新的 NIST 指南:为什么定制培训对于创建安全软件至关重要
2019 年 6 月 11 日,美国国家标准与技术研究所 (NIST) 发布了更新的白皮书,详细介绍了 几项行动计划 用于减少 软件漏洞 和网络风险。标题 通过采用安全软件开发框架 (SSDF) 来降低软件漏洞的风险,NIST为各组织提供了可靠的指导方针,以避免数据泄露带来的令人讨厌,更不用说代价高昂的后果了。
值得注意的是,SSDF 故意是通用的,它并不假设每个组织都有完全相同的软件安全目标,也没有规定实现这些目标的确切机制。主要目标是实施安全最佳实践。正如作者唐娜·多德森所说:“尽管希望每个安全生产者遵循所有适用的做法,但预计每种做法的实施程度将因生产者的安全假设而异。这些做法为实施者提供了灵活性,但也很明确,可以避免留下太多的解释余地”。
当然,我特别感兴趣的是围绕开发人员软件安全培训的具体内容。现在,我们早就知道开发人员要想从软件开发过程一开始就保护组织,就需要接受足够的培训... 但是什么是 充足的,到底是吗?有很多不同的观点。但是,我认为极限终于朝着将带来重大积极成果的方向发展。
有安全培训... 还有有效的安全培训。
我已经详细谈到了需要更有效地实施、参与软件安全培训并根据开发人员的需求量身定制。即使是现在,在许多组织中,这充其量也是一项 “打勾式” 的练习。也许有几个小时的视频培训,甚至是将宝贵的时间花在工具上进行课堂学习。攻击者利用众所周知(通常很容易修复)的漏洞,每隔一天就会发生大规模数据泄露事件,这一事实证明软件安全培训远未达到预期的效果。而且,也许最重要的是,几乎没有什么办法可以验证培训是否有效:漏洞修复速度更快吗?代码中的漏洞减少了吗?人们真的完成了培训,还是他们只是点击 “下一步” 完成了培训?
开发人员是忙碌的人,他们努力在严格的最后期限之前交付。在很多时候,安全性会带来不便,他们在教育期间很少具备成功降低网络风险的知识。当AppSec团队的成员指出其工作中的缺陷时,通常会出现 “安全” 一词,这导致了一种相当冷淡和功能失调的关系。“你的宝宝很丑;去修理它” 的场景。
这告诉我们什么?这是一个长达数十年的危险信号,表明我们在安全性方面做得还不够;他们没有动力承担责任,也没有寻找所需的工具来创建功能齐全但考虑到安全最佳实践的软件。
开发人员聪明、富有创造力,喜欢解决问题。观看无休止的有关安全漏洞的视频不太可能激发他们的兴趣,也不会帮助他们保持参与度。在我担任 SANS 讲师期间,我很快了解到最好的培训是动手训练,迫使他们使用真实世界的例子来测试他们的大脑,在先前的学习基础上进行分析和接受智力挑战。游戏化和友好竞争也是让所有人了解新概念的强大工具,同时在应用中保持实用性和实用性。
NIST的指导方针规定:“为所有担任有助于安全发展的职责的人员提供针对特定角色的培训。定期审查特定角色的培训,并根据需要进行更新。”然后:“定义网络安全人员、安全倡导者、高级管理人员、软件开发人员、产品所有者以及其他参与SDLC的人员的角色和职责。”
该声明虽然没有具体说明培训的类型,但仍有助于将组织向左移动,并有助于将安全最佳实践放在首位。它将寻找有效、更具体的培训解决方案的责任推回了公司,这有望使开发人员掌握正确的工具和知识以取得成功。
文化:缺失的环节。
即使一个组织投入时间和资源来培训开发人员和其他关键员工,强调他们在预防漏洞和降低安全风险方面的作用,但如果一个组织的安全文化仍然从根本上被打破,那么这些努力往往会付诸东流。
如果对个人进行了有效的培训,设定了明确的目标和期望,他们就会更容易了解自己在安全环境中的地位,并在适当的时候承担责任。特别是对于开发人员而言,他们从一开始就获得了编写安全代码的工具和知识。但是,最好在积极的安全环境中精心编排,减少双重处理、相互指责和孤立的项目工作。
安全性必须是整个组织的重中之重,并承诺提供优质、安全的软件。这意味着预算足以利用现实世界的代码漏洞推出有趣、引人入胜的培训,并获得整个组织的支持,以保持势头。在这个不断变化的数字环境中,培训必须像交付一样持续。如果你过去被告知 “一次性” 或 “一劳永逸” 的合规培训足够或有效,那就是一种谬论。
尽管这个新的NIST框架并未具体阐明培育积极的安全文化的要求,但成功遵守其指导方针肯定需要这样的文化。但是,他们确实指出,组织应该 “定义政策,规定组织软件要满足的安全要求,包括供开发人员遵循的安全编码惯例”。
以上内容对于扩大和磨练团队内部的安全技能至关重要,在评估自己的政策和当前的AppSec环境时,考虑以下几点可能会有所帮助:
- 是否明确定义了软件安全准则和期望?
- 每个人都清楚自己在实现目标方面所起的作用吗?
- 培训是否频繁且经过评估?
- 您的开发人员是否意识到他们在常见安全漏洞发生之前将其消除方面可以发挥的巨大作用?
现在,正如我所说,最后一部分在很大程度上取决于他们选择的组织和培训。它必须具有相关性,必须频繁进行,必须引人入胜。找到可以应用于他们日常工作的解决方案,并根据情境积累他们的知识。
现在怎么办?
深入研究这些新指南可能会让人不知所措;确实需要一个村庄才能以尽可能安全的方式创建、验证和部署大多数企业所需的铁质安全软件。这也不仅仅是训练。使用第三方软件时需要考虑一些指导方针(使用存在已知漏洞的组件 还坐在 OWASP 前 10 名,毕竟),有关验证、渗透测试和代码审查的建议,以及安全记录保存指南、适当的工具链和其他所有内容。可以在 Gary McGraw 博士的文章中找到全局切实可行的见解 BSIMM 模型,这在NIST的文件中都有所引用。
但是,如果您的开发人员拥有正确的工具和知识,能够从一开始就真正成功地构建安全软件,则可以取得最快的胜利。在SDLC的后期阶段一次又一次地阻止常见漏洞出现对企业来说更便宜(总体上也更快)。发挥他们的优势,激励他们参与组织的安全方面。这真的很有趣,他们可以成为你将坏人拒之门外的准时英雄,确保我们的数据安全。
参考文献:
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
2019 年 6 月 11 日,美国国家标准与技术研究所 (NIST) 发布了更新的白皮书,详细介绍了 几项行动计划 用于减少 软件漏洞 和网络风险。标题 通过采用安全软件开发框架 (SSDF) 来降低软件漏洞的风险,NIST为各组织提供了可靠的指导方针,以避免数据泄露带来的令人讨厌,更不用说代价高昂的后果了。
值得注意的是,SSDF 故意是通用的,它并不假设每个组织都有完全相同的软件安全目标,也没有规定实现这些目标的确切机制。主要目标是实施安全最佳实践。正如作者唐娜·多德森所说:“尽管希望每个安全生产者遵循所有适用的做法,但预计每种做法的实施程度将因生产者的安全假设而异。这些做法为实施者提供了灵活性,但也很明确,可以避免留下太多的解释余地”。
当然,我特别感兴趣的是围绕开发人员软件安全培训的具体内容。现在,我们早就知道开发人员要想从软件开发过程一开始就保护组织,就需要接受足够的培训... 但是什么是 充足的,到底是吗?有很多不同的观点。但是,我认为极限终于朝着将带来重大积极成果的方向发展。
有安全培训... 还有有效的安全培训。
我已经详细谈到了需要更有效地实施、参与软件安全培训并根据开发人员的需求量身定制。即使是现在,在许多组织中,这充其量也是一项 “打勾式” 的练习。也许有几个小时的视频培训,甚至是将宝贵的时间花在工具上进行课堂学习。攻击者利用众所周知(通常很容易修复)的漏洞,每隔一天就会发生大规模数据泄露事件,这一事实证明软件安全培训远未达到预期的效果。而且,也许最重要的是,几乎没有什么办法可以验证培训是否有效:漏洞修复速度更快吗?代码中的漏洞减少了吗?人们真的完成了培训,还是他们只是点击 “下一步” 完成了培训?
开发人员是忙碌的人,他们努力在严格的最后期限之前交付。在很多时候,安全性会带来不便,他们在教育期间很少具备成功降低网络风险的知识。当AppSec团队的成员指出其工作中的缺陷时,通常会出现 “安全” 一词,这导致了一种相当冷淡和功能失调的关系。“你的宝宝很丑;去修理它” 的场景。
这告诉我们什么?这是一个长达数十年的危险信号,表明我们在安全性方面做得还不够;他们没有动力承担责任,也没有寻找所需的工具来创建功能齐全但考虑到安全最佳实践的软件。
开发人员聪明、富有创造力,喜欢解决问题。观看无休止的有关安全漏洞的视频不太可能激发他们的兴趣,也不会帮助他们保持参与度。在我担任 SANS 讲师期间,我很快了解到最好的培训是动手训练,迫使他们使用真实世界的例子来测试他们的大脑,在先前的学习基础上进行分析和接受智力挑战。游戏化和友好竞争也是让所有人了解新概念的强大工具,同时在应用中保持实用性和实用性。
NIST的指导方针规定:“为所有担任有助于安全发展的职责的人员提供针对特定角色的培训。定期审查特定角色的培训,并根据需要进行更新。”然后:“定义网络安全人员、安全倡导者、高级管理人员、软件开发人员、产品所有者以及其他参与SDLC的人员的角色和职责。”
该声明虽然没有具体说明培训的类型,但仍有助于将组织向左移动,并有助于将安全最佳实践放在首位。它将寻找有效、更具体的培训解决方案的责任推回了公司,这有望使开发人员掌握正确的工具和知识以取得成功。
文化:缺失的环节。
即使一个组织投入时间和资源来培训开发人员和其他关键员工,强调他们在预防漏洞和降低安全风险方面的作用,但如果一个组织的安全文化仍然从根本上被打破,那么这些努力往往会付诸东流。
如果对个人进行了有效的培训,设定了明确的目标和期望,他们就会更容易了解自己在安全环境中的地位,并在适当的时候承担责任。特别是对于开发人员而言,他们从一开始就获得了编写安全代码的工具和知识。但是,最好在积极的安全环境中精心编排,减少双重处理、相互指责和孤立的项目工作。
安全性必须是整个组织的重中之重,并承诺提供优质、安全的软件。这意味着预算足以利用现实世界的代码漏洞推出有趣、引人入胜的培训,并获得整个组织的支持,以保持势头。在这个不断变化的数字环境中,培训必须像交付一样持续。如果你过去被告知 “一次性” 或 “一劳永逸” 的合规培训足够或有效,那就是一种谬论。
尽管这个新的NIST框架并未具体阐明培育积极的安全文化的要求,但成功遵守其指导方针肯定需要这样的文化。但是,他们确实指出,组织应该 “定义政策,规定组织软件要满足的安全要求,包括供开发人员遵循的安全编码惯例”。
以上内容对于扩大和磨练团队内部的安全技能至关重要,在评估自己的政策和当前的AppSec环境时,考虑以下几点可能会有所帮助:
- 是否明确定义了软件安全准则和期望?
- 每个人都清楚自己在实现目标方面所起的作用吗?
- 培训是否频繁且经过评估?
- 您的开发人员是否意识到他们在常见安全漏洞发生之前将其消除方面可以发挥的巨大作用?
现在,正如我所说,最后一部分在很大程度上取决于他们选择的组织和培训。它必须具有相关性,必须频繁进行,必须引人入胜。找到可以应用于他们日常工作的解决方案,并根据情境积累他们的知识。
现在怎么办?
深入研究这些新指南可能会让人不知所措;确实需要一个村庄才能以尽可能安全的方式创建、验证和部署大多数企业所需的铁质安全软件。这也不仅仅是训练。使用第三方软件时需要考虑一些指导方针(使用存在已知漏洞的组件 还坐在 OWASP 前 10 名,毕竟),有关验证、渗透测试和代码审查的建议,以及安全记录保存指南、适当的工具链和其他所有内容。可以在 Gary McGraw 博士的文章中找到全局切实可行的见解 BSIMM 模型,这在NIST的文件中都有所引用。
但是,如果您的开发人员拥有正确的工具和知识,能够从一开始就真正成功地构建安全软件,则可以取得最快的胜利。在SDLC的后期阶段一次又一次地阻止常见漏洞出现对企业来说更便宜(总体上也更快)。发挥他们的优势,激励他们参与组织的安全方面。这真的很有趣,他们可以成为你将坏人拒之门外的准时英雄,确保我们的数据安全。
参考文献:
2019 年 6 月 11 日,美国国家标准与技术研究所 (NIST) 发布了更新的白皮书,详细介绍了 几项行动计划 用于减少 软件漏洞 和网络风险。标题 通过采用安全软件开发框架 (SSDF) 来降低软件漏洞的风险,NIST为各组织提供了可靠的指导方针,以避免数据泄露带来的令人讨厌,更不用说代价高昂的后果了。
值得注意的是,SSDF 故意是通用的,它并不假设每个组织都有完全相同的软件安全目标,也没有规定实现这些目标的确切机制。主要目标是实施安全最佳实践。正如作者唐娜·多德森所说:“尽管希望每个安全生产者遵循所有适用的做法,但预计每种做法的实施程度将因生产者的安全假设而异。这些做法为实施者提供了灵活性,但也很明确,可以避免留下太多的解释余地”。
当然,我特别感兴趣的是围绕开发人员软件安全培训的具体内容。现在,我们早就知道开发人员要想从软件开发过程一开始就保护组织,就需要接受足够的培训... 但是什么是 充足的,到底是吗?有很多不同的观点。但是,我认为极限终于朝着将带来重大积极成果的方向发展。
有安全培训... 还有有效的安全培训。
我已经详细谈到了需要更有效地实施、参与软件安全培训并根据开发人员的需求量身定制。即使是现在,在许多组织中,这充其量也是一项 “打勾式” 的练习。也许有几个小时的视频培训,甚至是将宝贵的时间花在工具上进行课堂学习。攻击者利用众所周知(通常很容易修复)的漏洞,每隔一天就会发生大规模数据泄露事件,这一事实证明软件安全培训远未达到预期的效果。而且,也许最重要的是,几乎没有什么办法可以验证培训是否有效:漏洞修复速度更快吗?代码中的漏洞减少了吗?人们真的完成了培训,还是他们只是点击 “下一步” 完成了培训?
开发人员是忙碌的人,他们努力在严格的最后期限之前交付。在很多时候,安全性会带来不便,他们在教育期间很少具备成功降低网络风险的知识。当AppSec团队的成员指出其工作中的缺陷时,通常会出现 “安全” 一词,这导致了一种相当冷淡和功能失调的关系。“你的宝宝很丑;去修理它” 的场景。
这告诉我们什么?这是一个长达数十年的危险信号,表明我们在安全性方面做得还不够;他们没有动力承担责任,也没有寻找所需的工具来创建功能齐全但考虑到安全最佳实践的软件。
开发人员聪明、富有创造力,喜欢解决问题。观看无休止的有关安全漏洞的视频不太可能激发他们的兴趣,也不会帮助他们保持参与度。在我担任 SANS 讲师期间,我很快了解到最好的培训是动手训练,迫使他们使用真实世界的例子来测试他们的大脑,在先前的学习基础上进行分析和接受智力挑战。游戏化和友好竞争也是让所有人了解新概念的强大工具,同时在应用中保持实用性和实用性。
NIST的指导方针规定:“为所有担任有助于安全发展的职责的人员提供针对特定角色的培训。定期审查特定角色的培训,并根据需要进行更新。”然后:“定义网络安全人员、安全倡导者、高级管理人员、软件开发人员、产品所有者以及其他参与SDLC的人员的角色和职责。”
该声明虽然没有具体说明培训的类型,但仍有助于将组织向左移动,并有助于将安全最佳实践放在首位。它将寻找有效、更具体的培训解决方案的责任推回了公司,这有望使开发人员掌握正确的工具和知识以取得成功。
文化:缺失的环节。
即使一个组织投入时间和资源来培训开发人员和其他关键员工,强调他们在预防漏洞和降低安全风险方面的作用,但如果一个组织的安全文化仍然从根本上被打破,那么这些努力往往会付诸东流。
如果对个人进行了有效的培训,设定了明确的目标和期望,他们就会更容易了解自己在安全环境中的地位,并在适当的时候承担责任。特别是对于开发人员而言,他们从一开始就获得了编写安全代码的工具和知识。但是,最好在积极的安全环境中精心编排,减少双重处理、相互指责和孤立的项目工作。
安全性必须是整个组织的重中之重,并承诺提供优质、安全的软件。这意味着预算足以利用现实世界的代码漏洞推出有趣、引人入胜的培训,并获得整个组织的支持,以保持势头。在这个不断变化的数字环境中,培训必须像交付一样持续。如果你过去被告知 “一次性” 或 “一劳永逸” 的合规培训足够或有效,那就是一种谬论。
尽管这个新的NIST框架并未具体阐明培育积极的安全文化的要求,但成功遵守其指导方针肯定需要这样的文化。但是,他们确实指出,组织应该 “定义政策,规定组织软件要满足的安全要求,包括供开发人员遵循的安全编码惯例”。
以上内容对于扩大和磨练团队内部的安全技能至关重要,在评估自己的政策和当前的AppSec环境时,考虑以下几点可能会有所帮助:
- 是否明确定义了软件安全准则和期望?
- 每个人都清楚自己在实现目标方面所起的作用吗?
- 培训是否频繁且经过评估?
- 您的开发人员是否意识到他们在常见安全漏洞发生之前将其消除方面可以发挥的巨大作用?
现在,正如我所说,最后一部分在很大程度上取决于他们选择的组织和培训。它必须具有相关性,必须频繁进行,必须引人入胜。找到可以应用于他们日常工作的解决方案,并根据情境积累他们的知识。
现在怎么办?
深入研究这些新指南可能会让人不知所措;确实需要一个村庄才能以尽可能安全的方式创建、验证和部署大多数企业所需的铁质安全软件。这也不仅仅是训练。使用第三方软件时需要考虑一些指导方针(使用存在已知漏洞的组件 还坐在 OWASP 前 10 名,毕竟),有关验证、渗透测试和代码审查的建议,以及安全记录保存指南、适当的工具链和其他所有内容。可以在 Gary McGraw 博士的文章中找到全局切实可行的见解 BSIMM 模型,这在NIST的文件中都有所引用。
但是,如果您的开发人员拥有正确的工具和知识,能够从一开始就真正成功地构建安全软件,则可以取得最快的胜利。在SDLC的后期阶段一次又一次地阻止常见漏洞出现对企业来说更便宜(总体上也更快)。发挥他们的优势,激励他们参与组织的安全方面。这真的很有趣,他们可以成为你将坏人拒之门外的准时英雄,确保我们的数据安全。
参考文献:
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
2019 年 6 月 11 日,美国国家标准与技术研究所 (NIST) 发布了更新的白皮书,详细介绍了 几项行动计划 用于减少 软件漏洞 和网络风险。标题 通过采用安全软件开发框架 (SSDF) 来降低软件漏洞的风险,NIST为各组织提供了可靠的指导方针,以避免数据泄露带来的令人讨厌,更不用说代价高昂的后果了。
值得注意的是,SSDF 故意是通用的,它并不假设每个组织都有完全相同的软件安全目标,也没有规定实现这些目标的确切机制。主要目标是实施安全最佳实践。正如作者唐娜·多德森所说:“尽管希望每个安全生产者遵循所有适用的做法,但预计每种做法的实施程度将因生产者的安全假设而异。这些做法为实施者提供了灵活性,但也很明确,可以避免留下太多的解释余地”。
当然,我特别感兴趣的是围绕开发人员软件安全培训的具体内容。现在,我们早就知道开发人员要想从软件开发过程一开始就保护组织,就需要接受足够的培训... 但是什么是 充足的,到底是吗?有很多不同的观点。但是,我认为极限终于朝着将带来重大积极成果的方向发展。
有安全培训... 还有有效的安全培训。
我已经详细谈到了需要更有效地实施、参与软件安全培训并根据开发人员的需求量身定制。即使是现在,在许多组织中,这充其量也是一项 “打勾式” 的练习。也许有几个小时的视频培训,甚至是将宝贵的时间花在工具上进行课堂学习。攻击者利用众所周知(通常很容易修复)的漏洞,每隔一天就会发生大规模数据泄露事件,这一事实证明软件安全培训远未达到预期的效果。而且,也许最重要的是,几乎没有什么办法可以验证培训是否有效:漏洞修复速度更快吗?代码中的漏洞减少了吗?人们真的完成了培训,还是他们只是点击 “下一步” 完成了培训?
开发人员是忙碌的人,他们努力在严格的最后期限之前交付。在很多时候,安全性会带来不便,他们在教育期间很少具备成功降低网络风险的知识。当AppSec团队的成员指出其工作中的缺陷时,通常会出现 “安全” 一词,这导致了一种相当冷淡和功能失调的关系。“你的宝宝很丑;去修理它” 的场景。
这告诉我们什么?这是一个长达数十年的危险信号,表明我们在安全性方面做得还不够;他们没有动力承担责任,也没有寻找所需的工具来创建功能齐全但考虑到安全最佳实践的软件。
开发人员聪明、富有创造力,喜欢解决问题。观看无休止的有关安全漏洞的视频不太可能激发他们的兴趣,也不会帮助他们保持参与度。在我担任 SANS 讲师期间,我很快了解到最好的培训是动手训练,迫使他们使用真实世界的例子来测试他们的大脑,在先前的学习基础上进行分析和接受智力挑战。游戏化和友好竞争也是让所有人了解新概念的强大工具,同时在应用中保持实用性和实用性。
NIST的指导方针规定:“为所有担任有助于安全发展的职责的人员提供针对特定角色的培训。定期审查特定角色的培训,并根据需要进行更新。”然后:“定义网络安全人员、安全倡导者、高级管理人员、软件开发人员、产品所有者以及其他参与SDLC的人员的角色和职责。”
该声明虽然没有具体说明培训的类型,但仍有助于将组织向左移动,并有助于将安全最佳实践放在首位。它将寻找有效、更具体的培训解决方案的责任推回了公司,这有望使开发人员掌握正确的工具和知识以取得成功。
文化:缺失的环节。
即使一个组织投入时间和资源来培训开发人员和其他关键员工,强调他们在预防漏洞和降低安全风险方面的作用,但如果一个组织的安全文化仍然从根本上被打破,那么这些努力往往会付诸东流。
如果对个人进行了有效的培训,设定了明确的目标和期望,他们就会更容易了解自己在安全环境中的地位,并在适当的时候承担责任。特别是对于开发人员而言,他们从一开始就获得了编写安全代码的工具和知识。但是,最好在积极的安全环境中精心编排,减少双重处理、相互指责和孤立的项目工作。
安全性必须是整个组织的重中之重,并承诺提供优质、安全的软件。这意味着预算足以利用现实世界的代码漏洞推出有趣、引人入胜的培训,并获得整个组织的支持,以保持势头。在这个不断变化的数字环境中,培训必须像交付一样持续。如果你过去被告知 “一次性” 或 “一劳永逸” 的合规培训足够或有效,那就是一种谬论。
尽管这个新的NIST框架并未具体阐明培育积极的安全文化的要求,但成功遵守其指导方针肯定需要这样的文化。但是,他们确实指出,组织应该 “定义政策,规定组织软件要满足的安全要求,包括供开发人员遵循的安全编码惯例”。
以上内容对于扩大和磨练团队内部的安全技能至关重要,在评估自己的政策和当前的AppSec环境时,考虑以下几点可能会有所帮助:
- 是否明确定义了软件安全准则和期望?
- 每个人都清楚自己在实现目标方面所起的作用吗?
- 培训是否频繁且经过评估?
- 您的开发人员是否意识到他们在常见安全漏洞发生之前将其消除方面可以发挥的巨大作用?
现在,正如我所说,最后一部分在很大程度上取决于他们选择的组织和培训。它必须具有相关性,必须频繁进行,必须引人入胜。找到可以应用于他们日常工作的解决方案,并根据情境积累他们的知识。
现在怎么办?
深入研究这些新指南可能会让人不知所措;确实需要一个村庄才能以尽可能安全的方式创建、验证和部署大多数企业所需的铁质安全软件。这也不仅仅是训练。使用第三方软件时需要考虑一些指导方针(使用存在已知漏洞的组件 还坐在 OWASP 前 10 名,毕竟),有关验证、渗透测试和代码审查的建议,以及安全记录保存指南、适当的工具链和其他所有内容。可以在 Gary McGraw 博士的文章中找到全局切实可行的见解 BSIMM 模型,这在NIST的文件中都有所引用。
但是,如果您的开发人员拥有正确的工具和知识,能够从一开始就真正成功地构建安全软件,则可以取得最快的胜利。在SDLC的后期阶段一次又一次地阻止常见漏洞出现对企业来说更便宜(总体上也更快)。发挥他们的优势,激励他们参与组织的安全方面。这真的很有趣,他们可以成为你将坏人拒之门外的准时英雄,确保我们的数据安全。
%20(1).avif)
.avif)
