The Road to DevSecOps: Die Herausforderungen der Application Security

Da unsere Welt heute mehr denn je stark auf Software angewiesen ist, muss Software gleichbedeutend mit Sicherheit sein.

Fast alle Untersuchungen zur Herkunft von Softwareschwachstellen weisen darauf hin, dass es in dem Bezug an Ausbildung, Bewusstsein und Fähigkeit bei der Codierung fehlt. Tatsächlich geben 70 Prozent der Entwickler an, dass ihnen die erforderliche Schulung fehlt, um die von ihnen entwickelte Software angemessen zu sichern. 

  • Es gibt weltweit 22 Millionen Softwareentwickler (Evans Data).
  • 90% der Sicherheitsvorfälle resultieren aus Fehlern im Software-Design oder -Code (DHS).
  • 21% der Datenverletzungen sind auf Software-Schwachstellen (Verizon) zurückzuführen.
  • 1 von 3 neu gescannten Anwendungen hatte in den letzten 5 Jahren SQL-Injection-Schwachstellen (Cisco).
  • Und es gibt ein Verhältnis von 100 zu 1 von Entwicklern im Vergleich zu Anwendungssicherheitspersonal (SANS).

Heutzutage möchten die meisten Unternehmen das Bewusstsein und die Sicherheit erhöhen. Ein AppSec Awareness-Programm sollte in erster Linie zuerst auf Ihre Softwareentwicklungsabteilung ausgerichtet sein und muss regelmäßig durchgeführt und nachverfolgt werden.

Daher ist der beste Ausgangspunkt bei den Entwicklern selbst. Die Realität ist jedoch, dass die heutigen Entwickler andere Prioritäten haben, wie z. B. Fristen, Funktionsfehler, neue Sprachen, Ausweitung der Software-Nutzung, zunehmende Projekte usw.

Wie beginnen Wir normalerweise Gespräch mit einer Organisation rund um ein AppSec Awareness-Programm?
Normalerweise stellen wir der Organisation zuerst diese grundlegende Frage: „Haben Sie derzeit ein AppSec Awareness-Programm für Ihre Entwickler eingerichtet?“ Die meisten Kunden, mit denen wir sprechen, haben entweder ein informelles Programm, bei dem der Entwickler eine bestimmte Anzahl an Schulungen absolvieren muss, während andere überhaupt nichts haben. Obwohl einige Organisationen verbindliche Compliance-Anforderungen wie PCI, GDPR usw. haben, ist ihr aktuelles Programm nicht gut genug konzipiert, um die Compliance-Anforderungen angemessen zu erfüllen. AppSec-Sensibilisierung ist heute nicht mehr nur eine Option.

Wie sieht ein funktionsfähiges und bewährtes AppSec Awareness-Programm aus und wie startet man es?
Es gibt einige wichtige Meilensteine und Ansätze, die jede Organisation umsetzen kann. Zuerst wollen wir ein Engagement der Führung. Das ist kritisch. Executive Sponsoring ist ein wichtiger Erfolgsfaktor, aber es bedeutet nicht, dass man es haben muß, um ein Programm für die Anwendungsentwicklung einzuführen.

Hier sind die 4 Schlüsselbereiche, die berücksichtigt werden müssen, um ein wichtiges Stakeholder-Buy-In zu erhalten:
Kommunizieren Sie zunächst mit Ihrem Führungsteam über das Was, Warum und Wie des AppSec Awareness-Programms und über die Ziele und Vorteile des Programms.

Beantworten Sie zweitens die Fragen Ihrer Führungskräfte zu „Was bringt mir das?“ Normalerweise antworten wir damit:

  • Es stärkt die Verbindungen zwischen Entwicklern und Sicherheitsteams.
  • Es reduziert das Softwarerisiko und verringert das Geschäftsrisiko.
  • Es hilft Ihren Kunden zu demonstrieren, dass Sie eine sicherheitsorientierte Organisation sind (was für alle Organisationen wichtig ist.)

Besprechen Sie anschließend mit Ihren Softwareentwicklungsmanagern die Ziele und Vorteile des Programms, vor allem aus ihrer Sicht.

  • Es reduziert die Anzahl kostspieliger Sicherheitslücken, die die Bereitstellung von Software verzögern.
  • Es stellt die Sicherheit in den Vordergrund der Softwareentwicklung und bezieht Sicherheit als organisationsweite Best-Coding-Praxis ein.
  • Es verbessert die Zusammenarbeit zwischen dem Sicherheitsteam und den Entwicklern.

Was ist der beste Weg, um den Rollout für ein AppSec Awareness Programm zu umzusetzen?

Wichtig ist dabei die richtige Organisationsstruktur zu wählen. Wenn man Teams dazu etabliert wird der Rollout strukturierter und langfristig einfacher zu verwalten. Dies kann nach Geografie, Geschäftsbereichen, Anwendung, Sprache usw. erfolgen. Sprechen Sie mit den Entwicklern über die Besonderheiten des Rollouts. Erklären Sie die Ziele klar und deutlich und machen Sie deutlich, dass es Spaß macht und sehr produktiv ist. Dies ist keine Zeitverschwendung.

Definieren Sie zu Beginn Ihres Programms eine Baseline und bewerten Sie Ihre Anwendungs-entwicklung kontinuierlich daran. So weiß man, wo die Stärken liegen und welche Bereiche verbessert werden müssen.

Der Schlüssel zum Erfolg ist, nachdem Trainings erfolgreich absolviert und Verbesserungen etabliert wurden, dass man dann dem Management den Wert des AppSec Awareness Programms vorstellen kann. Dazu gehören messbare KPIs die zu einem nachgewiesenen Return of Investment führen.

Und dann?

Trainieren, trainieren, trainieren: Führen Sie regelmäßig gezielte Schulungen für bestimmte Zeiträume durch. Und organisieren Sie einen Wettbewerb zwischen den Entwicklern. Setzen Sie ein Incentive-Programm auf. Es muss nicht immer geldbasiert sein. Oft ist Lob und Anerkennung wichtiger.

Verfolgen und bewerten Sie den Fortschritt des AppSec Awareness Programms kontinuierlich und teilen Sie dem Management den Fortschritt in berichtähnlichem Format mit. Und führen Sie Aufzeichnungen zu allen Fortschritten und Problembereichen. Werden Problembereiche identifiziert, müssen diese direkt angegangen werden.

Wenn Sie mehr darüber erfahren möchten, wie Sie ein umfassendes AppSec Awareness-Programm in Ihrem Unternehmen entwickeln können, fordern Sie am besten eine kostenlose Testversion der Codebashing-Lösung an.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Free demo

Request a FREE DEMO about our cloud services

Need Help?

Request a callback and we will contact you

Need Help?

Contact us with any questions you might have