Kontextuelles, praktisches Lernen: Die überragende Art, Ihr Gehirn für Sicherheit zu trainieren
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und nervenaufreibende Videoschulungen angewiesen sind, um ihre Besten und Intelligentesten in neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
目次
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
