“. Es deutet auch darauf hin, dass Gesetze wie der „Cyber Incident Reporting for Critical Infrastructure Act“ von 2022 (CIRCIA), das derzeit die Meldung von Cybervorfällen regelt, könnte als Modell dienen, um die freiwillige Einhaltung dieser neuen Vorschriften irgendwann verpflichtender zu machen. In jedem Fall wäre es für die meisten Unternehmen, die heute Software und andere Technologien herstellen, von Vorteil, wenn sie versuchen würden, sich hinter diese neuen Leitlinien zu stellen.
Die Leitlinien von CISA stellen eine wichtige Chance dar
Anstatt angesichts der Aussicht auf weitere potenzielle Vorschriften besorgt zu sein, sollten Unternehmen stattdessen die Gelegenheit nutzen, den CISA-Strategieplan zu nutzen, um bessere, qualitativ hochwertigere Software anzustreben. Dies ist nicht nur ein Aufruf zur Einhaltung gesetzlicher Vorschriften, sondern eine Gelegenheit für Entwickler, ihre Fähigkeiten zu verbessern und zu einer sichereren digitalen Landschaft beizutragen. Letztlich hilft die Entwicklung sicherer Software allen, auch dem Unternehmen, das sie herstellt, den Benutzern, die sich darauf verlassen, und den Personen, auf deren Daten von dieser Software oder Anwendung zugegriffen oder diese gespeichert wird. Nur die Angreifer gehen leer aus, wenn der Code, aus dem der Großteil der Software und Anwendungen besteht, so sicher wie möglich gemacht wird, bevor sie in eine Produktionsumgebung übergehen.
Angesichts dieser neuen Ausrichtung ist es sinnvoll, dass die Entwickler eines Unternehmens, die den gesamten Code schreiben oder als Quellcode verwenden, ein perfekter Ausgangspunkt sind, wenn es darum geht, sicherere Codierung zu implementieren und den CISA-Plan einzuhalten. Entwickler können dies jedoch nicht alleine ohne die Unterstützung des restlichen Unternehmens, insbesondere des oberen Managements, tun. Entwickler zu haben, die Sicherheitslücken verstehen, sicheren Code schreiben und Probleme erkennen, lange bevor sie in eine Produktionsumgebung gelangen, sind der Schlüssel dazu, dass Unternehmen letztendlich die Verantwortung für den Versand von Code übernehmen und, wie CISA es ausdrückt, „sicherstellen, dass Sicherheitslücken entdeckt und behoben werden, bevor Gegner sie nutzen können, um Schaden anzurichten“.
Eine wichtige Sache, die es zu beachten gilt, ist, dass die Schulung, die Entwickler benötigen, ziemlich fortgeschritten ist. Es ist für jemanden ein herausforderndes Unterfangen, konsistent sicheren Code zu schreiben, und Check-In-the-Box-Compliance-Maßnahmen sind dieser Aufgabe einfach nicht gewachsen. Entwickler benötigen agile Lernmethoden auf hohem Niveau, die praktische, verdauliche und kontinuierliche Lernergebnisse als Teil eines umfassenden Sicherheitsbewusstseinsprogramms bieten, um sicherzustellen, dass sie über die erforderlichen Fähigkeiten verfügen, um das vom neuen CISA-Plan geforderte Sicherheitsniveau aufrechtzuerhalten.
Idealerweise sollte die Weiterbildung zur Vorbereitung auf den CISA-Plan auch viele der fortschrittlichen Methoden und Programme beinhalten, die Entwickler täglich verwenden, wie z. B. die Prinzipien der agilen Entwicklung. Beispielsweise wird bei der agilen Entwicklung die Arbeit in überschaubare Teile aufgeteilt, wobei Sprints in einem kontinuierlichen Zyklus übereinander gelegt werden. Ein gutes Bildungsprogramm, das beinhaltet Agile Methoden können Entwicklern dabei helfen, sich schnell mit den Fähigkeiten vertraut zu machen, die zur Unterstützung des CISA-Plans erforderlich sind, sodass sie die Vorteile erkennen und fast sofort mit der sicheren Programmierung beginnen können.
Die gute Nachricht ist, dass die meisten Entwickler sichere Codierungspraktiken unterstützen und ihren Unternehmen gerne bei der Einhaltung der neuen CISA-Richtlinie helfen möchten. In einem Umfrage Von den über 1.200 professionellen Entwicklern, die auf der ganzen Welt aktiv sind, gab die überwältigende Mehrheit an, das Konzept der Erstellung von sicherem Code und der Etablierung einer besseren Sicherheitskultur in ihren Organisationen zu unterstützen.
Entwickler benötigen präzise Bildungswege und angemessene Unterstützung. Wenn Unternehmen dies bieten können, wird nicht nur ihr Code sicherer, sondern sie werden auch ihrer Zeit voraus sein, wenn es darum geht, die im neuen CISA-Cybersicherheitsstrategieplan festgelegten Leitlinien einzuhalten oder zu übertreffen.
Dieser vorgeschlagene Wandel der Sicherheitskultur wird eine Herausforderung sein, aber er ist auch eine unglaubliche Gelegenheit, die Natur der Cybersicherheit zu verändern und eine Welt zu schaffen, in der die Technologie, die unser aller Leben verbessert, nicht auch von Angreifern heimgesucht wird, die ständig versuchen, sie für ihre eigenen schändlichen Zwecke auszunutzen. Wir haben die Macht, sie zu stoppen, und der CISA-Plan zeigt einen vielversprechenden Weg zu diesem bemerkenswerten und letztlich erreichbaren Ziel.
%20(1).avif)
.avif)
