Conciencia de seguridad certificada: una orden ejecutiva para mejorar la calidad de los desarrolladores
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
.avif)
La última orden ejecutiva del Gobierno Federal de los EE. UU. aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan conocimientos y habilidades de seguridad comprobados.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Si existe el tiempo divino, hay que decir que la Administración de Biden dio en el clavo con su Orden ejecutiva (EO), en el que se aborda el plan del gobierno de los EE. UU. para reforzar las redes federales y mejorar los estándares y las mejores prácticas de ciberseguridad en todo el país. Esta estrategia sigue a dos ciberataques recientes y devastadores: la continua violación de la cadena de suministro de Vientos solares, además del Oleoducto colonial ataque a la infraestructura de gas.
Si bien estos acontecimientos indudablemente causaron repercusiones en todos los niveles del gobierno, esta directiva marca un momento emocionante para la futuro de la ciberseguridad. Parece que por fin nos estamos tomando en serio la protección de nuestra existencia digital desde arriba, y no hay mejor momento que ahora para impulsar mejores estándares y un software de mayor calidad.
La EO aborda muchos aspectos de la ciberseguridad funcional, pero por primera vez, describe específicamente el impacto de los desarrolladores y la necesidad de que tengan verificado habilidades y conciencia de seguridad. Durante años, hemos gritado a los cuatro vientos diciendo que este es el camino a seguir para combatir las vulnerabilidades comunes que tan a menudo nos hacen perder, y que los mandatos gubernamentales se alineen con este enfoque es el camino hacia el éxito generalizado en la ciberdefensa.
¿Cómo deben responder las organizaciones (y los departamentos federales por igual) a esta orden? Analicemos algunas de las categorías principales.
«Tick-the-Box» está descartado.
Hace tiempo que señalamos la ineficacia de la mayoría de los tipos de formación en ciberseguridad para desarrolladores. Con frecuencia es demasiado genérica, no se imparte de manera que atraiga e inspire el resultado deseado (léase: código más seguro) y se aborda con muy poca frecuencia. Y lo que es peor, muchas empresas se contentan con una formación «lista para cumplir», es decir, un enfoque que ofrece lo mínimo y listo para cumplir con un requisito operativo y obtener una marca de verificación junto al nombre del desarrollador. Estas estrategias educativas son las que mantienen a todos los CISO en el filo de la navaja, cruzando los dedos y esperando que su empresa no sea víctima de la próxima brecha de seguridad cibernética. Simplemente no sirven para reducir las vulnerabilidades y crear código de mayor calidad.
En la sección 4 del mandato de Biden, se deja en claro la necesidad de que una organización demuestre que sus desarrolladores muestran un cumplimiento de seguridad documentado y verificado:
»Las directrices deberán incluir criterios que puedan utilizarse para evaluar la seguridad del software, incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar la conformidad con las prácticas seguras.»
Hay un pequeño problema con eso: actualmente no existe ninguna certificación estándar de la industria específica para desarrolladores. Poder comparar el nivel de habilidades de programación segura de los desarrolladores y trabajar con cursos y evaluaciones para mejorar esas habilidades es fundamental, ya que permite a las empresas establecer objetivos y lograr el cumplimiento. Cuando los desarrolladores pueden demostrar sus competencias básicas en un entorno práctico y práctico, estas pueden evaluarse y certificarse de forma significativa y fiable. Es fundamental para nuestra oferta en Secure Code Warrior, y nos hemos esforzado por crear un sistema que pueda utilizarse para obtener una certificación fiable y que se pueda personalizar según sus requisitos técnicos y organizativos.
Estas habilidades son valiosas y no se pueden automatizar. La certificación puede transformar a los desarrolladores en una fuerza consciente de la seguridad que puede defender el código base contra las amenazas insidiosas.
Un enfoque en las herramientas para desarrolladores (y en las herramientas en general).
Además de las directrices sobre la verificación de las prácticas de codificación seguras, la EO profundiza bastante en el aspecto de la seguridad relacionado con la automatización y las herramientas.
Simplemente se está produciendo demasiado código como para que los humanos lo manejen solos desde una perspectiva de seguridad, y la automatización, como parte de un extenso paquete tecnológico, es una parte importante de todos los programas de seguridad, como debería ser. Sin embargo, no todas las herramientas se crean de la misma manera, y no existe una «herramienta que las gobierne a todas» que detecte todas las vulnerabilidades en todos los lenguajes de programación. Un buen programa de seguridad adopta un enfoque matizado, especialmente cuando se trata de herramientas y servicios dirigidos a los desarrolladores.
La sección 3 de la EO describe las expectativas de los proveedores que crean software que pueda ser utilizado por el gobierno federal, y las pautas instructivas sobre el uso de herramientas en el proceso de desarrollo:
» (iii) emplear herramientas automatizadas, o procesos comparables, para mantener cadenas de suministro de código fuente confiables, garantizando así la integridad del código;
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las corrijan, que deberán funcionar con regularidad o, como mínimo, antes del lanzamiento del producto, la versión o la actualización.»
Las herramientas de seguridad del paquete tecnológico para desarrolladores son una de las formas de mejorar las mejores prácticas de seguridad con rapidez, garantizando que las versiones tengan la mejor oportunidad de cumplir con los plazos y no se vean retrasadas por errores de seguridad y otros problemas espectaculares. Sin embargo, la cuestión es que los desarrolladores seguirán necesitando un aprendizaje contextual para aprovechar al máximo las herramientas más potentes. Es crucial que comprendan qué es lo que se ha marcado, por qué es peligroso y cómo remediarlo, y esto conllevará menos errores a la hora de identificar las herramientas.
Las mejores herramientas se integrarán con el entorno de los desarrolladores, ayudándoles a producir código de mayor calidad (y más seguro) y garantizarán que la seguridad sea una prioridad.
Asegurar la cadena de suministro.
Una de mis partes favoritas de la EO son los planes integrales para asegurar la cadena de suministro de software. Esto no es sorprendente, dado el evento de SolarWinds, pero es un punto culminante importante:
»La seguridad del software utilizado por el Gobierno Federal es vital para la capacidad del Gobierno Federal de desempeñar sus funciones críticas. El desarrollo de software comercial a menudo carece de transparencia, no se centra lo suficiente en la capacidad del software para resistir los ataques y no cuenta con los controles adecuados para evitar que actores malintencionados lo manipulen. Existe una necesidad urgente de implementar mecanismos más rigurosos y predecibles para garantizar que los productos funcionen de manera segura y según lo previsto... el Gobierno Federal debe tomar medidas para mejorar rápidamente la seguridad e integridad de la cadena de suministro de software, dando prioridad a abordar el software crítico.»
Esta decisión afectará a cualquier empresa de software que quiera hacer negocios con el gobierno de los EE. UU., pero debería aplicarse como norma en todas partes. La falta de transparencia por parte de los proveedores externos (por no hablar de los desarrolladores que utilizan componentes de terceros) con respecto a sus medidas de seguridad hace que sea increíblemente difícil evaluar, validar y declarar que se están cumpliendo las mejores prácticas de ciberseguridad. Debemos analizar los proveedores que utilizamos y el software que crean. Estas acciones pueden considerarse un «esfuerzo adicional», pero deberían ser inherentes al estándar de referencia de las mejores prácticas de ciberseguridad.
Enviar código seguro con confianza ha sido un problema en nuestra industria durante mucho tiempo, pero esta es la oportunidad perfecta para evaluar los procesos actuales y liderar el camino hacia una infraestructura de nube y software reforzada, que es la envidia de quienes se quedan atrás. Hable con nosotros ahora y descubra cómo puede aprovechar Cursos, Evaluaciones, y herramientas para desarrolladores para certificar a su próximo equipo de desarrolladores preocupados por la seguridad.
%20(1).avif)
.avif)
