Wie die australische Regierung die nationale Widerstandsfähigkeit gegenüber Cybersicherheit stärken und Bedrohungen standhaft abwehren kann
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich eingestuft wurde, aber reicht ihre Strategie weit genug?
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Mit 2020 wird es eine enormer Anstieg der TelearbeitHinzu kommen anhaltende groß angelegte Datenschutzverletzungen und ein zunehmender Fokus auf die Folgen einer beeinträchtigten Online-Privatsphäre. Noch nie war Cybersicherheit in den Fokus der Öffentlichkeit gerückt. Infolgedessen haben Regierungen auf der ganzen Welt eingegriffen, um ihre Cybersicherheitspläne und -infrastrukturen neu zu gestalten und zu aktualisieren, einschließlich Strategien und Vorschriften, die Unternehmen beim Umgang mit unseren wertvollsten digitalen Ressourcen befolgen müssen.
Strategische Schutzrichtlinien für Cybersicherheit sind kein neues Konzept, und Organisationen wie NIST haben viele Jahre lang die Politik der globalen Regierungsbehörden beeinflusst. Da wir den digitalen Fortschritt in rasantem Tempo erlebt haben, ist es für viele schwierig geworden, mit der Anzahl der Bedrohungen, möglichen Angriffsvektoren und Compliance-Anforderungen Schritt zu halten, die Teil einer sich ständig ändernden Landschaft sind.
Ein aktuelles Verstoß gegen 54.000 Führerscheine aus New South Wales Aufgrund eines leicht zugänglichen, falsch konfigurierten S3-Buckets auf einem Server eines Drittanbieters wurden Tausende von Personen kompromittiert. Der Sicherheitsforscher, der das Problem gemeldet hat, räumte ein, dass die Daten möglicherweise bereits im Dark Web verkauft wurden. Das Traurige daran ist, dass dies eine einfache Lösung ist und es unwahrscheinlich gewesen wäre, wenn die Sicherheit bei der Konfiguration des Caches im Vordergrund gestanden hätte.
Die australische Regierung veröffentlichte kürzlich die Australische Cybersicherheitsstrategie 2020, in dem neue Initiativen und ein Finanzierungsschub von 1,67 Mrd. USD hervorgehoben werden, der in den nächsten zehn Jahren verwendet werden soll, um ihre „Vision zu verwirklichen, eine sicherere Online-Welt für Australier, ihre Unternehmen und die grundlegenden Dienstleistungen zu schaffen, von denen wir alle abhängig sind“. Dies ist eindeutig eine sehr begrüßenswerte Überprüfung und Aktualisierung des Plans, zumal eines der Hauptziele darin besteht,
„Maßnahmen von Unternehmen zur Sicherung ihrer Produkte und Dienstleistungen und zum Schutz ihrer Kunden vor bekannten Cyberschwachstellen„.
Während Regierungsbehörden dazu neigen, sich auf die Sicherheitsmaßnahmen in Bezug auf die kritische Infrastruktur eines Landes zu konzentrieren — Bereiche, die reif für einen katastrophalen organisierten Angriff sind —, fehlte es in der Vergangenheit an Richtlinien für die Unternehmen, die unsere Daten täglich sammeln und verwenden.
Nun, wenn es um offizielle Strategien wie diese geht, geht es nicht immer um Bier und Kegel. Es kann etwas schwierig zu interpretieren sein, und die Details sind vage, sodass es dem Sicherheitsteam eines Unternehmens überlassen wird, einen Plan auf der Grundlage unspezifischer Richtlinien zusammenzustellen. Dieses Problem betrifft nicht nur die australische Regierung, aber lassen Sie uns ihre brandneue Version analysieren.
Ein Fokus auf Reaktion, nicht auf Prävention.
Die aktualisierte australische Cybersicherheitsstrategie ist eine relevantere Weiterentwicklung gegenüber der letzten Version von 2016. Sie enthält ziemlich umfassende Pläne für Unternehmen, insbesondere KMU. Die Strategie umreißt:
„Regierungen und große Unternehmen werden kleine und mittlere Unternehmen (KMU) dabei unterstützen, ihr Bewusstsein und ihre Fähigkeiten im Bereich Cybersicherheit zu erweitern und zu verbessern. Die australische Regierung wird mit großen Unternehmen und Dienstleistern zusammenarbeiten, um KMU Informationen und Tools zur Cybersicherheit im Rahmen von „Bündeln“ sicherer Dienste (z. B. zur Abwehr von Bedrohungen, Virenschutz und Schulung zur Sensibilisierung für Cybersicherheit) zur Verfügung zu stellen.“
Dies wird KMU eine solide Grundlage bieten, auf der sie ihr Unternehmen vor Cyberbedrohungen schützen können, aber es handelt sich größtenteils um einen reaktiven Ansatz, und der Schwerpunkt liegt auf Erkennungstools — einem relativ kleinen Teil der Cybersicherheitslandschaft.
Es gibt auch überraschend wenig Informationen darüber, wie große Unternehmen sich schützen und ihre Angriffsvektoren reduzieren können. Viele sind zwar Teil der Pläne zum Schutz kritischer Infrastrukturen (wie Telekommunikation, Transport), Finanzdienstleistungen, Einzelhandel, und viele andere Branchen haben viel zu verlieren, wenn es um einen erfolgreichen Cyberangriff geht. Vielleicht wird dies Teil der bevorstehenden Gesetzgebung sein, aber trotzdem ist es von grundlegender Bedeutung, die Bedeutung akribischer Best Practices für Cybersicherheit auf Unternehmensebene hervorzuheben, um signifikante Veränderungen und einen Rückgang kompromittierter Daten und Cyberkriminalität zu beobachten.
Insgesamt basiert die Strategie, wenn man sie als Ganzes betrachtet, auf einem reaktiven Ansatz. Die Bekämpfung von Cyberangriffen, die Bekämpfung aktiver Cyberkrimineller und die Sicherstellung ihrer Strafverfolgung sowie der Informationsaustausch mit internationalen Verbündeten sind wichtige Faktoren. Stellen Sie sich jedoch vor, der landesweite Schutzstandard würde auf Prävention ausgerichtet sein. Wenn neben Schutzmaßnahmen für kritische Infrastrukturen in jedem Unternehmen die Sicherheit an erster Stelle steht und jede Person, die den Code berührt, der unsere digitale Welt erstellt, angemessen gerüstet ist, um Angriffe abzuwehren, bevor sie passieren, ist die Ersparnis an Zeit, Geld und Herzschmerz für die Opfer unermesslich.
Resilienz ist möglich, muss aber geplant werden.
Aus den Bemühungen der australischen Regierung, die Cybersicherheit ernst zu nehmen, geht hervor, dass sie auf nationaler Ebene als Hauptrisikobereich identifiziert wurde. Wie bei jedem anderen böswilligen Angriff, der unsere Lebensweise stören kann, ist Widerstandsfähigkeit absolut entscheidend — nicht nur, um einem solchen Versuch standzuhalten, sondern auch, um abzuschrecken, dass er überhaupt stattfindet. Am Ende des Tages können selbst Bedrohungsakteure faul sein, und sie werden zu einem leichteren Ziel übergehen, um ihr Ziel zu erreichen, wenn zu viele Hindernisse ihrem Erfolg im Weg stehen.
Im Moment Wir stehen vor einem globalen Fachkräftemangel im Bereich Cybersicherheit, und das ist etwas, das CISOs auf der ganzen Welt nachts wach hält. Milliarden von Codezeilen, ständige groß angelegte Datenschutzverletzungen und ein höheres Risiko, bestraft zu werden (allein Marriott) erhielt eine DSGVO-Geldbuße in Höhe von 123 Mio. USD für ihre Datenschutzverletzung 2018... und sie hatte dieses Jahr einen weiteren Verstoß) hat als je zuvor zu einer Nachfragelücke nach Sicherheitsspezialisten geführt, die realistischerweise kaum geschlossen werden wird. Es gibt einfach zu viel Code und zu wenig Ressourcen, um sicherzustellen, dass der Code aus allen Blickwinkeln geschützt ist.
Sollten wir also die Vorstellung aufgeben, dass wir angesichts von Cyberbedrohungen jemals wirklich standhaft dastehen werden? Keine Chance. Resilienz erfordert, alle verfügbaren Ressourcen zu nutzen und einen Schritt voraus zu denken. Und für viele Unternehmen ihre Entwickler können eine leistungsstarke Methode der Verstärkung freischalten, während der Code geschrieben wird. In Kombination mit einer sichtbaren, positiven Sicherheitskultur im gesamten Unternehmen bietet dies eine sichere Grundlage, die für viele Angreifer nur schwer zu erschüttern und zu durchbrechen ist. Bei dieser Methode müssen jedoch die Vorschläge der australischen Cybersicherheitsstrategie als Beispiel genommen und eingehender untersucht werden, wie sie angepasst werden können, um effektive Veränderungen zu unterstützen, die für das Unternehmen relevant sind.
Zu diesem Zweck ist es wichtig, einige der Tipps aufzuschlüsseln:
- Schulung des Sicherheitsbewusstseins: Dies richtet sich speziell an KMU und zielt im Zusammenhang mit dem gesamten Bericht hauptsächlich darauf ab, allen Mitarbeitern grundlegende Sicherheitshygiene zu vermitteln (z. B. das Erkennen von Phishing-E-Mails, das Nichtanklicken unbekannter Links usw.). Realistischerweise muss es viel weiter gehen und rollenspezifisch werden, insbesondere für diejenigen, die Code bearbeiten, wie Entwickler. Es ist unerlässlich, dass Schulungen zum Sicherheitsbewusstsein ein Bestandteil präventiver Maßnahmen und des Aufbaus der Widerstandsfähigkeit sind
- Bildung: In einer erfrischenden Änderung gibt es einen umfassenden Plan zur Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit in den nächsten zehn Jahren, indem der Schwerpunkt auf Cybersicherheitsschulungen von der Grund- und Sekundarstufe bis hin zur Hochschulbildung gelegt wird. Dies ist dringend erforderlich, wenn wir die Sicherheits-Superstars der Zukunft aufbauen wollen, aber aus der Perspektive, die aktuellen Geschäftsanforderungen zu erfüllen, ist eine praktische Schulung der Entwicklungskohorte in sicherer Codierung eine absolute Notwendigkeit, um mit der Reduzierung gängiger Sicherheitslücken zu beginnen, und muss Teil eines funktionalen Sicherheitsprogramms sein.
Als Sicherheitsexperten müssen wir mehr tun, um Unternehmen auf der ganzen Welt zu vermitteln, wie wichtig es ist, ein internes Sicherheitsprogramm aufzubauen, das über einfache grundlegende Sensibilisierungsmaßnahmen hinausgeht. Zeit in die Weiterbildung von Entwicklern zu investieren, entlastet überlastete AppSec-Spezialisten. Um die Angriffsfläche von Software zu reduzieren, ist es von entscheidender Bedeutung, sicherzustellen, dass das gesamte Unternehmen im Rahmen seiner Rolle so sicherheitsbewusst wie möglich ist.
Die Weiterbildung von Entwicklern ist gut investierte Zeit. Warum ignorieren so viele Unternehmen sie?
Eine kürzlich von DDLS durchgeführte Umfrage kam zu dem Schluss, dass australische Unternehmen kaum ein Gefühl der Priorität haben, wenn es um Cybersicherheitsschulungen geht. In der Tat es hat nicht einmal die drei wichtigsten Trainingsprioritäten erreicht, obwohl 77% der Befragten das Bewusstsein für Cybersicherheit in ihrem Unternehmen als „extrem“ oder „sehr wichtig“ einstufen.
Kein Wunder also, dass Australien Schwierigkeiten hat, die wachsende Qualifikationslücke zu schließen, und noch einiges zu tun hat, um eine widerstandsfähigere Infrastruktur zu schaffen, von grundlegenden Dienstleistungen bis hin zum Einzelhandel und allem dazwischen.
Hier besteht eine enorme Chance für Regierungen um eine grundlegende Zertifizierung oder Verordnung für Sicherheitskompetenzen zu schaffen, und in der Strategie wird darauf hingewiesen, dass dies eine Möglichkeit ist, mit begrenzten Ressourcen zu arbeiten. Aber auch hier scheint es sich um einen Vorschlag für einen zukünftigen Staat zu handeln, und wir verfügen über die Instrumente, um viel früher zu beginnen, wenn wir uns zuerst auf Bereiche mit großer Wirkung konzentrieren. Für mich liegt der Hoffnungsträger in den Entwicklungsteams in den einzelnen Organisationen. Wenn sie über die Tools und das Wissen verfügen, um erfolgreich zu sein, können sie häufig auftretende Sicherheitslücken im Handumdrehen beheben und das Risiko einer Datenschutzverletzung innerhalb ihrer Organisation erheblich reduzieren.
Im Jahr 2019 24% aller Datenschutzverletzungen wurden durch menschliches Versagen verursacht - nämlich Sicherheitsfehlkonfigurationen — bei denen es sich in der Regel um relativ einfache Korrekturen auf Codeebene handelt. Wenn hier Schulungen in Verbindung mit dem Aufbau eines unternehmensweiten Sicherheitsbewusstseins zur Priorität erhoben werden, wette ich, dass weniger CISOs Benachrichtigungen über Sicherheitslücken an Tausende von kompromittierten Kunden absegnen würden.
%20(1).avif)
.avif)
