창의적인 CISO와 CIO가 보안 프로그램을 혁신하고 혁신할 수 있는 방법
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴; 새로운 정보를 포함하도록 제목이 변경되고 업데이트되었습니다.
CISO와 CIO는 특히 당혹스러운 회사 데이터 침해 사고가 발생한 경우 소프트웨어 보안에 대한 책임을 지는 것은 당연한 일이지만, 관련성을 높일 수 있는 특별한 기회도 얻게 됩니다. 바로 자신들이 새로운 혁신가이며 올바른 접근 방식으로 큰 영향력을 행사할 수 있다는 것입니다.공공 및 상업 조직을 막론하고 지구상의 모든 조직은 빠르게 디지털화되는 세상에서 시장 공간을 유지 (및 확보) 하기 위해 싸우고 있습니다.고객은 과거와 미래의 제품 모두에서 원활한 온라인 경험을 기대하며, 이에 따라 “디지털 우선” 비즈니스 접근 방식이 필수가 되고 있습니다.결국 이러한 기대치를 충족하지 못한다면 기회를 노릴 준비가 되어 있는 경쟁업체가 있을 것이 거의 확실합니다.
그렇다면 이것이 현대의 CISO, 즉 CIO에게 의미하는 바는 무엇일까요?당연하게도 이들은 개발자 팀을 고용하여 디지털 제품 또는 서비스를 구성하는 코드를 한 줄씩 만들고 있다는 뜻입니다.사이버 보안은 수년 동안 주요 고려 사항이었지만, 점점 더 많은 비즈니스 운영이 온라인 및 공격자의 눈에 띄면서 위험 요소가 증가하고 있습니다.침해로 인한 영향은 엄청나지만 디지털화를 거부하는 것은 선택 사항이 아닙니다.
창의적인 CISO와 CIO는 AppSec 및 개발 팀과 함께 디지털 미래의 길을 계속 개척할 수 있는 유리한 위치에 있습니다.이들은 의심할 여지 없이 온라인 비즈니스, 정부 및 공공 서비스의 장기적 혁신을 주도할 것이지만, 빠른 시장 출시 목표와 높은 소프트웨어 품질의 균형을 맞춰야 하는 막중한 책임을 지고 있습니다. 과 보안 위험 완화
이 균형은 지금까지 달성하기가 대단히 어려웠습니다.이로 인해 개발 팀은 일반적으로 특징과 기능을 제공하는 데 주로 초점을 맞추고 급속히 빠져나가는 코드에서 발생할 수 있는 취약점을 고려하지 않고 단편화되는 경우가 많았습니다.AppSec 전문가는 동일한 실수를 지속적으로 수정하며, 비교적 단순한 백도어를 열어 두면 보안 침해 위협이 커질 수 있습니다.
데이터를 안전하게 보호하려면 CISO와 CIO는 팀의 협업 방식을 창의적으로 활용하고 긍정적인 보안과 위에서 아래로 책임을 공유하는 문화를 조성해야 합니다.가 직면한 치명적인 결과를 한 번 보세요. 메리어트 2018년 보안 위반으로 인해 미화 1억 2,300만 달러 이상의 GDPR 벌금이 부과되고, 5억 개 이상의 레코드가 도난당했으며, 보안 평판이 엉망이 되었습니다.이 재해는 대부분 안전하지 않은 코딩 관행의 직접적인 결과로 발생했습니다. 2014년 초에 스타우드 서버에서 발견된 SQL 인젝션 취약점메리어트가 2016년에 인수한 회사입니다.애플리케이션 보안 관점에서 볼 때 이들의 후속 소프트웨어 사용은 분명히 검증되지 않았습니다.이로 인해 악의적인 공격자는 수년 동안 데이터에 액세스하고 데이터를 수집할 수 있게 되었으며, 취약한 암호와 같은 다른 취약점은 시간이 지남에 따라 악용할 수 있는 구멍이 더 많아졌습니다.
CIO와 CISO는 자체 소프트웨어 보안 환경을 매우 신중하게 고려해야 합니다.평균적인 개발자들은 보안에 대해 얼마나 알고 있을까요?AppSec과 개발 팀은 얼마나 잘 협력하고 있나요?“마법의 지팡이” 같은 해결책은 없지만 문화, 교육 및 지원을 개선하고 개선할 수 있습니다.개발 팀 양철통 조직의 첫 번째 데이터 침해 위험에서 벗어나 운영 단계로 넘어가기 전에 악성 코드를 차단하는 보안 슈퍼히어로로 전환하세요.
시큐어 코딩 상태 점검: 생명 유지 서비스를 받고 계신가요?
여러분의 개발팀은 어디에 적합할까요?이 보안 코딩 체크리스트는 CIO와 CISO가 개발팀이 더 빠르고, 더 우수하고, 안전한 코드로 혁신하는 데 도움을 줄 수 있는 진정한 보안 코딩 챔피언이 될 준비가 되어 있는지 (또는 실제로 보안 프로그램 점검이 필요한지 여부) 확인할 수 있도록 돕기 위해 만들었습니다.
1.나머지 최고 경영진은 얼마나 지지하고 있나요?기존 네트워크 보안으로는 더 이상 충분하지 않다는 사실을 이해하고 있습니까?
소프트웨어의 미래에는 구식 보안 조치를 사용하여 네트워크 계층을 보호하는 것만으로는 충분하지 않습니다 (솔직히 말해서 거의 성공하지 못합니다). 심지어 준 전문가 해커에게도 마찬가지입니다.일관성 있는 여러 보고서 중에서도 버라이존의 “2017 데이터 침해 조사 보고서“오늘날 데이터 침해의 무려 35% 가 웹 애플리케이션 취약점으로 인해 발생한다고 합니다.
웹 애플리케이션 보안은 네트워크 보안만큼이나 중요합니다. 이를 무시하고 AppSec 조치의 기본적이고 기본적인 보호 계층에 대한 예산을 책정하지 않으면 보안 침해 위험에 노출될 수 있습니다.
2.왼쪽으로 충분히 많이 움직이고 있고, 충분히 일찍 움직이고 있나요?
애플리케이션 보안에 대한 현재의 접근 방식은 소프트웨어 개발 수명 주기 (SDLC) 에서 오른쪽에서 왼쪽으로 이동하는 데 초점을 맞추어 상당히 많은 도구를 사용합니다.이는 정의 및 설계상 프로세스에 결함이 있음을 인지하고 탐지 및 대응 결과를 뒷받침합니다.보안팀은 이미 작성된 코드에서 취약점을 찾아 탐지하고, 커밋된 코드가 작성될 때 버그가 없는지 확인하는 대신 수정하기 위해 대응하고 있습니다.국립 표준 기술 연구소에 따르면 (NIST), 그것은 커밋된 코드의 취약점을 탐지하고 수정하는 데 30배 더 많은 비용 소요 IDE에 작성된 것처럼 이를 방지하기 위한 것입니다.여기에는 제작 지연, 이중 처리, 잘 알려진 동일한 보안 문제를 반복해서 해결하는 데 소요되는 시간도 고려되지 않았습니다.
진정으로 강력한 보안 문화는 다음과 같이 주장합니다. 시작 왼쪽: 개발자 집단 내 보안 챔피언에게 영감을 주는 동시에 개발 팀에게 보안 코딩 사고방식으로 성장하고 행동할 수 있는 올바른 도구와 교육을 제공했습니다.지속적인 자기 계발과 문제 해결 능력을 발휘하여 조직의 첫 번째 방어선이 되어 일반적인 취약점이 발생하지 않도록 방지하는 데 중점을 두고 있습니다.
3.실용적인 보안 기술을 쌓기 위해 노력하고 있습니까, 아니면 일방적인 지식을 제공하고 있습니까?
대부분의 보안 교육 솔루션 (온라인 및 CBT) 은 직무와 직접 관련된 실용적인 기술 대신 지식을 구축하는 데 중점을 둡니다.개발자가 번창하고 보안 코드 작성에 참여하려면 실제 환경에서 기술을 계속 학습하고 개발하도록 적극적으로 장려하는 상황에 맞는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드 예제를 통해 최근에 발견된 취약점에 대해 학습하고 선호하는 언어와 프레임워크로 작업할 수 있어야 합니다.이러한 학습 경험은 학생들이 작업 과정에서 활발히 작업하고 있는 코드의 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 효과적입니다.
세상에는 지식이 풍부한 교사가 많고 보안 취약점 해결에 관한 정보는 넘쳐나지만 교과서를 훑어보거나 몇 시간 분량의 비디오를 시청하는 것으로는 창의적이고 문제를 해결하는 개발자의 마음을 사로잡지 못합니다. 데이터 침해가 지속적으로 발생한다는 징후를 보이더라도 취약점이 코드에 들어가는 것을 방지하는 데는 거의 효과가 없습니다.
4.실시간 메트릭으로 보안 코딩 기술을 측정하고 계신가요?
개발 팀 내에서 보안 우선 사고방식을 구축하는 데 있어 중요한 단계는 증거를 수집하고 검토하는 것입니다.이는 추측이나 추측에 의존해서는 안 됩니다. 개발자는 보안을 중시하거나 그렇지 않습니다.
메트릭스는 개발자와 조직에 그들의 노력이 결실을 맺고 있고 개개인의 보안 코딩 기술이 향상되고 있음을 증명하려고 합니다.측정할 수 없는 것은 개선할 수 없습니다.관련 평가가 있어야 하며, 이를 통해 개발 팀의 진행 상황을 실시간으로 파악할 수 있을 뿐만 아니라 지속적인 개선을 위해 보안 코딩의 강점과 약점을 벤치마킹하는 데도 도움이 됩니다.
보안 교육이 효과적인지, 참여도가 높은지, 심지어 유지되었는지에 대한 강조도 없이 조직에서 보안 교육이 “꼭 필요한” 교육으로 전락하는 경우가 너무 많습니다.
5.아웃소싱 공급업체가 강력한 보안 코딩 기술을 사용하고 있습니까?
많은 조직에서 개발 작업을 타사 기관에 위탁하기로 결정합니다.기업이 해외에 있든 해외에 있든 그들의 일반적인 보안 코딩 능력과 관행은 고객에게 상대적으로 수수께끼입니다.최상의 경우, 조직이 보안과 관련하여 받을 수 있는 유일한 형태의 보증은 결과물의 “보안”을 요구하는 계약서의 명세서뿐입니다.이러한 개발 업체의 기술을 사전에 검증하기 위한 조치를 취하는 회사는 거의 없습니다. 따라서 간략한 내용대로 작동하지만 건전한 보안 코딩 관행을 따르지 않고 구축된 소프트웨어를 제공받을 위험이 있습니다.설상가상으로, 구매 회사가 애플리케이션의 본질적인 보안 결함을 인지하지 못하면 취약한 소프트웨어를 외부로 내보낼 위험이 있습니다.
가장 일반적인 시나리오는 전담 보안 전문가 (찾기가 어렵고 비용이 많이 드는 개인) 가 취약점을 찾아내는 경우로, 출시 날짜가 지연되고, 누가 이러한 보안 취약점을 수정하기 위해 비용을 지불해야 하는지에 대한 계약상의 논의가 발생할 수 있습니다.하지만 똑똑하고 다음 애플리케이션을 구축할 개발자의 애플리케이션 보안 기술을 평가하면 잠재적인 지연, 좌절 및 현금을 크게 줄일 수 있습니다.
6.개발자들이 가장 흔하게 악용되는 보안 취약점을 알고 있습니까?
악용되는 웹 애플리케이션 취약점의 85% 이상은 단지 10개의 알려진 취약점에 기인합니다.” OWASP 탑 10.애플리케이션 보안 교육에서는 최소한 이러한 취약성 유형과 더불어 더 많은 취약성 유형도 다루어야 합니다.개발자가 직면하는 교육 과제는 정기적으로 수정 및 업데이트되어야 하며, 새로운 코딩 프레임워크나 새로운 취약성 유형에 대한 새로운 과제도 함께 수정해야 합니다.
실제 보안 코딩 시나리오를 사용한 정밀 교육이 표준이어야 합니다. 모호한 일반 지식은 효과가 없습니다.(이러한 보안 코딩 시나리오가 어떤 모습일지 궁금하신가요?저희 사이트를 확인해 보세요 코더들이 보안을 정복하다 블로그 시리즈; 각 게시물에는 플레이 가능한 챌린지가 있습니다).
7.사내 보안 전문가가 있나요?
개발자 중심의 모든 조직은 보안 챔피언, 즉 개발팀 내에서 높은 보안 표준을 유지할 책임을 지는 사람에게 투자해야 합니다.이들의 목적은 보안과 관련하여 궁금한 점이 있는 모든 사람을 위한 지원 담당자가 될 뿐만 아니라 보안 모범 사례를 따르는 것을 주요 지지자가 되는 것입니다.
이는 보안 문화 퍼즐의 중요한 부분입니다. 훌륭한 보안 챔피언은 집중적인 교육을 통해 추진력을 유지하고, 팀의 모든 구성원이 필요한 것을 갖추도록 하며, 계속해서 지원을 요청할 수 있습니다.
8.개발자들이 보안 코딩을 더 쉽게 할 수 있는 도구에 투자하셨나요?
조직이 애자일 개발을 실천하는 조직이거나 실제로 회사에서 구축한 애플리케이션을 자주 업데이트해야 하는 경우, 보안의 일부를 자동화하는 것만이 정신없는 속도와 업무량을 따라잡을 수 있는 유일한 방법 중 하나입니다.
SDLC의 각 단계에는 어드바이저, 품질 게이트키퍼 또는 탐지 도구 역할을 하는 도구가 있습니다.또한 일부 도구는 코드에 대한 자동 테스트를 실행하여 소프트웨어가 생산되면 해킹 시도를 시뮬레이션합니다.모든 도구에는 고유한 장점과 문제점이 있으며, 누구도 포괄할 수 없습니다. 애플리케이션 내에 보안 위협이 존재하지 않는다는 것을 100% 보증합니다.취할 수 있는 가장 중요한 예방 조치는 취약점을 조기에 발견할수록 비즈니스에 미치는 영향을 최소화하면서 더 빠르고 저렴하게 해결할 수 있다는 것입니다.
미래 지향적인 CISO를 위한 다음 단계
그렇다면 귀사는 위의 체크리스트와 비교했을 때 어떤 성과를 거두었을까요?
CISO와 CIO는 기본적으로 엔터프라이즈 DevOps 및 DecSecOps 기능을 적극적으로 구축해야 하지만, 그렇다고 해서 팀 전체에 적합한 도구와 교육을 고려하고 구현할 시간이 없다는 의미는 아닙니다.보안 코딩 기술은 혁신을 가로막는 것이 아니라 무기가 될 것이며, 이를 포기하면 회사의 평판과 데이터가 완전히 파괴될 수 있습니다.이러한 기술은 중요한 기능이며 취약점을 줄이고 위험을 완화하는 훨씬 저렴한 장기적 솔루션이기도 합니다.
훌륭하고 혁신적인 CISO는 건강한 보안 문화를 위에서 아래로 조율할 수 있습니다. 직원들이 보안 모범 사례를 효과적으로 실행하는 데 필요한 것을 갖추도록 하세요.
피터 다니유는 보안 전문가이자 의 공동 설립자입니다. 시큐어 코드 워리어.
창의적이고 영감을 주는 CISO와 CIO는 디지털 세상을 혁신하고 변화시킬 수 있는 힘을 가지고 있지만 조직의 보안 문화를 변화시키는 데도 중요한 역할을 할 수 있습니다.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴; 새로운 정보를 포함하도록 제목이 변경되고 업데이트되었습니다.
CISO와 CIO는 특히 당혹스러운 회사 데이터 침해 사고가 발생한 경우 소프트웨어 보안에 대한 책임을 지는 것은 당연한 일이지만, 관련성을 높일 수 있는 특별한 기회도 얻게 됩니다. 바로 자신들이 새로운 혁신가이며 올바른 접근 방식으로 큰 영향력을 행사할 수 있다는 것입니다.공공 및 상업 조직을 막론하고 지구상의 모든 조직은 빠르게 디지털화되는 세상에서 시장 공간을 유지 (및 확보) 하기 위해 싸우고 있습니다.고객은 과거와 미래의 제품 모두에서 원활한 온라인 경험을 기대하며, 이에 따라 “디지털 우선” 비즈니스 접근 방식이 필수가 되고 있습니다.결국 이러한 기대치를 충족하지 못한다면 기회를 노릴 준비가 되어 있는 경쟁업체가 있을 것이 거의 확실합니다.
그렇다면 이것이 현대의 CISO, 즉 CIO에게 의미하는 바는 무엇일까요?당연하게도 이들은 개발자 팀을 고용하여 디지털 제품 또는 서비스를 구성하는 코드를 한 줄씩 만들고 있다는 뜻입니다.사이버 보안은 수년 동안 주요 고려 사항이었지만, 점점 더 많은 비즈니스 운영이 온라인 및 공격자의 눈에 띄면서 위험 요소가 증가하고 있습니다.침해로 인한 영향은 엄청나지만 디지털화를 거부하는 것은 선택 사항이 아닙니다.
창의적인 CISO와 CIO는 AppSec 및 개발 팀과 함께 디지털 미래의 길을 계속 개척할 수 있는 유리한 위치에 있습니다.이들은 의심할 여지 없이 온라인 비즈니스, 정부 및 공공 서비스의 장기적 혁신을 주도할 것이지만, 빠른 시장 출시 목표와 높은 소프트웨어 품질의 균형을 맞춰야 하는 막중한 책임을 지고 있습니다. 과 보안 위험 완화
이 균형은 지금까지 달성하기가 대단히 어려웠습니다.이로 인해 개발 팀은 일반적으로 특징과 기능을 제공하는 데 주로 초점을 맞추고 급속히 빠져나가는 코드에서 발생할 수 있는 취약점을 고려하지 않고 단편화되는 경우가 많았습니다.AppSec 전문가는 동일한 실수를 지속적으로 수정하며, 비교적 단순한 백도어를 열어 두면 보안 침해 위협이 커질 수 있습니다.
데이터를 안전하게 보호하려면 CISO와 CIO는 팀의 협업 방식을 창의적으로 활용하고 긍정적인 보안과 위에서 아래로 책임을 공유하는 문화를 조성해야 합니다.가 직면한 치명적인 결과를 한 번 보세요. 메리어트 2018년 보안 위반으로 인해 미화 1억 2,300만 달러 이상의 GDPR 벌금이 부과되고, 5억 개 이상의 레코드가 도난당했으며, 보안 평판이 엉망이 되었습니다.이 재해는 대부분 안전하지 않은 코딩 관행의 직접적인 결과로 발생했습니다. 2014년 초에 스타우드 서버에서 발견된 SQL 인젝션 취약점메리어트가 2016년에 인수한 회사입니다.애플리케이션 보안 관점에서 볼 때 이들의 후속 소프트웨어 사용은 분명히 검증되지 않았습니다.이로 인해 악의적인 공격자는 수년 동안 데이터에 액세스하고 데이터를 수집할 수 있게 되었으며, 취약한 암호와 같은 다른 취약점은 시간이 지남에 따라 악용할 수 있는 구멍이 더 많아졌습니다.
CIO와 CISO는 자체 소프트웨어 보안 환경을 매우 신중하게 고려해야 합니다.평균적인 개발자들은 보안에 대해 얼마나 알고 있을까요?AppSec과 개발 팀은 얼마나 잘 협력하고 있나요?“마법의 지팡이” 같은 해결책은 없지만 문화, 교육 및 지원을 개선하고 개선할 수 있습니다.개발 팀 양철통 조직의 첫 번째 데이터 침해 위험에서 벗어나 운영 단계로 넘어가기 전에 악성 코드를 차단하는 보안 슈퍼히어로로 전환하세요.
시큐어 코딩 상태 점검: 생명 유지 서비스를 받고 계신가요?
여러분의 개발팀은 어디에 적합할까요?이 보안 코딩 체크리스트는 CIO와 CISO가 개발팀이 더 빠르고, 더 우수하고, 안전한 코드로 혁신하는 데 도움을 줄 수 있는 진정한 보안 코딩 챔피언이 될 준비가 되어 있는지 (또는 실제로 보안 프로그램 점검이 필요한지 여부) 확인할 수 있도록 돕기 위해 만들었습니다.
1.나머지 최고 경영진은 얼마나 지지하고 있나요?기존 네트워크 보안으로는 더 이상 충분하지 않다는 사실을 이해하고 있습니까?
소프트웨어의 미래에는 구식 보안 조치를 사용하여 네트워크 계층을 보호하는 것만으로는 충분하지 않습니다 (솔직히 말해서 거의 성공하지 못합니다). 심지어 준 전문가 해커에게도 마찬가지입니다.일관성 있는 여러 보고서 중에서도 버라이존의 “2017 데이터 침해 조사 보고서“오늘날 데이터 침해의 무려 35% 가 웹 애플리케이션 취약점으로 인해 발생한다고 합니다.
웹 애플리케이션 보안은 네트워크 보안만큼이나 중요합니다. 이를 무시하고 AppSec 조치의 기본적이고 기본적인 보호 계층에 대한 예산을 책정하지 않으면 보안 침해 위험에 노출될 수 있습니다.
2.왼쪽으로 충분히 많이 움직이고 있고, 충분히 일찍 움직이고 있나요?
애플리케이션 보안에 대한 현재의 접근 방식은 소프트웨어 개발 수명 주기 (SDLC) 에서 오른쪽에서 왼쪽으로 이동하는 데 초점을 맞추어 상당히 많은 도구를 사용합니다.이는 정의 및 설계상 프로세스에 결함이 있음을 인지하고 탐지 및 대응 결과를 뒷받침합니다.보안팀은 이미 작성된 코드에서 취약점을 찾아 탐지하고, 커밋된 코드가 작성될 때 버그가 없는지 확인하는 대신 수정하기 위해 대응하고 있습니다.국립 표준 기술 연구소에 따르면 (NIST), 그것은 커밋된 코드의 취약점을 탐지하고 수정하는 데 30배 더 많은 비용 소요 IDE에 작성된 것처럼 이를 방지하기 위한 것입니다.여기에는 제작 지연, 이중 처리, 잘 알려진 동일한 보안 문제를 반복해서 해결하는 데 소요되는 시간도 고려되지 않았습니다.
진정으로 강력한 보안 문화는 다음과 같이 주장합니다. 시작 왼쪽: 개발자 집단 내 보안 챔피언에게 영감을 주는 동시에 개발 팀에게 보안 코딩 사고방식으로 성장하고 행동할 수 있는 올바른 도구와 교육을 제공했습니다.지속적인 자기 계발과 문제 해결 능력을 발휘하여 조직의 첫 번째 방어선이 되어 일반적인 취약점이 발생하지 않도록 방지하는 데 중점을 두고 있습니다.
3.실용적인 보안 기술을 쌓기 위해 노력하고 있습니까, 아니면 일방적인 지식을 제공하고 있습니까?
대부분의 보안 교육 솔루션 (온라인 및 CBT) 은 직무와 직접 관련된 실용적인 기술 대신 지식을 구축하는 데 중점을 둡니다.개발자가 번창하고 보안 코드 작성에 참여하려면 실제 환경에서 기술을 계속 학습하고 개발하도록 적극적으로 장려하는 상황에 맞는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드 예제를 통해 최근에 발견된 취약점에 대해 학습하고 선호하는 언어와 프레임워크로 작업할 수 있어야 합니다.이러한 학습 경험은 학생들이 작업 과정에서 활발히 작업하고 있는 코드의 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 효과적입니다.
세상에는 지식이 풍부한 교사가 많고 보안 취약점 해결에 관한 정보는 넘쳐나지만 교과서를 훑어보거나 몇 시간 분량의 비디오를 시청하는 것으로는 창의적이고 문제를 해결하는 개발자의 마음을 사로잡지 못합니다. 데이터 침해가 지속적으로 발생한다는 징후를 보이더라도 취약점이 코드에 들어가는 것을 방지하는 데는 거의 효과가 없습니다.
4.실시간 메트릭으로 보안 코딩 기술을 측정하고 계신가요?
개발 팀 내에서 보안 우선 사고방식을 구축하는 데 있어 중요한 단계는 증거를 수집하고 검토하는 것입니다.이는 추측이나 추측에 의존해서는 안 됩니다. 개발자는 보안을 중시하거나 그렇지 않습니다.
메트릭스는 개발자와 조직에 그들의 노력이 결실을 맺고 있고 개개인의 보안 코딩 기술이 향상되고 있음을 증명하려고 합니다.측정할 수 없는 것은 개선할 수 없습니다.관련 평가가 있어야 하며, 이를 통해 개발 팀의 진행 상황을 실시간으로 파악할 수 있을 뿐만 아니라 지속적인 개선을 위해 보안 코딩의 강점과 약점을 벤치마킹하는 데도 도움이 됩니다.
보안 교육이 효과적인지, 참여도가 높은지, 심지어 유지되었는지에 대한 강조도 없이 조직에서 보안 교육이 “꼭 필요한” 교육으로 전락하는 경우가 너무 많습니다.
5.아웃소싱 공급업체가 강력한 보안 코딩 기술을 사용하고 있습니까?
많은 조직에서 개발 작업을 타사 기관에 위탁하기로 결정합니다.기업이 해외에 있든 해외에 있든 그들의 일반적인 보안 코딩 능력과 관행은 고객에게 상대적으로 수수께끼입니다.최상의 경우, 조직이 보안과 관련하여 받을 수 있는 유일한 형태의 보증은 결과물의 “보안”을 요구하는 계약서의 명세서뿐입니다.이러한 개발 업체의 기술을 사전에 검증하기 위한 조치를 취하는 회사는 거의 없습니다. 따라서 간략한 내용대로 작동하지만 건전한 보안 코딩 관행을 따르지 않고 구축된 소프트웨어를 제공받을 위험이 있습니다.설상가상으로, 구매 회사가 애플리케이션의 본질적인 보안 결함을 인지하지 못하면 취약한 소프트웨어를 외부로 내보낼 위험이 있습니다.
가장 일반적인 시나리오는 전담 보안 전문가 (찾기가 어렵고 비용이 많이 드는 개인) 가 취약점을 찾아내는 경우로, 출시 날짜가 지연되고, 누가 이러한 보안 취약점을 수정하기 위해 비용을 지불해야 하는지에 대한 계약상의 논의가 발생할 수 있습니다.하지만 똑똑하고 다음 애플리케이션을 구축할 개발자의 애플리케이션 보안 기술을 평가하면 잠재적인 지연, 좌절 및 현금을 크게 줄일 수 있습니다.
6.개발자들이 가장 흔하게 악용되는 보안 취약점을 알고 있습니까?
악용되는 웹 애플리케이션 취약점의 85% 이상은 단지 10개의 알려진 취약점에 기인합니다.” OWASP 탑 10.애플리케이션 보안 교육에서는 최소한 이러한 취약성 유형과 더불어 더 많은 취약성 유형도 다루어야 합니다.개발자가 직면하는 교육 과제는 정기적으로 수정 및 업데이트되어야 하며, 새로운 코딩 프레임워크나 새로운 취약성 유형에 대한 새로운 과제도 함께 수정해야 합니다.
실제 보안 코딩 시나리오를 사용한 정밀 교육이 표준이어야 합니다. 모호한 일반 지식은 효과가 없습니다.(이러한 보안 코딩 시나리오가 어떤 모습일지 궁금하신가요?저희 사이트를 확인해 보세요 코더들이 보안을 정복하다 블로그 시리즈; 각 게시물에는 플레이 가능한 챌린지가 있습니다).
7.사내 보안 전문가가 있나요?
개발자 중심의 모든 조직은 보안 챔피언, 즉 개발팀 내에서 높은 보안 표준을 유지할 책임을 지는 사람에게 투자해야 합니다.이들의 목적은 보안과 관련하여 궁금한 점이 있는 모든 사람을 위한 지원 담당자가 될 뿐만 아니라 보안 모범 사례를 따르는 것을 주요 지지자가 되는 것입니다.
이는 보안 문화 퍼즐의 중요한 부분입니다. 훌륭한 보안 챔피언은 집중적인 교육을 통해 추진력을 유지하고, 팀의 모든 구성원이 필요한 것을 갖추도록 하며, 계속해서 지원을 요청할 수 있습니다.
8.개발자들이 보안 코딩을 더 쉽게 할 수 있는 도구에 투자하셨나요?
조직이 애자일 개발을 실천하는 조직이거나 실제로 회사에서 구축한 애플리케이션을 자주 업데이트해야 하는 경우, 보안의 일부를 자동화하는 것만이 정신없는 속도와 업무량을 따라잡을 수 있는 유일한 방법 중 하나입니다.
SDLC의 각 단계에는 어드바이저, 품질 게이트키퍼 또는 탐지 도구 역할을 하는 도구가 있습니다.또한 일부 도구는 코드에 대한 자동 테스트를 실행하여 소프트웨어가 생산되면 해킹 시도를 시뮬레이션합니다.모든 도구에는 고유한 장점과 문제점이 있으며, 누구도 포괄할 수 없습니다. 애플리케이션 내에 보안 위협이 존재하지 않는다는 것을 100% 보증합니다.취할 수 있는 가장 중요한 예방 조치는 취약점을 조기에 발견할수록 비즈니스에 미치는 영향을 최소화하면서 더 빠르고 저렴하게 해결할 수 있다는 것입니다.
미래 지향적인 CISO를 위한 다음 단계
그렇다면 귀사는 위의 체크리스트와 비교했을 때 어떤 성과를 거두었을까요?
CISO와 CIO는 기본적으로 엔터프라이즈 DevOps 및 DecSecOps 기능을 적극적으로 구축해야 하지만, 그렇다고 해서 팀 전체에 적합한 도구와 교육을 고려하고 구현할 시간이 없다는 의미는 아닙니다.보안 코딩 기술은 혁신을 가로막는 것이 아니라 무기가 될 것이며, 이를 포기하면 회사의 평판과 데이터가 완전히 파괴될 수 있습니다.이러한 기술은 중요한 기능이며 취약점을 줄이고 위험을 완화하는 훨씬 저렴한 장기적 솔루션이기도 합니다.
훌륭하고 혁신적인 CISO는 건강한 보안 문화를 위에서 아래로 조율할 수 있습니다. 직원들이 보안 모범 사례를 효과적으로 실행하는 데 필요한 것을 갖추도록 하세요.
피터 다니유는 보안 전문가이자 의 공동 설립자입니다. 시큐어 코드 워리어.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴; 새로운 정보를 포함하도록 제목이 변경되고 업데이트되었습니다.
CISO와 CIO는 특히 당혹스러운 회사 데이터 침해 사고가 발생한 경우 소프트웨어 보안에 대한 책임을 지는 것은 당연한 일이지만, 관련성을 높일 수 있는 특별한 기회도 얻게 됩니다. 바로 자신들이 새로운 혁신가이며 올바른 접근 방식으로 큰 영향력을 행사할 수 있다는 것입니다.공공 및 상업 조직을 막론하고 지구상의 모든 조직은 빠르게 디지털화되는 세상에서 시장 공간을 유지 (및 확보) 하기 위해 싸우고 있습니다.고객은 과거와 미래의 제품 모두에서 원활한 온라인 경험을 기대하며, 이에 따라 “디지털 우선” 비즈니스 접근 방식이 필수가 되고 있습니다.결국 이러한 기대치를 충족하지 못한다면 기회를 노릴 준비가 되어 있는 경쟁업체가 있을 것이 거의 확실합니다.
그렇다면 이것이 현대의 CISO, 즉 CIO에게 의미하는 바는 무엇일까요?당연하게도 이들은 개발자 팀을 고용하여 디지털 제품 또는 서비스를 구성하는 코드를 한 줄씩 만들고 있다는 뜻입니다.사이버 보안은 수년 동안 주요 고려 사항이었지만, 점점 더 많은 비즈니스 운영이 온라인 및 공격자의 눈에 띄면서 위험 요소가 증가하고 있습니다.침해로 인한 영향은 엄청나지만 디지털화를 거부하는 것은 선택 사항이 아닙니다.
창의적인 CISO와 CIO는 AppSec 및 개발 팀과 함께 디지털 미래의 길을 계속 개척할 수 있는 유리한 위치에 있습니다.이들은 의심할 여지 없이 온라인 비즈니스, 정부 및 공공 서비스의 장기적 혁신을 주도할 것이지만, 빠른 시장 출시 목표와 높은 소프트웨어 품질의 균형을 맞춰야 하는 막중한 책임을 지고 있습니다. 과 보안 위험 완화
이 균형은 지금까지 달성하기가 대단히 어려웠습니다.이로 인해 개발 팀은 일반적으로 특징과 기능을 제공하는 데 주로 초점을 맞추고 급속히 빠져나가는 코드에서 발생할 수 있는 취약점을 고려하지 않고 단편화되는 경우가 많았습니다.AppSec 전문가는 동일한 실수를 지속적으로 수정하며, 비교적 단순한 백도어를 열어 두면 보안 침해 위협이 커질 수 있습니다.
데이터를 안전하게 보호하려면 CISO와 CIO는 팀의 협업 방식을 창의적으로 활용하고 긍정적인 보안과 위에서 아래로 책임을 공유하는 문화를 조성해야 합니다.가 직면한 치명적인 결과를 한 번 보세요. 메리어트 2018년 보안 위반으로 인해 미화 1억 2,300만 달러 이상의 GDPR 벌금이 부과되고, 5억 개 이상의 레코드가 도난당했으며, 보안 평판이 엉망이 되었습니다.이 재해는 대부분 안전하지 않은 코딩 관행의 직접적인 결과로 발생했습니다. 2014년 초에 스타우드 서버에서 발견된 SQL 인젝션 취약점메리어트가 2016년에 인수한 회사입니다.애플리케이션 보안 관점에서 볼 때 이들의 후속 소프트웨어 사용은 분명히 검증되지 않았습니다.이로 인해 악의적인 공격자는 수년 동안 데이터에 액세스하고 데이터를 수집할 수 있게 되었으며, 취약한 암호와 같은 다른 취약점은 시간이 지남에 따라 악용할 수 있는 구멍이 더 많아졌습니다.
CIO와 CISO는 자체 소프트웨어 보안 환경을 매우 신중하게 고려해야 합니다.평균적인 개발자들은 보안에 대해 얼마나 알고 있을까요?AppSec과 개발 팀은 얼마나 잘 협력하고 있나요?“마법의 지팡이” 같은 해결책은 없지만 문화, 교육 및 지원을 개선하고 개선할 수 있습니다.개발 팀 양철통 조직의 첫 번째 데이터 침해 위험에서 벗어나 운영 단계로 넘어가기 전에 악성 코드를 차단하는 보안 슈퍼히어로로 전환하세요.
시큐어 코딩 상태 점검: 생명 유지 서비스를 받고 계신가요?
여러분의 개발팀은 어디에 적합할까요?이 보안 코딩 체크리스트는 CIO와 CISO가 개발팀이 더 빠르고, 더 우수하고, 안전한 코드로 혁신하는 데 도움을 줄 수 있는 진정한 보안 코딩 챔피언이 될 준비가 되어 있는지 (또는 실제로 보안 프로그램 점검이 필요한지 여부) 확인할 수 있도록 돕기 위해 만들었습니다.
1.나머지 최고 경영진은 얼마나 지지하고 있나요?기존 네트워크 보안으로는 더 이상 충분하지 않다는 사실을 이해하고 있습니까?
소프트웨어의 미래에는 구식 보안 조치를 사용하여 네트워크 계층을 보호하는 것만으로는 충분하지 않습니다 (솔직히 말해서 거의 성공하지 못합니다). 심지어 준 전문가 해커에게도 마찬가지입니다.일관성 있는 여러 보고서 중에서도 버라이존의 “2017 데이터 침해 조사 보고서“오늘날 데이터 침해의 무려 35% 가 웹 애플리케이션 취약점으로 인해 발생한다고 합니다.
웹 애플리케이션 보안은 네트워크 보안만큼이나 중요합니다. 이를 무시하고 AppSec 조치의 기본적이고 기본적인 보호 계층에 대한 예산을 책정하지 않으면 보안 침해 위험에 노출될 수 있습니다.
2.왼쪽으로 충분히 많이 움직이고 있고, 충분히 일찍 움직이고 있나요?
애플리케이션 보안에 대한 현재의 접근 방식은 소프트웨어 개발 수명 주기 (SDLC) 에서 오른쪽에서 왼쪽으로 이동하는 데 초점을 맞추어 상당히 많은 도구를 사용합니다.이는 정의 및 설계상 프로세스에 결함이 있음을 인지하고 탐지 및 대응 결과를 뒷받침합니다.보안팀은 이미 작성된 코드에서 취약점을 찾아 탐지하고, 커밋된 코드가 작성될 때 버그가 없는지 확인하는 대신 수정하기 위해 대응하고 있습니다.국립 표준 기술 연구소에 따르면 (NIST), 그것은 커밋된 코드의 취약점을 탐지하고 수정하는 데 30배 더 많은 비용 소요 IDE에 작성된 것처럼 이를 방지하기 위한 것입니다.여기에는 제작 지연, 이중 처리, 잘 알려진 동일한 보안 문제를 반복해서 해결하는 데 소요되는 시간도 고려되지 않았습니다.
진정으로 강력한 보안 문화는 다음과 같이 주장합니다. 시작 왼쪽: 개발자 집단 내 보안 챔피언에게 영감을 주는 동시에 개발 팀에게 보안 코딩 사고방식으로 성장하고 행동할 수 있는 올바른 도구와 교육을 제공했습니다.지속적인 자기 계발과 문제 해결 능력을 발휘하여 조직의 첫 번째 방어선이 되어 일반적인 취약점이 발생하지 않도록 방지하는 데 중점을 두고 있습니다.
3.실용적인 보안 기술을 쌓기 위해 노력하고 있습니까, 아니면 일방적인 지식을 제공하고 있습니까?
대부분의 보안 교육 솔루션 (온라인 및 CBT) 은 직무와 직접 관련된 실용적인 기술 대신 지식을 구축하는 데 중점을 둡니다.개발자가 번창하고 보안 코드 작성에 참여하려면 실제 환경에서 기술을 계속 학습하고 개발하도록 적극적으로 장려하는 상황에 맞는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드 예제를 통해 최근에 발견된 취약점에 대해 학습하고 선호하는 언어와 프레임워크로 작업할 수 있어야 합니다.이러한 학습 경험은 학생들이 작업 과정에서 활발히 작업하고 있는 코드의 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 효과적입니다.
세상에는 지식이 풍부한 교사가 많고 보안 취약점 해결에 관한 정보는 넘쳐나지만 교과서를 훑어보거나 몇 시간 분량의 비디오를 시청하는 것으로는 창의적이고 문제를 해결하는 개발자의 마음을 사로잡지 못합니다. 데이터 침해가 지속적으로 발생한다는 징후를 보이더라도 취약점이 코드에 들어가는 것을 방지하는 데는 거의 효과가 없습니다.
4.실시간 메트릭으로 보안 코딩 기술을 측정하고 계신가요?
개발 팀 내에서 보안 우선 사고방식을 구축하는 데 있어 중요한 단계는 증거를 수집하고 검토하는 것입니다.이는 추측이나 추측에 의존해서는 안 됩니다. 개발자는 보안을 중시하거나 그렇지 않습니다.
메트릭스는 개발자와 조직에 그들의 노력이 결실을 맺고 있고 개개인의 보안 코딩 기술이 향상되고 있음을 증명하려고 합니다.측정할 수 없는 것은 개선할 수 없습니다.관련 평가가 있어야 하며, 이를 통해 개발 팀의 진행 상황을 실시간으로 파악할 수 있을 뿐만 아니라 지속적인 개선을 위해 보안 코딩의 강점과 약점을 벤치마킹하는 데도 도움이 됩니다.
보안 교육이 효과적인지, 참여도가 높은지, 심지어 유지되었는지에 대한 강조도 없이 조직에서 보안 교육이 “꼭 필요한” 교육으로 전락하는 경우가 너무 많습니다.
5.아웃소싱 공급업체가 강력한 보안 코딩 기술을 사용하고 있습니까?
많은 조직에서 개발 작업을 타사 기관에 위탁하기로 결정합니다.기업이 해외에 있든 해외에 있든 그들의 일반적인 보안 코딩 능력과 관행은 고객에게 상대적으로 수수께끼입니다.최상의 경우, 조직이 보안과 관련하여 받을 수 있는 유일한 형태의 보증은 결과물의 “보안”을 요구하는 계약서의 명세서뿐입니다.이러한 개발 업체의 기술을 사전에 검증하기 위한 조치를 취하는 회사는 거의 없습니다. 따라서 간략한 내용대로 작동하지만 건전한 보안 코딩 관행을 따르지 않고 구축된 소프트웨어를 제공받을 위험이 있습니다.설상가상으로, 구매 회사가 애플리케이션의 본질적인 보안 결함을 인지하지 못하면 취약한 소프트웨어를 외부로 내보낼 위험이 있습니다.
가장 일반적인 시나리오는 전담 보안 전문가 (찾기가 어렵고 비용이 많이 드는 개인) 가 취약점을 찾아내는 경우로, 출시 날짜가 지연되고, 누가 이러한 보안 취약점을 수정하기 위해 비용을 지불해야 하는지에 대한 계약상의 논의가 발생할 수 있습니다.하지만 똑똑하고 다음 애플리케이션을 구축할 개발자의 애플리케이션 보안 기술을 평가하면 잠재적인 지연, 좌절 및 현금을 크게 줄일 수 있습니다.
6.개발자들이 가장 흔하게 악용되는 보안 취약점을 알고 있습니까?
악용되는 웹 애플리케이션 취약점의 85% 이상은 단지 10개의 알려진 취약점에 기인합니다.” OWASP 탑 10.애플리케이션 보안 교육에서는 최소한 이러한 취약성 유형과 더불어 더 많은 취약성 유형도 다루어야 합니다.개발자가 직면하는 교육 과제는 정기적으로 수정 및 업데이트되어야 하며, 새로운 코딩 프레임워크나 새로운 취약성 유형에 대한 새로운 과제도 함께 수정해야 합니다.
실제 보안 코딩 시나리오를 사용한 정밀 교육이 표준이어야 합니다. 모호한 일반 지식은 효과가 없습니다.(이러한 보안 코딩 시나리오가 어떤 모습일지 궁금하신가요?저희 사이트를 확인해 보세요 코더들이 보안을 정복하다 블로그 시리즈; 각 게시물에는 플레이 가능한 챌린지가 있습니다).
7.사내 보안 전문가가 있나요?
개발자 중심의 모든 조직은 보안 챔피언, 즉 개발팀 내에서 높은 보안 표준을 유지할 책임을 지는 사람에게 투자해야 합니다.이들의 목적은 보안과 관련하여 궁금한 점이 있는 모든 사람을 위한 지원 담당자가 될 뿐만 아니라 보안 모범 사례를 따르는 것을 주요 지지자가 되는 것입니다.
이는 보안 문화 퍼즐의 중요한 부분입니다. 훌륭한 보안 챔피언은 집중적인 교육을 통해 추진력을 유지하고, 팀의 모든 구성원이 필요한 것을 갖추도록 하며, 계속해서 지원을 요청할 수 있습니다.
8.개발자들이 보안 코딩을 더 쉽게 할 수 있는 도구에 투자하셨나요?
조직이 애자일 개발을 실천하는 조직이거나 실제로 회사에서 구축한 애플리케이션을 자주 업데이트해야 하는 경우, 보안의 일부를 자동화하는 것만이 정신없는 속도와 업무량을 따라잡을 수 있는 유일한 방법 중 하나입니다.
SDLC의 각 단계에는 어드바이저, 품질 게이트키퍼 또는 탐지 도구 역할을 하는 도구가 있습니다.또한 일부 도구는 코드에 대한 자동 테스트를 실행하여 소프트웨어가 생산되면 해킹 시도를 시뮬레이션합니다.모든 도구에는 고유한 장점과 문제점이 있으며, 누구도 포괄할 수 없습니다. 애플리케이션 내에 보안 위협이 존재하지 않는다는 것을 100% 보증합니다.취할 수 있는 가장 중요한 예방 조치는 취약점을 조기에 발견할수록 비즈니스에 미치는 영향을 최소화하면서 더 빠르고 저렴하게 해결할 수 있다는 것입니다.
미래 지향적인 CISO를 위한 다음 단계
그렇다면 귀사는 위의 체크리스트와 비교했을 때 어떤 성과를 거두었을까요?
CISO와 CIO는 기본적으로 엔터프라이즈 DevOps 및 DecSecOps 기능을 적극적으로 구축해야 하지만, 그렇다고 해서 팀 전체에 적합한 도구와 교육을 고려하고 구현할 시간이 없다는 의미는 아닙니다.보안 코딩 기술은 혁신을 가로막는 것이 아니라 무기가 될 것이며, 이를 포기하면 회사의 평판과 데이터가 완전히 파괴될 수 있습니다.이러한 기술은 중요한 기능이며 취약점을 줄이고 위험을 완화하는 훨씬 저렴한 장기적 솔루션이기도 합니다.
훌륭하고 혁신적인 CISO는 건강한 보안 문화를 위에서 아래로 조율할 수 있습니다. 직원들이 보안 모범 사례를 효과적으로 실행하는 데 필요한 것을 갖추도록 하세요.
피터 다니유는 보안 전문가이자 의 공동 설립자입니다. 시큐어 코드 워리어.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴; 새로운 정보를 포함하도록 제목이 변경되고 업데이트되었습니다.
CISO와 CIO는 특히 당혹스러운 회사 데이터 침해 사고가 발생한 경우 소프트웨어 보안에 대한 책임을 지는 것은 당연한 일이지만, 관련성을 높일 수 있는 특별한 기회도 얻게 됩니다. 바로 자신들이 새로운 혁신가이며 올바른 접근 방식으로 큰 영향력을 행사할 수 있다는 것입니다.공공 및 상업 조직을 막론하고 지구상의 모든 조직은 빠르게 디지털화되는 세상에서 시장 공간을 유지 (및 확보) 하기 위해 싸우고 있습니다.고객은 과거와 미래의 제품 모두에서 원활한 온라인 경험을 기대하며, 이에 따라 “디지털 우선” 비즈니스 접근 방식이 필수가 되고 있습니다.결국 이러한 기대치를 충족하지 못한다면 기회를 노릴 준비가 되어 있는 경쟁업체가 있을 것이 거의 확실합니다.
그렇다면 이것이 현대의 CISO, 즉 CIO에게 의미하는 바는 무엇일까요?당연하게도 이들은 개발자 팀을 고용하여 디지털 제품 또는 서비스를 구성하는 코드를 한 줄씩 만들고 있다는 뜻입니다.사이버 보안은 수년 동안 주요 고려 사항이었지만, 점점 더 많은 비즈니스 운영이 온라인 및 공격자의 눈에 띄면서 위험 요소가 증가하고 있습니다.침해로 인한 영향은 엄청나지만 디지털화를 거부하는 것은 선택 사항이 아닙니다.
창의적인 CISO와 CIO는 AppSec 및 개발 팀과 함께 디지털 미래의 길을 계속 개척할 수 있는 유리한 위치에 있습니다.이들은 의심할 여지 없이 온라인 비즈니스, 정부 및 공공 서비스의 장기적 혁신을 주도할 것이지만, 빠른 시장 출시 목표와 높은 소프트웨어 품질의 균형을 맞춰야 하는 막중한 책임을 지고 있습니다. 과 보안 위험 완화
이 균형은 지금까지 달성하기가 대단히 어려웠습니다.이로 인해 개발 팀은 일반적으로 특징과 기능을 제공하는 데 주로 초점을 맞추고 급속히 빠져나가는 코드에서 발생할 수 있는 취약점을 고려하지 않고 단편화되는 경우가 많았습니다.AppSec 전문가는 동일한 실수를 지속적으로 수정하며, 비교적 단순한 백도어를 열어 두면 보안 침해 위협이 커질 수 있습니다.
데이터를 안전하게 보호하려면 CISO와 CIO는 팀의 협업 방식을 창의적으로 활용하고 긍정적인 보안과 위에서 아래로 책임을 공유하는 문화를 조성해야 합니다.가 직면한 치명적인 결과를 한 번 보세요. 메리어트 2018년 보안 위반으로 인해 미화 1억 2,300만 달러 이상의 GDPR 벌금이 부과되고, 5억 개 이상의 레코드가 도난당했으며, 보안 평판이 엉망이 되었습니다.이 재해는 대부분 안전하지 않은 코딩 관행의 직접적인 결과로 발생했습니다. 2014년 초에 스타우드 서버에서 발견된 SQL 인젝션 취약점메리어트가 2016년에 인수한 회사입니다.애플리케이션 보안 관점에서 볼 때 이들의 후속 소프트웨어 사용은 분명히 검증되지 않았습니다.이로 인해 악의적인 공격자는 수년 동안 데이터에 액세스하고 데이터를 수집할 수 있게 되었으며, 취약한 암호와 같은 다른 취약점은 시간이 지남에 따라 악용할 수 있는 구멍이 더 많아졌습니다.
CIO와 CISO는 자체 소프트웨어 보안 환경을 매우 신중하게 고려해야 합니다.평균적인 개발자들은 보안에 대해 얼마나 알고 있을까요?AppSec과 개발 팀은 얼마나 잘 협력하고 있나요?“마법의 지팡이” 같은 해결책은 없지만 문화, 교육 및 지원을 개선하고 개선할 수 있습니다.개발 팀 양철통 조직의 첫 번째 데이터 침해 위험에서 벗어나 운영 단계로 넘어가기 전에 악성 코드를 차단하는 보안 슈퍼히어로로 전환하세요.
시큐어 코딩 상태 점검: 생명 유지 서비스를 받고 계신가요?
여러분의 개발팀은 어디에 적합할까요?이 보안 코딩 체크리스트는 CIO와 CISO가 개발팀이 더 빠르고, 더 우수하고, 안전한 코드로 혁신하는 데 도움을 줄 수 있는 진정한 보안 코딩 챔피언이 될 준비가 되어 있는지 (또는 실제로 보안 프로그램 점검이 필요한지 여부) 확인할 수 있도록 돕기 위해 만들었습니다.
1.나머지 최고 경영진은 얼마나 지지하고 있나요?기존 네트워크 보안으로는 더 이상 충분하지 않다는 사실을 이해하고 있습니까?
소프트웨어의 미래에는 구식 보안 조치를 사용하여 네트워크 계층을 보호하는 것만으로는 충분하지 않습니다 (솔직히 말해서 거의 성공하지 못합니다). 심지어 준 전문가 해커에게도 마찬가지입니다.일관성 있는 여러 보고서 중에서도 버라이존의 “2017 데이터 침해 조사 보고서“오늘날 데이터 침해의 무려 35% 가 웹 애플리케이션 취약점으로 인해 발생한다고 합니다.
웹 애플리케이션 보안은 네트워크 보안만큼이나 중요합니다. 이를 무시하고 AppSec 조치의 기본적이고 기본적인 보호 계층에 대한 예산을 책정하지 않으면 보안 침해 위험에 노출될 수 있습니다.
2.왼쪽으로 충분히 많이 움직이고 있고, 충분히 일찍 움직이고 있나요?
애플리케이션 보안에 대한 현재의 접근 방식은 소프트웨어 개발 수명 주기 (SDLC) 에서 오른쪽에서 왼쪽으로 이동하는 데 초점을 맞추어 상당히 많은 도구를 사용합니다.이는 정의 및 설계상 프로세스에 결함이 있음을 인지하고 탐지 및 대응 결과를 뒷받침합니다.보안팀은 이미 작성된 코드에서 취약점을 찾아 탐지하고, 커밋된 코드가 작성될 때 버그가 없는지 확인하는 대신 수정하기 위해 대응하고 있습니다.국립 표준 기술 연구소에 따르면 (NIST), 그것은 커밋된 코드의 취약점을 탐지하고 수정하는 데 30배 더 많은 비용 소요 IDE에 작성된 것처럼 이를 방지하기 위한 것입니다.여기에는 제작 지연, 이중 처리, 잘 알려진 동일한 보안 문제를 반복해서 해결하는 데 소요되는 시간도 고려되지 않았습니다.
진정으로 강력한 보안 문화는 다음과 같이 주장합니다. 시작 왼쪽: 개발자 집단 내 보안 챔피언에게 영감을 주는 동시에 개발 팀에게 보안 코딩 사고방식으로 성장하고 행동할 수 있는 올바른 도구와 교육을 제공했습니다.지속적인 자기 계발과 문제 해결 능력을 발휘하여 조직의 첫 번째 방어선이 되어 일반적인 취약점이 발생하지 않도록 방지하는 데 중점을 두고 있습니다.
3.실용적인 보안 기술을 쌓기 위해 노력하고 있습니까, 아니면 일방적인 지식을 제공하고 있습니까?
대부분의 보안 교육 솔루션 (온라인 및 CBT) 은 직무와 직접 관련된 실용적인 기술 대신 지식을 구축하는 데 중점을 둡니다.개발자가 번창하고 보안 코드 작성에 참여하려면 실제 환경에서 기술을 계속 학습하고 개발하도록 적극적으로 장려하는 상황에 맞는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드 예제를 통해 최근에 발견된 취약점에 대해 학습하고 선호하는 언어와 프레임워크로 작업할 수 있어야 합니다.이러한 학습 경험은 학생들이 작업 과정에서 활발히 작업하고 있는 코드의 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 효과적입니다.
세상에는 지식이 풍부한 교사가 많고 보안 취약점 해결에 관한 정보는 넘쳐나지만 교과서를 훑어보거나 몇 시간 분량의 비디오를 시청하는 것으로는 창의적이고 문제를 해결하는 개발자의 마음을 사로잡지 못합니다. 데이터 침해가 지속적으로 발생한다는 징후를 보이더라도 취약점이 코드에 들어가는 것을 방지하는 데는 거의 효과가 없습니다.
4.실시간 메트릭으로 보안 코딩 기술을 측정하고 계신가요?
개발 팀 내에서 보안 우선 사고방식을 구축하는 데 있어 중요한 단계는 증거를 수집하고 검토하는 것입니다.이는 추측이나 추측에 의존해서는 안 됩니다. 개발자는 보안을 중시하거나 그렇지 않습니다.
메트릭스는 개발자와 조직에 그들의 노력이 결실을 맺고 있고 개개인의 보안 코딩 기술이 향상되고 있음을 증명하려고 합니다.측정할 수 없는 것은 개선할 수 없습니다.관련 평가가 있어야 하며, 이를 통해 개발 팀의 진행 상황을 실시간으로 파악할 수 있을 뿐만 아니라 지속적인 개선을 위해 보안 코딩의 강점과 약점을 벤치마킹하는 데도 도움이 됩니다.
보안 교육이 효과적인지, 참여도가 높은지, 심지어 유지되었는지에 대한 강조도 없이 조직에서 보안 교육이 “꼭 필요한” 교육으로 전락하는 경우가 너무 많습니다.
5.아웃소싱 공급업체가 강력한 보안 코딩 기술을 사용하고 있습니까?
많은 조직에서 개발 작업을 타사 기관에 위탁하기로 결정합니다.기업이 해외에 있든 해외에 있든 그들의 일반적인 보안 코딩 능력과 관행은 고객에게 상대적으로 수수께끼입니다.최상의 경우, 조직이 보안과 관련하여 받을 수 있는 유일한 형태의 보증은 결과물의 “보안”을 요구하는 계약서의 명세서뿐입니다.이러한 개발 업체의 기술을 사전에 검증하기 위한 조치를 취하는 회사는 거의 없습니다. 따라서 간략한 내용대로 작동하지만 건전한 보안 코딩 관행을 따르지 않고 구축된 소프트웨어를 제공받을 위험이 있습니다.설상가상으로, 구매 회사가 애플리케이션의 본질적인 보안 결함을 인지하지 못하면 취약한 소프트웨어를 외부로 내보낼 위험이 있습니다.
가장 일반적인 시나리오는 전담 보안 전문가 (찾기가 어렵고 비용이 많이 드는 개인) 가 취약점을 찾아내는 경우로, 출시 날짜가 지연되고, 누가 이러한 보안 취약점을 수정하기 위해 비용을 지불해야 하는지에 대한 계약상의 논의가 발생할 수 있습니다.하지만 똑똑하고 다음 애플리케이션을 구축할 개발자의 애플리케이션 보안 기술을 평가하면 잠재적인 지연, 좌절 및 현금을 크게 줄일 수 있습니다.
6.개발자들이 가장 흔하게 악용되는 보안 취약점을 알고 있습니까?
악용되는 웹 애플리케이션 취약점의 85% 이상은 단지 10개의 알려진 취약점에 기인합니다.” OWASP 탑 10.애플리케이션 보안 교육에서는 최소한 이러한 취약성 유형과 더불어 더 많은 취약성 유형도 다루어야 합니다.개발자가 직면하는 교육 과제는 정기적으로 수정 및 업데이트되어야 하며, 새로운 코딩 프레임워크나 새로운 취약성 유형에 대한 새로운 과제도 함께 수정해야 합니다.
실제 보안 코딩 시나리오를 사용한 정밀 교육이 표준이어야 합니다. 모호한 일반 지식은 효과가 없습니다.(이러한 보안 코딩 시나리오가 어떤 모습일지 궁금하신가요?저희 사이트를 확인해 보세요 코더들이 보안을 정복하다 블로그 시리즈; 각 게시물에는 플레이 가능한 챌린지가 있습니다).
7.사내 보안 전문가가 있나요?
개발자 중심의 모든 조직은 보안 챔피언, 즉 개발팀 내에서 높은 보안 표준을 유지할 책임을 지는 사람에게 투자해야 합니다.이들의 목적은 보안과 관련하여 궁금한 점이 있는 모든 사람을 위한 지원 담당자가 될 뿐만 아니라 보안 모범 사례를 따르는 것을 주요 지지자가 되는 것입니다.
이는 보안 문화 퍼즐의 중요한 부분입니다. 훌륭한 보안 챔피언은 집중적인 교육을 통해 추진력을 유지하고, 팀의 모든 구성원이 필요한 것을 갖추도록 하며, 계속해서 지원을 요청할 수 있습니다.
8.개발자들이 보안 코딩을 더 쉽게 할 수 있는 도구에 투자하셨나요?
조직이 애자일 개발을 실천하는 조직이거나 실제로 회사에서 구축한 애플리케이션을 자주 업데이트해야 하는 경우, 보안의 일부를 자동화하는 것만이 정신없는 속도와 업무량을 따라잡을 수 있는 유일한 방법 중 하나입니다.
SDLC의 각 단계에는 어드바이저, 품질 게이트키퍼 또는 탐지 도구 역할을 하는 도구가 있습니다.또한 일부 도구는 코드에 대한 자동 테스트를 실행하여 소프트웨어가 생산되면 해킹 시도를 시뮬레이션합니다.모든 도구에는 고유한 장점과 문제점이 있으며, 누구도 포괄할 수 없습니다. 애플리케이션 내에 보안 위협이 존재하지 않는다는 것을 100% 보증합니다.취할 수 있는 가장 중요한 예방 조치는 취약점을 조기에 발견할수록 비즈니스에 미치는 영향을 최소화하면서 더 빠르고 저렴하게 해결할 수 있다는 것입니다.
미래 지향적인 CISO를 위한 다음 단계
그렇다면 귀사는 위의 체크리스트와 비교했을 때 어떤 성과를 거두었을까요?
CISO와 CIO는 기본적으로 엔터프라이즈 DevOps 및 DecSecOps 기능을 적극적으로 구축해야 하지만, 그렇다고 해서 팀 전체에 적합한 도구와 교육을 고려하고 구현할 시간이 없다는 의미는 아닙니다.보안 코딩 기술은 혁신을 가로막는 것이 아니라 무기가 될 것이며, 이를 포기하면 회사의 평판과 데이터가 완전히 파괴될 수 있습니다.이러한 기술은 중요한 기능이며 취약점을 줄이고 위험을 완화하는 훨씬 저렴한 장기적 솔루션이기도 합니다.
훌륭하고 혁신적인 CISO는 건강한 보안 문화를 위에서 아래로 조율할 수 있습니다. 직원들이 보안 모범 사례를 효과적으로 실행하는 데 필요한 것을 갖추도록 하세요.
피터 다니유는 보안 전문가이자 의 공동 설립자입니다. 시큐어 코드 워리어.
시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
