Para que los desarrolladores ayuden a matar a la bestia del cibercrimen, la formación es una misión que consta de dos partes
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Una versión de este artículo apareció en DevOps.com. Se ha actualizado y distribuido aquí.
El campo de juego entre los héroes y los villanos en la ciberseguridad es notoriamente injusto. Los datos confidenciales son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las defensas, explotando los errores de seguridad grandes y pequeños para obtener ganancias potenciales.
El volumen de código que se produce es demasiado grande para que los expertos en seguridad puedan enfrentarse a él (cada vez más escaso), y el creciente coste de las filtraciones de datos es una prueba de que algo tiene que ceder. Afortunadamente, en aras de nuestra seguridad digital y de la cordura de los CISO de todo el mundo, el movimiento DevSecOps está ayudando a los desarrolladores a emprender el camino de la seguridad desde el principio del proceso de desarrollo del software. Se les reconoce como la primera línea de defensa contra los ciberatacantes, ya que tienen el poder de eliminar las vulnerabilidades más comunes al alcance de la mano.
Sin embargo, sus capacidades defensivas son tan buenas como la formación que reciben, y ese es otro desafío que deben afrontar los equipos de seguridad. Para muchos desarrolladores que reciben formación sobre programación segura mientras trabajan, su principal desafío es mantenerse despiertos mientras realizan actividades sin intervención y que no son eficaces ni les inspiran a mantener la seguridad como prioridad. Los cursos de vídeo sin alma no nos ayudan a conseguirlo, los eventos anuales simbólicos de «marcar las casillas» son una pérdida de tiempo y nadie está ganando contra el potencial actor de amenazas malintencionadas que espera aprovechar una pequeña oportunidad.
En esta etapa de nuestra industria, nos hemos dado cuenta de que la educación contextual y práctica que se imparte en los lenguajes y marcos de programación relevantes, con desafíos que imitan los que un desarrollador podría encontrar en el mundo real, es un enfoque mucho más atractivo.
Esta es la primera fase de la búsqueda de un desarrollador para ayudar a los gurús de AppSec a eliminar las vulnerabilidades más comunes, pero en la segunda fase es donde los escenarios deben hacerse realidad para contar con una fuerza defensiva sobrealimentada y consciente de la seguridad.
El aprendizaje en andamios es fundamental en la educación de adultos
Cuando se trata de cursos extracurriculares o de formación en el puesto de trabajo, a menudo se pasa por alto el hecho de que los adultos traen consigo un cierto nivel de experiencia y conocimientos existentes. Una buena formación contribuye a esta base y está estructurada de manera que permita una comprensión más profunda y una autonomía más rápida en el proceso de aprendizaje.
La educación con andamios es un método de aprendizaje potente y positivo que busca activar y mejorar la experiencia previa, al tiempo que continúa desarrollando nuevas habilidades, en partes manejables, que permitan al alumno abordar tareas cada vez más difíciles con más confianza. Por lo general, es una metodología que se combina mejor con porciones saludables de demostración, ayudas visuales y exploración dirigida por los estudiantes.
Si vinculamos este enfoque a la formación en seguridad de los desarrolladores, no sorprende que el método dinámico de aprendizaje práctico se haya preferido durante mucho tiempo al trabajo pesado que supone el aprendizaje estático basado en la teoría. Son libres de ser los dueños de su dominio y deben asegurarse de que su tiempo esté bien empleado.
En ese sentido, aprender a programar de forma segura en un entorno contextual e hiperrelevante es clave, pero lo que se consigue a partir de este paso es ver una explotación del código vulnerable en acción. Si comparamos el frontend con el backend, existe un vínculo tangible entre las acciones que se llevan a cabo durante el proceso de codificación y lo que un atacante puede hacer si se toman atajos, errores de configuración o accidentes que no se detectan y solucionan.
Pase de la retirada a la solicitud para lograr un enfoque de seguridad verdaderamente preventivo
Experimentar el impacto de las vulnerabilidades de seguridad de primera mano es una pieza vital del rompecabezas educativo, y es algo bastante raro, incluso con las opciones de formación en seguridad más modernas para desarrolladores. El trabajo fundamental dedicado a perfeccionar las habilidades para detectar y corregir las vulnerabilidades, y a recordar esa experiencia para eliminar los mismos errores del código mientras se escribe, es sumamente importante, pero no representa el panorama completo. Para ver cómo el código vulnerable explotado por un actor malintencionado añade una poderosa capa de contexto, una que realmente pone de manifiesto la importancia de proteger el código y de aplicar los conocimientos de seguridad adquiridos con tanto esfuerzo para cerrar todas las oportunidades.
En general, se acepta que a los desarrolladores no les encanta la seguridad y que sienten aún menos interés por la formación en seguridad. Sus experiencias con los especialistas de AppSec pueden ser muy frías, y la dificultad que supone el equipo de seguridad para devolver el código vulnerable a los desarrolladores para que lo corrijan es la ruina de su existencia. Para un equipo de ingeniería que ya está disperso, la seguridad es un problema ajeno, no su prioridad, sino un obstáculo para su creatividad natural y para su objetivo principal de crear funciones. Sin embargo, simplemente hay demasiado código, demasiadas infracciones y demasiados riesgos para los datos del mundo como para que esta mentalidad continúe.
Un proceso de DevSecOps funcional hace que los desarrolladores trabajen en armonía con los equipos de seguridad desde el principio del SDLC, y la oportunidad de aprender aplicado, que les permite interactuar con un exploit simulado y comprobar el impacto de un código mal protegido, contribuye en gran medida a que los desarrolladores estén en sintonía con los molestos usuarios de AppSec (que, al fin y al cabo, no son tan malos).
El aprendizaje interactivo prepara a los desarrolladores para la lucha contra los jefes
En el momento de escribir este artículo, se denunciaron dos infracciones importantes en un período de 7 días: Razer anunció que se habían expuesto más de 100 000 registros de datos confidenciales, mientras que la cadena de material de oficina Staples también informó de una filtración de datos similar. En lo que va de 2020, se han expuesto más de mil millones de registros confidenciales, y esta preocupante tendencia no muestra signos de desaceleración. En pocas palabras, los actores malintencionados tienen la sartén por el mango, y se necesita urgentemente a los desarrolladores que se preocupen por la seguridad para que sirvan de primera línea de defensa.
Los desafíos interactivos que se centran en simular este tipo de infracciones alejan a los desarrolladores de la recuperación pasiva, a aplicar habilidades que repercuten en la verdadera lucha contra un jefe: detener a los atacantes en su camino.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
