Para que los desarrolladores ayuden a matar a la bestia del cibercrimen, la formación es una misión que consta de dos partes
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
