Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrior: „Jeder sollte verstehen, welche Rolle er bei der Cybersicherheit spielt“
Dieses Interview erschien ursprünglich in Cyber-Nachrichten.
Trotz der Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Schwierigkeiten, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene hinzufügen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu besprechen, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und abzuwehren, traf sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Sicherer Codekrieger, ein Unternehmen, das eine Lernplattform und eine Reihe von entwicklerorientierten Tools anbietet, die Entwicklungsteams bei der Behebung von Sicherheitslücken unterstützen.
Wie war deine Reise? Wie ist die Idee von Secure Code Warrior entstanden?
Als junger Nerd war ich fasziniert davon, Technologie auseinanderzunehmen, um herauszufinden, was darin steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsam genutzten Geräte entschied ich mich schließlich dafür, bei Hard- und Software den gleichen Ansatz zu verfolgen und nach Möglichkeiten zu suchen, diese zu knacken und kaputt zu machen. Eine lebenslange Leidenschaft für Sicherheit war geboren, und viele Jahre lang konzentrierte ich mich darauf, meine „bahnbrechenden“ Fähigkeiten mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen und zu zeigen, wie man Fehler in Software findet, verwendet und missbraucht. Später konzentrierte ich mich wieder darauf, die Verteidiger weiterzubilden, Entwicklern gute, sichere Codierungsmuster in einer Unterrichtsumgebung beizubringen und ihnen zu helfen, häufige Sicherheitslücken zu verstehen und ihnen zu helfen, sie zu vermeiden. Ich war auch in der Beratung tätig, wo ich große Unternehmen darin beriet, wie sie ihre Sicherheitsprogramme verbessern könnten, insbesondere in Bezug auf die Einbindung von Entwicklern. In dieser Zeit habe ich Kontakt zu meinem heutigen Gründungsteam bei Secure Code Warrior aufgenommen. Gemeinsam verstanden wir die Probleme, mit denen sowohl die Sicherheits- als auch die Entwicklungsteams konfrontiert waren, wenn es um Sicherheitslücken auf Codeebene ging, sowie die Probleme, die bei den meisten Schulungslösungen auftraten, die auf die Verbesserung der Sicherheitsfähigkeiten von Entwicklern abzielten. Wir machten uns an die Arbeit an unserer Vision einer Lernplattform, die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend bleibt. Letztlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung der Entwickler zugeschnitten sind, weniger störend sind und ihnen helfen, eine Denkweise zu entwickeln, bei der Sicherheit an erster Stelle steht. Und wir haben uns vorgenommen, dies so sprachflexibel und inhaltsreich wie möglich zu gestalten.
Kannst du uns vorstellen, was du tust? Was sind die wichtigsten Herausforderungen, bei denen du hilfst?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine Lernplattform und eine Reihe von entwicklerorientierten Tools entwickelt, die Entwicklungsteams dabei unterstützen, häufig auftretende Sicherheitslücken zu erkennen, von denen viele schon seit Jahrzehnten bestehen und Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund dafür ist, dass es den Entwicklern an der Ausbildung und den Fähigkeiten mangelt, um diese Probleme auf Codeebene zu lösen, und dass sie sie häufig erst einführen, indem sie weiterhin schlechte Codierungsmuster und -techniken verwenden. Im Tertiärbereich wird ihnen kein sicheres Programmieren beigebracht, und die meisten Schulungsprogramme am Arbeitsplatz sind ineffektiv, wenn es darum geht, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und sie kommen auch zu selten vor, um im Laufe der Zeit wirklich Auswirkungen auf die Codequalität und -sicherheit zu haben. Unsere Lösungen zielen darauf ab, ansprechende, relevante Fähigkeiten zu entwickeln, die das Programmierverhalten verändern und ihnen helfen, Sicherheit in der realen Welt an die erste Stelle zu setzen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am besten vertraut sind, und unser Fokus auf kontextbezogenes Lernen bietet Benutzern die beste Chance, wichtige Bildungsergebnisse beizubehalten. Wir bemühen uns auch, dies so zu tun, dass Entwickler Sicherheit in einem positiven, unterhaltsamen Licht sehen, das Erfolg belohnt und eine Community aufbaut.
Da es für manche mühsam klingt, etwas über sicheres Programmieren zu lernen, wie schaffen Sie es, Ihr Training effektiv und dennoch unterhaltsam zu gestalten?
Unsere Flaggschiff-Lernplattform wurde mit Blick auf das Engagement der Entwickler entwickelt. Eine der beliebtesten Funktionen ist der Turniermodus, in dem die Teilnehmer das Wissen, das sie während des Trainings erworben haben, gegen Gleichaltrige testen können. Punkte werden für jede richtige Antwort vergeben und während der gesamten Turniersitzung werden die Bestenlisten live aktualisiert. Wir haben diese Spiele auf Community-Events und Konferenzen veranstaltet, und einige unserer Kunden haben unglaublich komplizierte Themen entworfen, bei denen jeder verkleidet ist. Es ist eine großartige Teambuilding-Erfahrung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause vom normalen Alltag zu feiern. Darüber hinaus sind unsere Inhalte im Allgemeinen in mehr als sechzig Programmier-Frameworks verfügbar, wobei echte Codefragmente verwendet werden, die sie bei ihrer täglichen Arbeit tatsächlich sehen werden. Es ist viel einfacher, bei der Stange zu bleiben, wenn die Inhalte hochrelevant sind und bei der Lösung echter Probleme helfen, als wenn Sie sich Videos ansehen oder eine jährliche Konformitätsprüfung durchführen müssen.
Was sind Ihrer Meinung nach die größten Herausforderungen, vor denen Entwickler heutzutage stehen?
Ich denke, es ist wichtig, klarzustellen, dass Entwickler gute Leistungen erbringen wollen, aber sie wurden in ihrer Ausbildung oder Karriere nicht ausreichend in Bezug auf Sicherheit geschult. Dies ist der Schlüssel zu vielen Problemen, mit denen sie aus Sicherheitsgründen konfrontiert sind. Sie neigen auch dazu, Sicherheit außerhalb ihres Zuständigkeitsbereichs zu sehen, und in der überwiegenden Mehrheit der Unternehmen enthalten ihre KPIs nichts, was mit sicheren Codierungsergebnissen zu tun hat.Wenn wir eine Veränderung der Anzahl von Sicherheitslücken auf Codeebene sehen wollen, muss dieser Status Quo durchbrochen werden. Entwickler benötigen jedoch die richtige Unterstützung und die richtigen Tools, um den Wandel, den wir uns wünschen, zu verwirklichen. Die Herausforderung liegt in der effektiven Unterstützung, ihnen Zeit zum Training zu geben und jetzt in diese Weiterbildung zu investieren, um später schnell Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihr Arbeitsfeld ausgewirkt?
Zwar spürte zweifellos jedes Unternehmen einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets, aber wir hatten das Glück, den Sturm bisher überstanden zu haben. Cybersicherheit ist in den meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Was sind einige der Best Practices, die Unternehmen bei der Entwicklung von Software oder Anwendungen befolgen sollten?
Jedes Unternehmen hat seine Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, um die Ecke zu denken und andere Ansätze auszuprobieren. Sie vergessen nicht, dass Menschen in der Lage sind, die Sicherheitsergebnisse positiv zu beeinflussen. In den meisten Fällen spielen Entwickler in einem Sicherheitsprogramm keine große Rolle. Angesichts der weltweiten Qualifikationslücke im Bereich Sicherheit, die in absehbarer Zeit wahrscheinlich nicht geschlossen werden wird, können sicherheitsorientierte Entwickler jedoch dazu beitragen, Risiken zu reduzieren und die Einhaltung von Vorschriften aus Sicht der Softwareentwicklung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses Wirkung zeigen.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Codierungstools den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte über eine Art rollenbasiertes Sicherheitstraining verfügen. Abgesehen von Exploits auf Codeebene, die von Bedrohungsakteuren genutzt werden, gibt es eine Vielzahl von Bedrohungen. Daher muss jede einzelne Person im Unternehmen regelmäßig über Sicherheitsprinzipien verfügen, die sie für ihre Arbeit anwenden. In diesem Sinne sollte jeder, vom Büroleiter bis zum Buchhaltungsteam, die Rolle, die er bei Maßnahmen und Sensibilisierung für Cybersicherheit spielt, verstehen und akzeptieren.
Angesichts des aktuellen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den niedrigsten Kosten zu gewährleisten. Welchen Rat hätten Sie für sie?
CISOs müssen in diesem Umfeld etwas Kreativität einsetzen, insbesondere da die Cybersicherheitsgesetze immer anspruchsvoller werden und in einigen Fällen dazu führen, dass CISOs im Falle eines Verstoßes persönlich zur Rechenschaft gezogen werden. Hinzu kommen Entlassungen, und Sie haben eine Situation, in der von weniger Ingenieuren erwartet wird, dass sie mehr Verantwortung übernehmen, während sie dieselbe Menge an Software schreiben. CISOs können dem Unternehmen helfen, seinen Erfolg zu sichern, indem sie eines der größten Hindernisse angehen, das sie ausbremst: die Sicherheit.
Der mit Abstand günstigste Schritt, um Sicherheitslücken und Fehlkonfigurationen auf Codeebene zu beheben, ist vor der Auslieferung der Software, was den Entwickler natürlich in die beste Position versetzt, um dieses Risiko zu reduzieren. Um dies zu erreichen, benötigen sie jedoch maßgeschneiderte Unterstützung. Schnelle Sicherheit ist möglich, wenn sie der technischen Abteilung Tools zur Verfügung stellen, bei denen die Entwickler an erster Stelle stehen und deren aktueller Arbeitsablauf und Technologie-Stack berücksichtigt werden. Sie müssen befähigt werden, Sicherheitsgenauigkeit mit hoher Geschwindigkeit zu erreichen, und dieses Problem lässt sich am besten lösen, indem sie ihnen zeigen, wie sie sichere Codierungsmuster verwenden und Probleme schneller beheben können.
Gegen die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen daran arbeiten, Sicherheitslücken an der Quelle zu beseitigen und so später im Softwareentwicklungszyklus (SDLC) Zeit und Geld zu sparen. Angesichts der Häufigkeit groß angelegter Angriffe und einer höheren Haftung für CISOs als je zuvor in der Geschichte müssen wir aufhören, einem Fachkräftemangel im Bereich Cybersicherheit die Schuld dafür zu geben, dass er ins Hintertreffen gerät. Priorisieren Sie defensive Sicherheitspraktiken und stärken Sie das Personal, das sich bereits direkt vor Ihnen befindet.
Was hält die Zukunft für Secure Code Warrior bereit?
Wir wollen weiterhin innovativ sein, wobei die Entwickler bei den Lösungen, die wir auf den Markt bringen, stets im Mittelpunkt stehen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne Kompromisse bei der Geschwindigkeit der Bereitstellung von Funktionen oder ihrer geistigen Gesundheit einzugehen, wenn sie mehrere Prioritäten unter einen Hut bringen.
Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihr defensives Sicherheitsprogramm zu revolutionieren, und wir möchten, dass sicherheitsorientierte Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Bereich.
Fragen und Antworten zu CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Secure Code Warrior.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Dieses Interview erschien ursprünglich in Cyber-Nachrichten.
Trotz der Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Schwierigkeiten, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene hinzufügen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu besprechen, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und abzuwehren, traf sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Sicherer Codekrieger, ein Unternehmen, das eine Lernplattform und eine Reihe von entwicklerorientierten Tools anbietet, die Entwicklungsteams bei der Behebung von Sicherheitslücken unterstützen.
Wie war deine Reise? Wie ist die Idee von Secure Code Warrior entstanden?
Als junger Nerd war ich fasziniert davon, Technologie auseinanderzunehmen, um herauszufinden, was darin steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsam genutzten Geräte entschied ich mich schließlich dafür, bei Hard- und Software den gleichen Ansatz zu verfolgen und nach Möglichkeiten zu suchen, diese zu knacken und kaputt zu machen. Eine lebenslange Leidenschaft für Sicherheit war geboren, und viele Jahre lang konzentrierte ich mich darauf, meine „bahnbrechenden“ Fähigkeiten mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen und zu zeigen, wie man Fehler in Software findet, verwendet und missbraucht. Später konzentrierte ich mich wieder darauf, die Verteidiger weiterzubilden, Entwicklern gute, sichere Codierungsmuster in einer Unterrichtsumgebung beizubringen und ihnen zu helfen, häufige Sicherheitslücken zu verstehen und ihnen zu helfen, sie zu vermeiden. Ich war auch in der Beratung tätig, wo ich große Unternehmen darin beriet, wie sie ihre Sicherheitsprogramme verbessern könnten, insbesondere in Bezug auf die Einbindung von Entwicklern. In dieser Zeit habe ich Kontakt zu meinem heutigen Gründungsteam bei Secure Code Warrior aufgenommen. Gemeinsam verstanden wir die Probleme, mit denen sowohl die Sicherheits- als auch die Entwicklungsteams konfrontiert waren, wenn es um Sicherheitslücken auf Codeebene ging, sowie die Probleme, die bei den meisten Schulungslösungen auftraten, die auf die Verbesserung der Sicherheitsfähigkeiten von Entwicklern abzielten. Wir machten uns an die Arbeit an unserer Vision einer Lernplattform, die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend bleibt. Letztlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung der Entwickler zugeschnitten sind, weniger störend sind und ihnen helfen, eine Denkweise zu entwickeln, bei der Sicherheit an erster Stelle steht. Und wir haben uns vorgenommen, dies so sprachflexibel und inhaltsreich wie möglich zu gestalten.
Kannst du uns vorstellen, was du tust? Was sind die wichtigsten Herausforderungen, bei denen du hilfst?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine Lernplattform und eine Reihe von entwicklerorientierten Tools entwickelt, die Entwicklungsteams dabei unterstützen, häufig auftretende Sicherheitslücken zu erkennen, von denen viele schon seit Jahrzehnten bestehen und Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund dafür ist, dass es den Entwicklern an der Ausbildung und den Fähigkeiten mangelt, um diese Probleme auf Codeebene zu lösen, und dass sie sie häufig erst einführen, indem sie weiterhin schlechte Codierungsmuster und -techniken verwenden. Im Tertiärbereich wird ihnen kein sicheres Programmieren beigebracht, und die meisten Schulungsprogramme am Arbeitsplatz sind ineffektiv, wenn es darum geht, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und sie kommen auch zu selten vor, um im Laufe der Zeit wirklich Auswirkungen auf die Codequalität und -sicherheit zu haben. Unsere Lösungen zielen darauf ab, ansprechende, relevante Fähigkeiten zu entwickeln, die das Programmierverhalten verändern und ihnen helfen, Sicherheit in der realen Welt an die erste Stelle zu setzen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am besten vertraut sind, und unser Fokus auf kontextbezogenes Lernen bietet Benutzern die beste Chance, wichtige Bildungsergebnisse beizubehalten. Wir bemühen uns auch, dies so zu tun, dass Entwickler Sicherheit in einem positiven, unterhaltsamen Licht sehen, das Erfolg belohnt und eine Community aufbaut.
Da es für manche mühsam klingt, etwas über sicheres Programmieren zu lernen, wie schaffen Sie es, Ihr Training effektiv und dennoch unterhaltsam zu gestalten?
Unsere Flaggschiff-Lernplattform wurde mit Blick auf das Engagement der Entwickler entwickelt. Eine der beliebtesten Funktionen ist der Turniermodus, in dem die Teilnehmer das Wissen, das sie während des Trainings erworben haben, gegen Gleichaltrige testen können. Punkte werden für jede richtige Antwort vergeben und während der gesamten Turniersitzung werden die Bestenlisten live aktualisiert. Wir haben diese Spiele auf Community-Events und Konferenzen veranstaltet, und einige unserer Kunden haben unglaublich komplizierte Themen entworfen, bei denen jeder verkleidet ist. Es ist eine großartige Teambuilding-Erfahrung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause vom normalen Alltag zu feiern. Darüber hinaus sind unsere Inhalte im Allgemeinen in mehr als sechzig Programmier-Frameworks verfügbar, wobei echte Codefragmente verwendet werden, die sie bei ihrer täglichen Arbeit tatsächlich sehen werden. Es ist viel einfacher, bei der Stange zu bleiben, wenn die Inhalte hochrelevant sind und bei der Lösung echter Probleme helfen, als wenn Sie sich Videos ansehen oder eine jährliche Konformitätsprüfung durchführen müssen.
Was sind Ihrer Meinung nach die größten Herausforderungen, vor denen Entwickler heutzutage stehen?
Ich denke, es ist wichtig, klarzustellen, dass Entwickler gute Leistungen erbringen wollen, aber sie wurden in ihrer Ausbildung oder Karriere nicht ausreichend in Bezug auf Sicherheit geschult. Dies ist der Schlüssel zu vielen Problemen, mit denen sie aus Sicherheitsgründen konfrontiert sind. Sie neigen auch dazu, Sicherheit außerhalb ihres Zuständigkeitsbereichs zu sehen, und in der überwiegenden Mehrheit der Unternehmen enthalten ihre KPIs nichts, was mit sicheren Codierungsergebnissen zu tun hat.Wenn wir eine Veränderung der Anzahl von Sicherheitslücken auf Codeebene sehen wollen, muss dieser Status Quo durchbrochen werden. Entwickler benötigen jedoch die richtige Unterstützung und die richtigen Tools, um den Wandel, den wir uns wünschen, zu verwirklichen. Die Herausforderung liegt in der effektiven Unterstützung, ihnen Zeit zum Training zu geben und jetzt in diese Weiterbildung zu investieren, um später schnell Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihr Arbeitsfeld ausgewirkt?
Zwar spürte zweifellos jedes Unternehmen einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets, aber wir hatten das Glück, den Sturm bisher überstanden zu haben. Cybersicherheit ist in den meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Was sind einige der Best Practices, die Unternehmen bei der Entwicklung von Software oder Anwendungen befolgen sollten?
Jedes Unternehmen hat seine Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, um die Ecke zu denken und andere Ansätze auszuprobieren. Sie vergessen nicht, dass Menschen in der Lage sind, die Sicherheitsergebnisse positiv zu beeinflussen. In den meisten Fällen spielen Entwickler in einem Sicherheitsprogramm keine große Rolle. Angesichts der weltweiten Qualifikationslücke im Bereich Sicherheit, die in absehbarer Zeit wahrscheinlich nicht geschlossen werden wird, können sicherheitsorientierte Entwickler jedoch dazu beitragen, Risiken zu reduzieren und die Einhaltung von Vorschriften aus Sicht der Softwareentwicklung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses Wirkung zeigen.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Codierungstools den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte über eine Art rollenbasiertes Sicherheitstraining verfügen. Abgesehen von Exploits auf Codeebene, die von Bedrohungsakteuren genutzt werden, gibt es eine Vielzahl von Bedrohungen. Daher muss jede einzelne Person im Unternehmen regelmäßig über Sicherheitsprinzipien verfügen, die sie für ihre Arbeit anwenden. In diesem Sinne sollte jeder, vom Büroleiter bis zum Buchhaltungsteam, die Rolle, die er bei Maßnahmen und Sensibilisierung für Cybersicherheit spielt, verstehen und akzeptieren.
Angesichts des aktuellen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den niedrigsten Kosten zu gewährleisten. Welchen Rat hätten Sie für sie?
CISOs müssen in diesem Umfeld etwas Kreativität einsetzen, insbesondere da die Cybersicherheitsgesetze immer anspruchsvoller werden und in einigen Fällen dazu führen, dass CISOs im Falle eines Verstoßes persönlich zur Rechenschaft gezogen werden. Hinzu kommen Entlassungen, und Sie haben eine Situation, in der von weniger Ingenieuren erwartet wird, dass sie mehr Verantwortung übernehmen, während sie dieselbe Menge an Software schreiben. CISOs können dem Unternehmen helfen, seinen Erfolg zu sichern, indem sie eines der größten Hindernisse angehen, das sie ausbremst: die Sicherheit.
Der mit Abstand günstigste Schritt, um Sicherheitslücken und Fehlkonfigurationen auf Codeebene zu beheben, ist vor der Auslieferung der Software, was den Entwickler natürlich in die beste Position versetzt, um dieses Risiko zu reduzieren. Um dies zu erreichen, benötigen sie jedoch maßgeschneiderte Unterstützung. Schnelle Sicherheit ist möglich, wenn sie der technischen Abteilung Tools zur Verfügung stellen, bei denen die Entwickler an erster Stelle stehen und deren aktueller Arbeitsablauf und Technologie-Stack berücksichtigt werden. Sie müssen befähigt werden, Sicherheitsgenauigkeit mit hoher Geschwindigkeit zu erreichen, und dieses Problem lässt sich am besten lösen, indem sie ihnen zeigen, wie sie sichere Codierungsmuster verwenden und Probleme schneller beheben können.
Gegen die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen daran arbeiten, Sicherheitslücken an der Quelle zu beseitigen und so später im Softwareentwicklungszyklus (SDLC) Zeit und Geld zu sparen. Angesichts der Häufigkeit groß angelegter Angriffe und einer höheren Haftung für CISOs als je zuvor in der Geschichte müssen wir aufhören, einem Fachkräftemangel im Bereich Cybersicherheit die Schuld dafür zu geben, dass er ins Hintertreffen gerät. Priorisieren Sie defensive Sicherheitspraktiken und stärken Sie das Personal, das sich bereits direkt vor Ihnen befindet.
Was hält die Zukunft für Secure Code Warrior bereit?
Wir wollen weiterhin innovativ sein, wobei die Entwickler bei den Lösungen, die wir auf den Markt bringen, stets im Mittelpunkt stehen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne Kompromisse bei der Geschwindigkeit der Bereitstellung von Funktionen oder ihrer geistigen Gesundheit einzugehen, wenn sie mehrere Prioritäten unter einen Hut bringen.
Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihr defensives Sicherheitsprogramm zu revolutionieren, und wir möchten, dass sicherheitsorientierte Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Bereich.
Dieses Interview erschien ursprünglich in Cyber-Nachrichten.
Trotz der Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Schwierigkeiten, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene hinzufügen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu besprechen, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und abzuwehren, traf sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Sicherer Codekrieger, ein Unternehmen, das eine Lernplattform und eine Reihe von entwicklerorientierten Tools anbietet, die Entwicklungsteams bei der Behebung von Sicherheitslücken unterstützen.
Wie war deine Reise? Wie ist die Idee von Secure Code Warrior entstanden?
Als junger Nerd war ich fasziniert davon, Technologie auseinanderzunehmen, um herauszufinden, was darin steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsam genutzten Geräte entschied ich mich schließlich dafür, bei Hard- und Software den gleichen Ansatz zu verfolgen und nach Möglichkeiten zu suchen, diese zu knacken und kaputt zu machen. Eine lebenslange Leidenschaft für Sicherheit war geboren, und viele Jahre lang konzentrierte ich mich darauf, meine „bahnbrechenden“ Fähigkeiten mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen und zu zeigen, wie man Fehler in Software findet, verwendet und missbraucht. Später konzentrierte ich mich wieder darauf, die Verteidiger weiterzubilden, Entwicklern gute, sichere Codierungsmuster in einer Unterrichtsumgebung beizubringen und ihnen zu helfen, häufige Sicherheitslücken zu verstehen und ihnen zu helfen, sie zu vermeiden. Ich war auch in der Beratung tätig, wo ich große Unternehmen darin beriet, wie sie ihre Sicherheitsprogramme verbessern könnten, insbesondere in Bezug auf die Einbindung von Entwicklern. In dieser Zeit habe ich Kontakt zu meinem heutigen Gründungsteam bei Secure Code Warrior aufgenommen. Gemeinsam verstanden wir die Probleme, mit denen sowohl die Sicherheits- als auch die Entwicklungsteams konfrontiert waren, wenn es um Sicherheitslücken auf Codeebene ging, sowie die Probleme, die bei den meisten Schulungslösungen auftraten, die auf die Verbesserung der Sicherheitsfähigkeiten von Entwicklern abzielten. Wir machten uns an die Arbeit an unserer Vision einer Lernplattform, die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend bleibt. Letztlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung der Entwickler zugeschnitten sind, weniger störend sind und ihnen helfen, eine Denkweise zu entwickeln, bei der Sicherheit an erster Stelle steht. Und wir haben uns vorgenommen, dies so sprachflexibel und inhaltsreich wie möglich zu gestalten.
Kannst du uns vorstellen, was du tust? Was sind die wichtigsten Herausforderungen, bei denen du hilfst?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine Lernplattform und eine Reihe von entwicklerorientierten Tools entwickelt, die Entwicklungsteams dabei unterstützen, häufig auftretende Sicherheitslücken zu erkennen, von denen viele schon seit Jahrzehnten bestehen und Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund dafür ist, dass es den Entwicklern an der Ausbildung und den Fähigkeiten mangelt, um diese Probleme auf Codeebene zu lösen, und dass sie sie häufig erst einführen, indem sie weiterhin schlechte Codierungsmuster und -techniken verwenden. Im Tertiärbereich wird ihnen kein sicheres Programmieren beigebracht, und die meisten Schulungsprogramme am Arbeitsplatz sind ineffektiv, wenn es darum geht, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und sie kommen auch zu selten vor, um im Laufe der Zeit wirklich Auswirkungen auf die Codequalität und -sicherheit zu haben. Unsere Lösungen zielen darauf ab, ansprechende, relevante Fähigkeiten zu entwickeln, die das Programmierverhalten verändern und ihnen helfen, Sicherheit in der realen Welt an die erste Stelle zu setzen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am besten vertraut sind, und unser Fokus auf kontextbezogenes Lernen bietet Benutzern die beste Chance, wichtige Bildungsergebnisse beizubehalten. Wir bemühen uns auch, dies so zu tun, dass Entwickler Sicherheit in einem positiven, unterhaltsamen Licht sehen, das Erfolg belohnt und eine Community aufbaut.
Da es für manche mühsam klingt, etwas über sicheres Programmieren zu lernen, wie schaffen Sie es, Ihr Training effektiv und dennoch unterhaltsam zu gestalten?
Unsere Flaggschiff-Lernplattform wurde mit Blick auf das Engagement der Entwickler entwickelt. Eine der beliebtesten Funktionen ist der Turniermodus, in dem die Teilnehmer das Wissen, das sie während des Trainings erworben haben, gegen Gleichaltrige testen können. Punkte werden für jede richtige Antwort vergeben und während der gesamten Turniersitzung werden die Bestenlisten live aktualisiert. Wir haben diese Spiele auf Community-Events und Konferenzen veranstaltet, und einige unserer Kunden haben unglaublich komplizierte Themen entworfen, bei denen jeder verkleidet ist. Es ist eine großartige Teambuilding-Erfahrung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause vom normalen Alltag zu feiern. Darüber hinaus sind unsere Inhalte im Allgemeinen in mehr als sechzig Programmier-Frameworks verfügbar, wobei echte Codefragmente verwendet werden, die sie bei ihrer täglichen Arbeit tatsächlich sehen werden. Es ist viel einfacher, bei der Stange zu bleiben, wenn die Inhalte hochrelevant sind und bei der Lösung echter Probleme helfen, als wenn Sie sich Videos ansehen oder eine jährliche Konformitätsprüfung durchführen müssen.
Was sind Ihrer Meinung nach die größten Herausforderungen, vor denen Entwickler heutzutage stehen?
Ich denke, es ist wichtig, klarzustellen, dass Entwickler gute Leistungen erbringen wollen, aber sie wurden in ihrer Ausbildung oder Karriere nicht ausreichend in Bezug auf Sicherheit geschult. Dies ist der Schlüssel zu vielen Problemen, mit denen sie aus Sicherheitsgründen konfrontiert sind. Sie neigen auch dazu, Sicherheit außerhalb ihres Zuständigkeitsbereichs zu sehen, und in der überwiegenden Mehrheit der Unternehmen enthalten ihre KPIs nichts, was mit sicheren Codierungsergebnissen zu tun hat.Wenn wir eine Veränderung der Anzahl von Sicherheitslücken auf Codeebene sehen wollen, muss dieser Status Quo durchbrochen werden. Entwickler benötigen jedoch die richtige Unterstützung und die richtigen Tools, um den Wandel, den wir uns wünschen, zu verwirklichen. Die Herausforderung liegt in der effektiven Unterstützung, ihnen Zeit zum Training zu geben und jetzt in diese Weiterbildung zu investieren, um später schnell Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihr Arbeitsfeld ausgewirkt?
Zwar spürte zweifellos jedes Unternehmen einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets, aber wir hatten das Glück, den Sturm bisher überstanden zu haben. Cybersicherheit ist in den meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Was sind einige der Best Practices, die Unternehmen bei der Entwicklung von Software oder Anwendungen befolgen sollten?
Jedes Unternehmen hat seine Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, um die Ecke zu denken und andere Ansätze auszuprobieren. Sie vergessen nicht, dass Menschen in der Lage sind, die Sicherheitsergebnisse positiv zu beeinflussen. In den meisten Fällen spielen Entwickler in einem Sicherheitsprogramm keine große Rolle. Angesichts der weltweiten Qualifikationslücke im Bereich Sicherheit, die in absehbarer Zeit wahrscheinlich nicht geschlossen werden wird, können sicherheitsorientierte Entwickler jedoch dazu beitragen, Risiken zu reduzieren und die Einhaltung von Vorschriften aus Sicht der Softwareentwicklung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses Wirkung zeigen.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Codierungstools den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte über eine Art rollenbasiertes Sicherheitstraining verfügen. Abgesehen von Exploits auf Codeebene, die von Bedrohungsakteuren genutzt werden, gibt es eine Vielzahl von Bedrohungen. Daher muss jede einzelne Person im Unternehmen regelmäßig über Sicherheitsprinzipien verfügen, die sie für ihre Arbeit anwenden. In diesem Sinne sollte jeder, vom Büroleiter bis zum Buchhaltungsteam, die Rolle, die er bei Maßnahmen und Sensibilisierung für Cybersicherheit spielt, verstehen und akzeptieren.
Angesichts des aktuellen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den niedrigsten Kosten zu gewährleisten. Welchen Rat hätten Sie für sie?
CISOs müssen in diesem Umfeld etwas Kreativität einsetzen, insbesondere da die Cybersicherheitsgesetze immer anspruchsvoller werden und in einigen Fällen dazu führen, dass CISOs im Falle eines Verstoßes persönlich zur Rechenschaft gezogen werden. Hinzu kommen Entlassungen, und Sie haben eine Situation, in der von weniger Ingenieuren erwartet wird, dass sie mehr Verantwortung übernehmen, während sie dieselbe Menge an Software schreiben. CISOs können dem Unternehmen helfen, seinen Erfolg zu sichern, indem sie eines der größten Hindernisse angehen, das sie ausbremst: die Sicherheit.
Der mit Abstand günstigste Schritt, um Sicherheitslücken und Fehlkonfigurationen auf Codeebene zu beheben, ist vor der Auslieferung der Software, was den Entwickler natürlich in die beste Position versetzt, um dieses Risiko zu reduzieren. Um dies zu erreichen, benötigen sie jedoch maßgeschneiderte Unterstützung. Schnelle Sicherheit ist möglich, wenn sie der technischen Abteilung Tools zur Verfügung stellen, bei denen die Entwickler an erster Stelle stehen und deren aktueller Arbeitsablauf und Technologie-Stack berücksichtigt werden. Sie müssen befähigt werden, Sicherheitsgenauigkeit mit hoher Geschwindigkeit zu erreichen, und dieses Problem lässt sich am besten lösen, indem sie ihnen zeigen, wie sie sichere Codierungsmuster verwenden und Probleme schneller beheben können.
Gegen die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen daran arbeiten, Sicherheitslücken an der Quelle zu beseitigen und so später im Softwareentwicklungszyklus (SDLC) Zeit und Geld zu sparen. Angesichts der Häufigkeit groß angelegter Angriffe und einer höheren Haftung für CISOs als je zuvor in der Geschichte müssen wir aufhören, einem Fachkräftemangel im Bereich Cybersicherheit die Schuld dafür zu geben, dass er ins Hintertreffen gerät. Priorisieren Sie defensive Sicherheitspraktiken und stärken Sie das Personal, das sich bereits direkt vor Ihnen befindet.
Was hält die Zukunft für Secure Code Warrior bereit?
Wir wollen weiterhin innovativ sein, wobei die Entwickler bei den Lösungen, die wir auf den Markt bringen, stets im Mittelpunkt stehen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne Kompromisse bei der Geschwindigkeit der Bereitstellung von Funktionen oder ihrer geistigen Gesundheit einzugehen, wenn sie mehrere Prioritäten unter einen Hut bringen.
Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihr defensives Sicherheitsprogramm zu revolutionieren, und wir möchten, dass sicherheitsorientierte Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Bereich.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Dieses Interview erschien ursprünglich in Cyber-Nachrichten.
Trotz der Verbreitung von Sicherheitstools und -diensten haben Unternehmen immer noch Schwierigkeiten, mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten.
Dies ist auf das mangelnde Sicherheitsbewusstsein und die mangelnde Schulung der Entwickler zurückzuführen, was dazu führen kann, dass riskanter Code veröffentlicht und von böswilligen Akteuren ausgenutzt wird. Während Sicherheitsmaßnahmen wie Antivirensoftware oder starke Lösungen zum Scannen von Sicherheitslücken eine zusätzliche Sicherheitsebene hinzufügen können, erklärt unser heutiger Gast, dass alles mit einem sicherheitsorientierten Entwicklungsteam beginnt.
Um zu besprechen, wie Entwickler darin geschult werden können, Sicherheitsbedrohungen zu erkennen und abzuwehren, traf sich das Team von CyberNews mit Pieter Danhieux, CEO und Mitbegründer von Sicherer Codekrieger, ein Unternehmen, das eine Lernplattform und eine Reihe von entwicklerorientierten Tools anbietet, die Entwicklungsteams bei der Behebung von Sicherheitslücken unterstützen.
Wie war deine Reise? Wie ist die Idee von Secure Code Warrior entstanden?
Als junger Nerd war ich fasziniert davon, Technologie auseinanderzunehmen, um herauszufinden, was darin steckt und wie sie funktioniert. Sehr zur Erleichterung meiner Familie und unserer gemeinsam genutzten Geräte entschied ich mich schließlich dafür, bei Hard- und Software den gleichen Ansatz zu verfolgen und nach Möglichkeiten zu suchen, diese zu knacken und kaputt zu machen. Eine lebenslange Leidenschaft für Sicherheit war geboren, und viele Jahre lang konzentrierte ich mich darauf, meine „bahnbrechenden“ Fähigkeiten mit Studenten, Kollegen und der Sicherheitsgemeinschaft zu teilen und zu zeigen, wie man Fehler in Software findet, verwendet und missbraucht. Später konzentrierte ich mich wieder darauf, die Verteidiger weiterzubilden, Entwicklern gute, sichere Codierungsmuster in einer Unterrichtsumgebung beizubringen und ihnen zu helfen, häufige Sicherheitslücken zu verstehen und ihnen zu helfen, sie zu vermeiden. Ich war auch in der Beratung tätig, wo ich große Unternehmen darin beriet, wie sie ihre Sicherheitsprogramme verbessern könnten, insbesondere in Bezug auf die Einbindung von Entwicklern. In dieser Zeit habe ich Kontakt zu meinem heutigen Gründungsteam bei Secure Code Warrior aufgenommen. Gemeinsam verstanden wir die Probleme, mit denen sowohl die Sicherheits- als auch die Entwicklungsteams konfrontiert waren, wenn es um Sicherheitslücken auf Codeebene ging, sowie die Probleme, die bei den meisten Schulungslösungen auftraten, die auf die Verbesserung der Sicherheitsfähigkeiten von Entwicklern abzielten. Wir machten uns an die Arbeit an unserer Vision einer Lernplattform, die auf Unternehmensebene skaliert werden kann und gleichzeitig für Entwickler unterhaltsam und ansprechend bleibt. Letztlich wollten wir eine Reihe von Tools entwickeln, die auf die Arbeitsumgebung der Entwickler zugeschnitten sind, weniger störend sind und ihnen helfen, eine Denkweise zu entwickeln, bei der Sicherheit an erster Stelle steht. Und wir haben uns vorgenommen, dies so sprachflexibel und inhaltsreich wie möglich zu gestalten.
Kannst du uns vorstellen, was du tust? Was sind die wichtigsten Herausforderungen, bei denen du hilfst?
Letztlich unterstützen wir Unternehmen dabei, ihre Softwareentwicklung zu beschleunigen, indem wir die Sicherheitsprobleme und Verzögerungen beseitigen, die häufig durch die Verwendung schlechter Sicherheitsmuster im Code entstehen. Wir haben eine Lernplattform und eine Reihe von entwicklerorientierten Tools entwickelt, die Entwicklungsteams dabei unterstützen, häufig auftretende Sicherheitslücken zu erkennen, von denen viele schon seit Jahrzehnten bestehen und Unternehmen auch heute noch Cyberrisiken aussetzen. Der Grund dafür ist, dass es den Entwicklern an der Ausbildung und den Fähigkeiten mangelt, um diese Probleme auf Codeebene zu lösen, und dass sie sie häufig erst einführen, indem sie weiterhin schlechte Codierungsmuster und -techniken verwenden. Im Tertiärbereich wird ihnen kein sicheres Programmieren beigebracht, und die meisten Schulungsprogramme am Arbeitsplatz sind ineffektiv, wenn es darum geht, Inhalte zu vermitteln, die für ihre tägliche Arbeit relevant sind, und sie kommen auch zu selten vor, um im Laufe der Zeit wirklich Auswirkungen auf die Codequalität und -sicherheit zu haben. Unsere Lösungen zielen darauf ab, ansprechende, relevante Fähigkeiten zu entwickeln, die das Programmierverhalten verändern und ihnen helfen, Sicherheit in der realen Welt an die erste Stelle zu setzen. Wir integrieren uns zunehmend in die Umgebungen, mit denen Entwickler am besten vertraut sind, und unser Fokus auf kontextbezogenes Lernen bietet Benutzern die beste Chance, wichtige Bildungsergebnisse beizubehalten. Wir bemühen uns auch, dies so zu tun, dass Entwickler Sicherheit in einem positiven, unterhaltsamen Licht sehen, das Erfolg belohnt und eine Community aufbaut.
Da es für manche mühsam klingt, etwas über sicheres Programmieren zu lernen, wie schaffen Sie es, Ihr Training effektiv und dennoch unterhaltsam zu gestalten?
Unsere Flaggschiff-Lernplattform wurde mit Blick auf das Engagement der Entwickler entwickelt. Eine der beliebtesten Funktionen ist der Turniermodus, in dem die Teilnehmer das Wissen, das sie während des Trainings erworben haben, gegen Gleichaltrige testen können. Punkte werden für jede richtige Antwort vergeben und während der gesamten Turniersitzung werden die Bestenlisten live aktualisiert. Wir haben diese Spiele auf Community-Events und Konferenzen veranstaltet, und einige unserer Kunden haben unglaublich komplizierte Themen entworfen, bei denen jeder verkleidet ist. Es ist eine großartige Teambuilding-Erfahrung und der perfekte Zeitpunkt, um das Engagement für die Weiterbildung mit Pizza, Preisen und einer Pause vom normalen Alltag zu feiern. Darüber hinaus sind unsere Inhalte im Allgemeinen in mehr als sechzig Programmier-Frameworks verfügbar, wobei echte Codefragmente verwendet werden, die sie bei ihrer täglichen Arbeit tatsächlich sehen werden. Es ist viel einfacher, bei der Stange zu bleiben, wenn die Inhalte hochrelevant sind und bei der Lösung echter Probleme helfen, als wenn Sie sich Videos ansehen oder eine jährliche Konformitätsprüfung durchführen müssen.
Was sind Ihrer Meinung nach die größten Herausforderungen, vor denen Entwickler heutzutage stehen?
Ich denke, es ist wichtig, klarzustellen, dass Entwickler gute Leistungen erbringen wollen, aber sie wurden in ihrer Ausbildung oder Karriere nicht ausreichend in Bezug auf Sicherheit geschult. Dies ist der Schlüssel zu vielen Problemen, mit denen sie aus Sicherheitsgründen konfrontiert sind. Sie neigen auch dazu, Sicherheit außerhalb ihres Zuständigkeitsbereichs zu sehen, und in der überwiegenden Mehrheit der Unternehmen enthalten ihre KPIs nichts, was mit sicheren Codierungsergebnissen zu tun hat.Wenn wir eine Veränderung der Anzahl von Sicherheitslücken auf Codeebene sehen wollen, muss dieser Status Quo durchbrochen werden. Entwickler benötigen jedoch die richtige Unterstützung und die richtigen Tools, um den Wandel, den wir uns wünschen, zu verwirklichen. Die Herausforderung liegt in der effektiven Unterstützung, ihnen Zeit zum Training zu geben und jetzt in diese Weiterbildung zu investieren, um später schnell Sicherheit zu erreichen.
Wie haben sich die jüngsten globalen Ereignisse auf Ihr Arbeitsfeld ausgewirkt?
Zwar spürte zweifellos jedes Unternehmen einige Auswirkungen des aktuellen globalen Klimas auf seine Ziele, Prognosen und Budgets, aber wir hatten das Glück, den Sturm bisher überstanden zu haben. Cybersicherheit ist in den meisten Unternehmen ein nicht verhandelbares Element, und wir arbeiten hart daran, Teil dieses Gesprächs mit Kunden und Interessenten zu bleiben.
Was sind einige der Best Practices, die Unternehmen bei der Entwicklung von Software oder Anwendungen befolgen sollten?
Jedes Unternehmen hat seine Nuancen, aber im Allgemeinen sind die Unternehmen, die mit den besten Sicherheitspraktiken arbeiten, bereit, um die Ecke zu denken und andere Ansätze auszuprobieren. Sie vergessen nicht, dass Menschen in der Lage sind, die Sicherheitsergebnisse positiv zu beeinflussen. In den meisten Fällen spielen Entwickler in einem Sicherheitsprogramm keine große Rolle. Angesichts der weltweiten Qualifikationslücke im Bereich Sicherheit, die in absehbarer Zeit wahrscheinlich nicht geschlossen werden wird, können sicherheitsorientierte Entwickler jedoch dazu beitragen, Risiken zu reduzieren und die Einhaltung von Vorschriften aus Sicht der Softwareentwicklung zu gewährleisten. Sie können in der frühestmöglichen und kostengünstigsten Phase des Prozesses Wirkung zeigen.
Welche anderen Maßnahmen oder Praktiken können Ihrer Meinung nach neben sicheren Codierungstools den Geschäftsbetrieb nicht nur verbessern, sondern auch sichern?
Jedes Unternehmen sollte über eine Art rollenbasiertes Sicherheitstraining verfügen. Abgesehen von Exploits auf Codeebene, die von Bedrohungsakteuren genutzt werden, gibt es eine Vielzahl von Bedrohungen. Daher muss jede einzelne Person im Unternehmen regelmäßig über Sicherheitsprinzipien verfügen, die sie für ihre Arbeit anwenden. In diesem Sinne sollte jeder, vom Büroleiter bis zum Buchhaltungsteam, die Rolle, die er bei Maßnahmen und Sensibilisierung für Cybersicherheit spielt, verstehen und akzeptieren.
Angesichts des aktuellen Wirtschaftsklimas stehen CISOs unter großem Druck, die Sicherheit von Unternehmen zu den niedrigsten Kosten zu gewährleisten. Welchen Rat hätten Sie für sie?
CISOs müssen in diesem Umfeld etwas Kreativität einsetzen, insbesondere da die Cybersicherheitsgesetze immer anspruchsvoller werden und in einigen Fällen dazu führen, dass CISOs im Falle eines Verstoßes persönlich zur Rechenschaft gezogen werden. Hinzu kommen Entlassungen, und Sie haben eine Situation, in der von weniger Ingenieuren erwartet wird, dass sie mehr Verantwortung übernehmen, während sie dieselbe Menge an Software schreiben. CISOs können dem Unternehmen helfen, seinen Erfolg zu sichern, indem sie eines der größten Hindernisse angehen, das sie ausbremst: die Sicherheit.
Der mit Abstand günstigste Schritt, um Sicherheitslücken und Fehlkonfigurationen auf Codeebene zu beheben, ist vor der Auslieferung der Software, was den Entwickler natürlich in die beste Position versetzt, um dieses Risiko zu reduzieren. Um dies zu erreichen, benötigen sie jedoch maßgeschneiderte Unterstützung. Schnelle Sicherheit ist möglich, wenn sie der technischen Abteilung Tools zur Verfügung stellen, bei denen die Entwickler an erster Stelle stehen und deren aktueller Arbeitsablauf und Technologie-Stack berücksichtigt werden. Sie müssen befähigt werden, Sicherheitsgenauigkeit mit hoher Geschwindigkeit zu erreichen, und dieses Problem lässt sich am besten lösen, indem sie ihnen zeigen, wie sie sichere Codierungsmuster verwenden und Probleme schneller beheben können.
Gegen die Kosten einer umfassenden Entwicklerschulung können Sie im Wesentlichen daran arbeiten, Sicherheitslücken an der Quelle zu beseitigen und so später im Softwareentwicklungszyklus (SDLC) Zeit und Geld zu sparen. Angesichts der Häufigkeit groß angelegter Angriffe und einer höheren Haftung für CISOs als je zuvor in der Geschichte müssen wir aufhören, einem Fachkräftemangel im Bereich Cybersicherheit die Schuld dafür zu geben, dass er ins Hintertreffen gerät. Priorisieren Sie defensive Sicherheitspraktiken und stärken Sie das Personal, das sich bereits direkt vor Ihnen befindet.
Was hält die Zukunft für Secure Code Warrior bereit?
Wir wollen weiterhin innovativ sein, wobei die Entwickler bei den Lösungen, die wir auf den Markt bringen, stets im Mittelpunkt stehen. Wir konzentrieren uns darauf, sie in die Lage zu versetzen, Sicherheit zu bieten, ohne Kompromisse bei der Geschwindigkeit der Bereitstellung von Funktionen oder ihrer geistigen Gesundheit einzugehen, wenn sie mehrere Prioritäten unter einen Hut bringen.
Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihr defensives Sicherheitsprogramm zu revolutionieren, und wir möchten, dass sicherheitsorientierte Entwickler die Helden dieser Geschichte sind. Beobachten Sie diesen Bereich.
%20(1).avif)
.avif)
