Warum Entwickler unsere beste Verteidigung gegen Cyberangriffe sind
Matias Madou, Mitbegründer und CTO bei Krieger des sicheren Codes, erklärt, warum Entwickler unsere beste Verteidigung gegen Cyberangriffe sind.
Wenn die Beschränkungen nachlassen und wir beginnen, das Licht am Ende des Tunnels zu sehen, könnte es Jahre dauern, bis wir uns vollständig auf das Leben nach der Pandemie eingestellt haben. Gleichzeitig entscheiden sich viele Unternehmen dafür, weiterhin auf Remote- oder Hybridbasis zu arbeiten; Der Zustrom neuer Tools und Technologien zur Unterstützung von Remote-Mitarbeitern brachte eine Reihe neuer Schwachstellen mit sich, auf die IT- und Sicherheitsteams nicht vorbereitet waren.
Kriminelle erkannten schnell, dass Unternehmen nicht für Remote-Arbeit eingerichtet waren, und nutzten die Unterbrechung, um im vergangenen Jahr eine Flut von Angriffen zu starten. In diesem unbekannten Gebiet kann man sich nicht darauf verlassen, dass traditionelle Cybersicherheitsabwehr die Stellung hält; Es sind die Entwickler, die aufsteigen müssen, um die neuen Verteidiger an vorderster Front zu werden.
Damit Organisationen sich besser gegen Cyberangriffe verteidigen können, müssen Entwickler ihre wichtige Rolle bei der Cybersicherheit übernehmen, kontinuierliche Unterstützung erhalten, damit sie Verantwortung teilen können, und Anerkennung für ihre Erfolge erhalten. Darüber hinaus müssen Entwickler kontinuierlich weitergebildet werden, um mit technologischen Fortschritten Schritt halten zu können, Zugang zu den richtigen Ressourcen und einen Rahmen an kontextbezogenem Wissen haben, der praktische sichere Codierungsfähigkeiten vermittelt, ganz zu schweigen von der Bedeutung von hochwertigem, sicherem Code. Es liegt in der Verantwortung von Führungskräften, diese neuen Sicherheitsansätze von oben zu fördern, CISOs, CTOs und Sicherheitsverantwortliche zu befähigen, bestehende Sicherheitsprogramme zu beleben und entwicklerorientiertes Lernen zu priorisieren.
Das Geheimnis liegt in der Vorbereitung
Cyberangriffe werden immer ausgefeilter, und aktuelle Cybersicherheitstools haben Mühe, Schritt zu halten. Herkömmliche Tools wie Firewalls und Antivirensoftware können einige Versuche stoppen, aber die Angriffe, die durch das Netz schlüpfen, können durchschnittlich 280 Tage dauern, bis sie identifiziert und eingedämmt werden Befund von IBM. Die Equifax-Datenschutzverletzung, zum Beispiel, die Informationen über 147 Millionen Menschen offenlegte und das Unternehmen überteuerte 1.7 Milliarden Dollar, blieb unentdeckt für 76 Tage.
Wenn es um Cybersicherheit geht, verlassen sich viele Organisationen immer noch auf reaktive Abwehrmaßnahmen. Die Strategie hinter diesem Ansatz beruht entweder auf der Behebung von Fehlern in bereits ausgeliefertem Code oder auf der Reaktion auf Vorfälle im Katastrophenfall. Dieser Ansatz ist sehr teuer und übersieht einen proaktiven Ansatz, der das menschliche Element der Sicherheit nutzt. Durch Investitionen in ihre Sicherheitsteams können Unternehmen die Situation wieder besser unter Kontrolle bekommen und dabei helfen, Schwachstellen von Anfang an zu beseitigen, bevor häufige, behebbare Fehler an ein bereits überlastetes Sicherheitstool weitergegeben werden.
Sicherheit sollte Priorität haben, nicht Geschwindigkeit
Lange Zeit wurde das Können eines Entwicklers daran gemessen, wie schnell er Code entwickeln kann, wobei Sicherheit ein nachträglicher Gedanke war. Wir müssen dieses Gütesiegel überdenken und den Fokus von Geschwindigkeit auf Sicherheit verlagern. Durch die Entscheidung, Entwickler mit praktikablen Wegen zur Weiterbildung zu unterstützen, können Unternehmen ihre gesamte Software-Pipeline verbessern. Hier besteht eine echte Chance für Unternehmensleiter, diese veraltete Vorstellung umzugestalten und qualitativ hochwertigen, sicheren Code zu priorisieren.
Die Bereitstellung relevanter, tiefgreifender Bildungserfahrungen, die die Grundlage für sichere Programmierkenntnisse bilden, hilft Entwicklern, das Gesamtbild zu sehen und zu verstehen, wie sie dazu beitragen, Cyberangriffe zu verhindern, die durch häufige Schwachstellen verursacht werden. In Verbindung mit Anreizen für das Schreiben von sicherem Code können CISOs und Sicherheitsverantwortliche Entwickler dazu ermutigen, eine Schlüsselrolle in ihren Cybersicherheitsteams zu übernehmen.
Warum wir Entwickler in Sachen Sicherheit an die erste Stelle setzen sollten
Gemäß einer Studie durchgeführt vom IBM System Science Institute, erhöht sich der Aufwand für die Behebung einer Schwachstelle um den Faktor sechs, sobald sie die Entwicklungsumgebung verlässt. Wenn die Schwachstelle während eines herkömmlichen Testprozesses entdeckt wird, nachdem das Programm oder die App fertiggestellt wurde, wird es 15-mal teurer. Wenn ein Unternehmen einen Fehler oder eine Schwachstelle findet, sobald ein Programm in der Produktionsumgebung platziert ist, wirkt sich dies außerdem um das 100-fache nachteiliger auf das Ergebnis eines Unternehmens aus.
Der anfängliche finanzielle Aufwand für die Schulung von Entwicklern zum Schreiben von sicherem Code kann bald gerechtfertigt sein, sobald häufige Sicherheitsfehler behoben werden, bevor sie in der Entwicklungspipeline voranschreiten. Wenn Unternehmensleiter in die Weiterbildung von Entwicklern investieren und sich auf eine effektivere, langfristige Lösung konzentrieren, können sie aktiv vermeiden, den Preis einer Sicherheitsverletzung zu zahlen.
Einen Schritt voraus bleiben
Weiterbildungsprogramme für unterwegs haben nicht immer den besten Ruf und sind nicht immer fair. Insbesondere die Technologie- und Cybersicherheitsbranche ist darauf zurückzuführen, dass sie sich ständig weiterentwickeln, sodass Richtlinien veraltet sind und manchmal kurz vor der Veralterung stehen, bevor sie überhaupt fertig sind.
Lernen sollte kontinuierlich sein, um effektiv zu bleiben. Die Entwicklung eines flexiblen Weiterbildungsprogramms kann zu besserer Programmierung und Entwicklern mit größeren Fähigkeiten führen. Mehrere entwicklergeführte Programme verwenden Lerntools, die Teil des Prozesses selbst werden und den Entwickler warnen, wenn sie Code mit einer bekannten Schwachstelle schreiben, und kontextbezogene, zugängliche Unterrichtsmomente erleichtern, indem sie erklären, wie der Entwickler dieselbe Aktion sicherer hätte ausführen können.
WEITERLESEN:
- Proofpoint: Warum E-Mail die größte Cybersicherheitsbedrohung im Jahr 2021 ist
- Unterstützung Ihrer Remote-Mitarbeiter: Cloud-Migration für Ihr Unternehmen in fünf Schritten
- SolarWinds IT-Trendbericht 2021: Aufbau einer sicheren Zukunft
- Snow Software über Cybersicherheitstrends und -herausforderungen im Jahr 2021
Sicherer Code ist Qualitätscode
Viele häufige Schwachstellen existieren, weil Entwickler die Best Practices für die sichere Codierung nicht befolgt haben und schlechte Codierungsmuster verwenden. Dies ist oft nicht ihre Schuld, und die Kultur und Vermittlung von Sicherheitskompetenzen für sie lässt zu wünschen übrig. Sichere Codierung und Qualitätscodierung sind eng miteinander verbunden. Je mehr Zeit sich Entwickler mit den neuesten Sicherheitspraktiken vertraut machen; desto bewusster sind sie, qualitativ hochwertigen Code zu erstellen.
In einer Welt, in der Unternehmen ständig von Cyberangriffen bedroht werden, ist die Investition in Entwickler ein kluger Schachzug für Unternehmen. Das Erkennen von Schwachstellen in den frühen Phasen der Softwareentwicklung bedeutet, dass sie später nicht zu einem Sicherheitsproblem werden.
Folge uns auf LinkedIn und Twitter
