보안 프로그램이 사고 대응에 초점을 맞추고 있습니까?잘못하고 계세요.
이 문서의 한 버전이 의 특집으로 등장했습니다. 포브스 테크놀로지 카운슬.여기에서 업데이트 및 신디케이트되었습니다.
데이터 유출 사고의 잘못된 편에 서는 것만큼 좋은 것은 없습니다.처음에는 거부감이 들 수도 있고, 그 다음에는 당황할 수도 있습니다.모든 욕설이 나오고 CISO가 오전 2시에 대외 홍보와 함께 컨퍼런스 콜을 진행했으면 이제 소매를 걷어붙이고 엔드포인트와 시스템을 보호하고 잠재적 공격 벡터를 신속하게 제거하는 작업에 착수할 차례입니다.말할 것도 없이 소풍은 아닙니다.
그러나 이러한 현실은 미래에 많은 조직에 닥쳐올 것이며, 종합적인 사이버 보안 사고 대응 계획을 통해 반드시 대비해야 하는 현실입니다.그러나 문제는 이러한 대응 전략이 사이버 공격의 잠재적 심각성을 사전에 예방하거나 줄이기 위해 노력하는 대신 많은 시간, 자원 및 노력을 집중하는 데 있다는 것입니다.이는 심장마비가 의심되면 구급차를 부르는 것과 약간 비슷합니다. 너무 늦기 전에 예방적 건강 조치를 취했을 때보다 결과가 훨씬 덜 긍정적이고, 더 큰 피해는 말할 것도 없고요.
이를 위한 예방 계획은 어떤 모습일까요?보안 전문가가 매일 날로 증가하는 사이버 위험을 완화하기 위해 모든 도구를 활용할 수 있는 방법을 살펴보겠습니다.
앞으로 펼쳐질 작업의 범위를 이해하세요
당연해 보이지만 사이버 위험을 완화하기 위한 “올바른” 계획은 산업마다 차이가 있기 때문에 원하는 결과에 도달하기 위해 무엇이 필요한지 미리 이해하는 것이 중요합니다.
현재 어떤 보안 문제가 있습니까?이들이 소비하는 시간과 자원은 얼마나 되나요?그 중 반복되는 문제가 몇 개나 될까요?이러한 요소들은 중요한 요소이며, 기본적인 출발점을 제공할 것입니다.엔드포인트를 보호하고 공격 표면을 줄이는 동시에 잠재적 위험의 다른 영역을 선제하기 위해 보완이 필요한 역할, 툴링의 격차, 전문 지식 및 도구 관점에서 필요한 사항을 고려하세요.
A 최근 보고서 지난 한 해 동안 11개 산업에서 애플리케이션의 절반 이상에서 매일 심각한 취약점이 발생한 것으로 나타났습니다.특히 유틸리티, 공공 행정 및 전문 서비스 산업은 알려진 취약점을 패치하는 데 평균 288일이 걸렸습니다.이는 속도가 매우 느리기 때문에 패치를 적용하기 전에 취약점이 발견될 경우 공격자는 심각한 피해를 입힐 수 있는 충분한 시간을 확보할 수 있습니다.여기에 조직에서 데이터 침해가 발생할 확률도 함께 발생합니다. 30% 에 육박하고 있습니다는 사고 대응만으로는 충분하지 않으며 대규모 사이버 공격의 영향에 대비하고 최선을 다하기에는 위험이 너무 높다는 사실을 냉정하게 상기시켜줍니다.
문화적 변화에 대한 동의를 얻을 준비를 하세요
현상 유지는 눈살을 찌푸리게 하는 경향이 있지만 사실 보안 프로그램은 지속적으로 개선되어야 합니다.모든 구성 요소는 관련성을 유지해야 하며 새로운 개발 사항을 평가하고 고려해야 합니다.
사후 대응이 아닌 예방적 접근 방식에 중점을 두는 것은 보안 팀 외부에서 널리 이해되지 않을 수 있습니다. 특히 크고 심각한 보안 사고가 발생하지 않은 경우에는 더욱 그렇습니다.아직 망가지지 않았거나 고칠 필요가 없는 것으로 보일 수도 있습니다.이런 경우에는 경영진의 동의를 얻는 것이 필수적입니다.이들이 고려해야 할 보다 적절한 몇 가지 사항은 다음과 같습니다.
- 중요한 사고의 잠재적 비용에 비해 역할 기반 교육 및 관련 도구와 같은 예방 조치의 시간 및 비용 절감
- 취약점을 찾아 수정하면 보안팀의 과격 인력이 줄어들면서 릴리스를 제시간에 맞출 수 있는 방법
- 개발팀부터 출시까지 잠재적인 보안 위험에 대비하고 미연에 대비하면 전반적으로 많은 시간을 절약할 수 있는 이유 (상당한 현금은 말할 것도 없고)좀 더 구체적으로 설명하자면, 테스트 단계, 더 심하게는 포스트 프로덕션 단계에서 발견한 후기 단계의 취약점을 들 수 있습니다. 비용을 3000% 까지 올릴 수 있습니다 평균적으로.
처음에는 불편해 보이더라도 제안된 문화적 변화를 비즈니스 목표와 연계하는 것이 중요합니다.
보안 인식이 중요하고 보안 기술이 전부입니다
업계에서는 보안 인식의 중요성에 대해 자주 이야기하는데, 이는 조직의 모든 직원에게 점점 더 중요한 구성 요소가 되고 있습니다.그러나 특히 기술 직종의 경우 립 서비스와 패시브 트레이닝에만 그치는 것만으로는 충분하지 않습니다.
간단히 말해서, 코드를 만지는 사람은 누구나 안전하게 코딩할 수 있는 기술을 갖추지 못하면 잠재적인 보안 위험에 처할 수 있습니다.기본적인 보안 매개변수에 대한 일반적인 인식은 좋은 출발점이지만, 안전하고 좋은 코딩 패턴에 대한 컨텍스트 지식이 없으면 잘못된 습관이 만연하고, 공격자가 더러운 작업을 수행할 때 의존하는 것은 바로 이러한 양질의 개발 기술 부족 때문입니다.
개발자를 무시하지 마세요.
태도가 바뀌고 있지만 많은 조직은 보안 완화 계획에서 개발자를 제대로 고려하지 않는 방식으로 구성되어 있습니다.은행 및 금융과 같은 일부 산업에서는 엄격한 규정 준수 및 규제 요구 사항이 적용되므로 모든 직원에 대한 보안 관행과 교육이 전반적으로 강화됩니다.다른 업종보다 확실히 앞서고 있긴 하지만, 지구상의 거의 모든 조직은 일반적인 보안 버그가 발생하기 전에 이를 찾아낼 수 있는 기본적인 능력을 갖춘 사내 보안 전문 개발자 군단의 혜택을 누릴 수 있습니다.대부분은 보안 프로그램 퍼즐의 이 중요한 부분을 거의 달성하지 못했습니다. 해마다 늘어나는 코드의 홍수를 막아낼 수 있는 희망이 있다면 꼭 필요한 일입니다.
소프트웨어를 만들 때 손가락으로 키보드를 터치하는 순간부터 예방적 보안이 시작되어야 하지만 개발자만으로는 보안 기술 격차를 해소할 수 있을 것으로 기대할 수 없습니다.더 높은 코드 품질 표준에 도달하려면 올바른 도구 세트와 상황에 맞는 지침이 필요합니다. 연간 규정 준수 요구 사항이 도입될 때마다 간헐적으로 도입되는 사후 고려 사항이 아니라 일상 업무의 일부일 때 항상 최상의 결과를 얻을 수 있습니다.
사후 대응이 아닌 예방적 접근 방식에 중점을 두는 것은 보안 팀 외부에서 널리 이해되지 않을 수 있습니다. 특히 크고 심각한 보안 사고가 발생하지 않은 경우에는 더욱 그렇습니다.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
이 문서의 한 버전이 의 특집으로 등장했습니다. 포브스 테크놀로지 카운슬.여기에서 업데이트 및 신디케이트되었습니다.
데이터 유출 사고의 잘못된 편에 서는 것만큼 좋은 것은 없습니다.처음에는 거부감이 들 수도 있고, 그 다음에는 당황할 수도 있습니다.모든 욕설이 나오고 CISO가 오전 2시에 대외 홍보와 함께 컨퍼런스 콜을 진행했으면 이제 소매를 걷어붙이고 엔드포인트와 시스템을 보호하고 잠재적 공격 벡터를 신속하게 제거하는 작업에 착수할 차례입니다.말할 것도 없이 소풍은 아닙니다.
그러나 이러한 현실은 미래에 많은 조직에 닥쳐올 것이며, 종합적인 사이버 보안 사고 대응 계획을 통해 반드시 대비해야 하는 현실입니다.그러나 문제는 이러한 대응 전략이 사이버 공격의 잠재적 심각성을 사전에 예방하거나 줄이기 위해 노력하는 대신 많은 시간, 자원 및 노력을 집중하는 데 있다는 것입니다.이는 심장마비가 의심되면 구급차를 부르는 것과 약간 비슷합니다. 너무 늦기 전에 예방적 건강 조치를 취했을 때보다 결과가 훨씬 덜 긍정적이고, 더 큰 피해는 말할 것도 없고요.
이를 위한 예방 계획은 어떤 모습일까요?보안 전문가가 매일 날로 증가하는 사이버 위험을 완화하기 위해 모든 도구를 활용할 수 있는 방법을 살펴보겠습니다.
앞으로 펼쳐질 작업의 범위를 이해하세요
당연해 보이지만 사이버 위험을 완화하기 위한 “올바른” 계획은 산업마다 차이가 있기 때문에 원하는 결과에 도달하기 위해 무엇이 필요한지 미리 이해하는 것이 중요합니다.
현재 어떤 보안 문제가 있습니까?이들이 소비하는 시간과 자원은 얼마나 되나요?그 중 반복되는 문제가 몇 개나 될까요?이러한 요소들은 중요한 요소이며, 기본적인 출발점을 제공할 것입니다.엔드포인트를 보호하고 공격 표면을 줄이는 동시에 잠재적 위험의 다른 영역을 선제하기 위해 보완이 필요한 역할, 툴링의 격차, 전문 지식 및 도구 관점에서 필요한 사항을 고려하세요.
A 최근 보고서 지난 한 해 동안 11개 산업에서 애플리케이션의 절반 이상에서 매일 심각한 취약점이 발생한 것으로 나타났습니다.특히 유틸리티, 공공 행정 및 전문 서비스 산업은 알려진 취약점을 패치하는 데 평균 288일이 걸렸습니다.이는 속도가 매우 느리기 때문에 패치를 적용하기 전에 취약점이 발견될 경우 공격자는 심각한 피해를 입힐 수 있는 충분한 시간을 확보할 수 있습니다.여기에 조직에서 데이터 침해가 발생할 확률도 함께 발생합니다. 30% 에 육박하고 있습니다는 사고 대응만으로는 충분하지 않으며 대규모 사이버 공격의 영향에 대비하고 최선을 다하기에는 위험이 너무 높다는 사실을 냉정하게 상기시켜줍니다.
문화적 변화에 대한 동의를 얻을 준비를 하세요
현상 유지는 눈살을 찌푸리게 하는 경향이 있지만 사실 보안 프로그램은 지속적으로 개선되어야 합니다.모든 구성 요소는 관련성을 유지해야 하며 새로운 개발 사항을 평가하고 고려해야 합니다.
사후 대응이 아닌 예방적 접근 방식에 중점을 두는 것은 보안 팀 외부에서 널리 이해되지 않을 수 있습니다. 특히 크고 심각한 보안 사고가 발생하지 않은 경우에는 더욱 그렇습니다.아직 망가지지 않았거나 고칠 필요가 없는 것으로 보일 수도 있습니다.이런 경우에는 경영진의 동의를 얻는 것이 필수적입니다.이들이 고려해야 할 보다 적절한 몇 가지 사항은 다음과 같습니다.
- 중요한 사고의 잠재적 비용에 비해 역할 기반 교육 및 관련 도구와 같은 예방 조치의 시간 및 비용 절감
- 취약점을 찾아 수정하면 보안팀의 과격 인력이 줄어들면서 릴리스를 제시간에 맞출 수 있는 방법
- 개발팀부터 출시까지 잠재적인 보안 위험에 대비하고 미연에 대비하면 전반적으로 많은 시간을 절약할 수 있는 이유 (상당한 현금은 말할 것도 없고)좀 더 구체적으로 설명하자면, 테스트 단계, 더 심하게는 포스트 프로덕션 단계에서 발견한 후기 단계의 취약점을 들 수 있습니다. 비용을 3000% 까지 올릴 수 있습니다 평균적으로.
처음에는 불편해 보이더라도 제안된 문화적 변화를 비즈니스 목표와 연계하는 것이 중요합니다.
보안 인식이 중요하고 보안 기술이 전부입니다
업계에서는 보안 인식의 중요성에 대해 자주 이야기하는데, 이는 조직의 모든 직원에게 점점 더 중요한 구성 요소가 되고 있습니다.그러나 특히 기술 직종의 경우 립 서비스와 패시브 트레이닝에만 그치는 것만으로는 충분하지 않습니다.
간단히 말해서, 코드를 만지는 사람은 누구나 안전하게 코딩할 수 있는 기술을 갖추지 못하면 잠재적인 보안 위험에 처할 수 있습니다.기본적인 보안 매개변수에 대한 일반적인 인식은 좋은 출발점이지만, 안전하고 좋은 코딩 패턴에 대한 컨텍스트 지식이 없으면 잘못된 습관이 만연하고, 공격자가 더러운 작업을 수행할 때 의존하는 것은 바로 이러한 양질의 개발 기술 부족 때문입니다.
개발자를 무시하지 마세요.
태도가 바뀌고 있지만 많은 조직은 보안 완화 계획에서 개발자를 제대로 고려하지 않는 방식으로 구성되어 있습니다.은행 및 금융과 같은 일부 산업에서는 엄격한 규정 준수 및 규제 요구 사항이 적용되므로 모든 직원에 대한 보안 관행과 교육이 전반적으로 강화됩니다.다른 업종보다 확실히 앞서고 있긴 하지만, 지구상의 거의 모든 조직은 일반적인 보안 버그가 발생하기 전에 이를 찾아낼 수 있는 기본적인 능력을 갖춘 사내 보안 전문 개발자 군단의 혜택을 누릴 수 있습니다.대부분은 보안 프로그램 퍼즐의 이 중요한 부분을 거의 달성하지 못했습니다. 해마다 늘어나는 코드의 홍수를 막아낼 수 있는 희망이 있다면 꼭 필요한 일입니다.
소프트웨어를 만들 때 손가락으로 키보드를 터치하는 순간부터 예방적 보안이 시작되어야 하지만 개발자만으로는 보안 기술 격차를 해소할 수 있을 것으로 기대할 수 없습니다.더 높은 코드 품질 표준에 도달하려면 올바른 도구 세트와 상황에 맞는 지침이 필요합니다. 연간 규정 준수 요구 사항이 도입될 때마다 간헐적으로 도입되는 사후 고려 사항이 아니라 일상 업무의 일부일 때 항상 최상의 결과를 얻을 수 있습니다.
이 문서의 한 버전이 의 특집으로 등장했습니다. 포브스 테크놀로지 카운슬.여기에서 업데이트 및 신디케이트되었습니다.
데이터 유출 사고의 잘못된 편에 서는 것만큼 좋은 것은 없습니다.처음에는 거부감이 들 수도 있고, 그 다음에는 당황할 수도 있습니다.모든 욕설이 나오고 CISO가 오전 2시에 대외 홍보와 함께 컨퍼런스 콜을 진행했으면 이제 소매를 걷어붙이고 엔드포인트와 시스템을 보호하고 잠재적 공격 벡터를 신속하게 제거하는 작업에 착수할 차례입니다.말할 것도 없이 소풍은 아닙니다.
그러나 이러한 현실은 미래에 많은 조직에 닥쳐올 것이며, 종합적인 사이버 보안 사고 대응 계획을 통해 반드시 대비해야 하는 현실입니다.그러나 문제는 이러한 대응 전략이 사이버 공격의 잠재적 심각성을 사전에 예방하거나 줄이기 위해 노력하는 대신 많은 시간, 자원 및 노력을 집중하는 데 있다는 것입니다.이는 심장마비가 의심되면 구급차를 부르는 것과 약간 비슷합니다. 너무 늦기 전에 예방적 건강 조치를 취했을 때보다 결과가 훨씬 덜 긍정적이고, 더 큰 피해는 말할 것도 없고요.
이를 위한 예방 계획은 어떤 모습일까요?보안 전문가가 매일 날로 증가하는 사이버 위험을 완화하기 위해 모든 도구를 활용할 수 있는 방법을 살펴보겠습니다.
앞으로 펼쳐질 작업의 범위를 이해하세요
당연해 보이지만 사이버 위험을 완화하기 위한 “올바른” 계획은 산업마다 차이가 있기 때문에 원하는 결과에 도달하기 위해 무엇이 필요한지 미리 이해하는 것이 중요합니다.
현재 어떤 보안 문제가 있습니까?이들이 소비하는 시간과 자원은 얼마나 되나요?그 중 반복되는 문제가 몇 개나 될까요?이러한 요소들은 중요한 요소이며, 기본적인 출발점을 제공할 것입니다.엔드포인트를 보호하고 공격 표면을 줄이는 동시에 잠재적 위험의 다른 영역을 선제하기 위해 보완이 필요한 역할, 툴링의 격차, 전문 지식 및 도구 관점에서 필요한 사항을 고려하세요.
A 최근 보고서 지난 한 해 동안 11개 산업에서 애플리케이션의 절반 이상에서 매일 심각한 취약점이 발생한 것으로 나타났습니다.특히 유틸리티, 공공 행정 및 전문 서비스 산업은 알려진 취약점을 패치하는 데 평균 288일이 걸렸습니다.이는 속도가 매우 느리기 때문에 패치를 적용하기 전에 취약점이 발견될 경우 공격자는 심각한 피해를 입힐 수 있는 충분한 시간을 확보할 수 있습니다.여기에 조직에서 데이터 침해가 발생할 확률도 함께 발생합니다. 30% 에 육박하고 있습니다는 사고 대응만으로는 충분하지 않으며 대규모 사이버 공격의 영향에 대비하고 최선을 다하기에는 위험이 너무 높다는 사실을 냉정하게 상기시켜줍니다.
문화적 변화에 대한 동의를 얻을 준비를 하세요
현상 유지는 눈살을 찌푸리게 하는 경향이 있지만 사실 보안 프로그램은 지속적으로 개선되어야 합니다.모든 구성 요소는 관련성을 유지해야 하며 새로운 개발 사항을 평가하고 고려해야 합니다.
사후 대응이 아닌 예방적 접근 방식에 중점을 두는 것은 보안 팀 외부에서 널리 이해되지 않을 수 있습니다. 특히 크고 심각한 보안 사고가 발생하지 않은 경우에는 더욱 그렇습니다.아직 망가지지 않았거나 고칠 필요가 없는 것으로 보일 수도 있습니다.이런 경우에는 경영진의 동의를 얻는 것이 필수적입니다.이들이 고려해야 할 보다 적절한 몇 가지 사항은 다음과 같습니다.
- 중요한 사고의 잠재적 비용에 비해 역할 기반 교육 및 관련 도구와 같은 예방 조치의 시간 및 비용 절감
- 취약점을 찾아 수정하면 보안팀의 과격 인력이 줄어들면서 릴리스를 제시간에 맞출 수 있는 방법
- 개발팀부터 출시까지 잠재적인 보안 위험에 대비하고 미연에 대비하면 전반적으로 많은 시간을 절약할 수 있는 이유 (상당한 현금은 말할 것도 없고)좀 더 구체적으로 설명하자면, 테스트 단계, 더 심하게는 포스트 프로덕션 단계에서 발견한 후기 단계의 취약점을 들 수 있습니다. 비용을 3000% 까지 올릴 수 있습니다 평균적으로.
처음에는 불편해 보이더라도 제안된 문화적 변화를 비즈니스 목표와 연계하는 것이 중요합니다.
보안 인식이 중요하고 보안 기술이 전부입니다
업계에서는 보안 인식의 중요성에 대해 자주 이야기하는데, 이는 조직의 모든 직원에게 점점 더 중요한 구성 요소가 되고 있습니다.그러나 특히 기술 직종의 경우 립 서비스와 패시브 트레이닝에만 그치는 것만으로는 충분하지 않습니다.
간단히 말해서, 코드를 만지는 사람은 누구나 안전하게 코딩할 수 있는 기술을 갖추지 못하면 잠재적인 보안 위험에 처할 수 있습니다.기본적인 보안 매개변수에 대한 일반적인 인식은 좋은 출발점이지만, 안전하고 좋은 코딩 패턴에 대한 컨텍스트 지식이 없으면 잘못된 습관이 만연하고, 공격자가 더러운 작업을 수행할 때 의존하는 것은 바로 이러한 양질의 개발 기술 부족 때문입니다.
개발자를 무시하지 마세요.
태도가 바뀌고 있지만 많은 조직은 보안 완화 계획에서 개발자를 제대로 고려하지 않는 방식으로 구성되어 있습니다.은행 및 금융과 같은 일부 산업에서는 엄격한 규정 준수 및 규제 요구 사항이 적용되므로 모든 직원에 대한 보안 관행과 교육이 전반적으로 강화됩니다.다른 업종보다 확실히 앞서고 있긴 하지만, 지구상의 거의 모든 조직은 일반적인 보안 버그가 발생하기 전에 이를 찾아낼 수 있는 기본적인 능력을 갖춘 사내 보안 전문 개발자 군단의 혜택을 누릴 수 있습니다.대부분은 보안 프로그램 퍼즐의 이 중요한 부분을 거의 달성하지 못했습니다. 해마다 늘어나는 코드의 홍수를 막아낼 수 있는 희망이 있다면 꼭 필요한 일입니다.
소프트웨어를 만들 때 손가락으로 키보드를 터치하는 순간부터 예방적 보안이 시작되어야 하지만 개발자만으로는 보안 기술 격차를 해소할 수 있을 것으로 기대할 수 없습니다.더 높은 코드 품질 표준에 도달하려면 올바른 도구 세트와 상황에 맞는 지침이 필요합니다. 연간 규정 준수 요구 사항이 도입될 때마다 간헐적으로 도입되는 사후 고려 사항이 아니라 일상 업무의 일부일 때 항상 최상의 결과를 얻을 수 있습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
이 문서의 한 버전이 의 특집으로 등장했습니다. 포브스 테크놀로지 카운슬.여기에서 업데이트 및 신디케이트되었습니다.
데이터 유출 사고의 잘못된 편에 서는 것만큼 좋은 것은 없습니다.처음에는 거부감이 들 수도 있고, 그 다음에는 당황할 수도 있습니다.모든 욕설이 나오고 CISO가 오전 2시에 대외 홍보와 함께 컨퍼런스 콜을 진행했으면 이제 소매를 걷어붙이고 엔드포인트와 시스템을 보호하고 잠재적 공격 벡터를 신속하게 제거하는 작업에 착수할 차례입니다.말할 것도 없이 소풍은 아닙니다.
그러나 이러한 현실은 미래에 많은 조직에 닥쳐올 것이며, 종합적인 사이버 보안 사고 대응 계획을 통해 반드시 대비해야 하는 현실입니다.그러나 문제는 이러한 대응 전략이 사이버 공격의 잠재적 심각성을 사전에 예방하거나 줄이기 위해 노력하는 대신 많은 시간, 자원 및 노력을 집중하는 데 있다는 것입니다.이는 심장마비가 의심되면 구급차를 부르는 것과 약간 비슷합니다. 너무 늦기 전에 예방적 건강 조치를 취했을 때보다 결과가 훨씬 덜 긍정적이고, 더 큰 피해는 말할 것도 없고요.
이를 위한 예방 계획은 어떤 모습일까요?보안 전문가가 매일 날로 증가하는 사이버 위험을 완화하기 위해 모든 도구를 활용할 수 있는 방법을 살펴보겠습니다.
앞으로 펼쳐질 작업의 범위를 이해하세요
당연해 보이지만 사이버 위험을 완화하기 위한 “올바른” 계획은 산업마다 차이가 있기 때문에 원하는 결과에 도달하기 위해 무엇이 필요한지 미리 이해하는 것이 중요합니다.
현재 어떤 보안 문제가 있습니까?이들이 소비하는 시간과 자원은 얼마나 되나요?그 중 반복되는 문제가 몇 개나 될까요?이러한 요소들은 중요한 요소이며, 기본적인 출발점을 제공할 것입니다.엔드포인트를 보호하고 공격 표면을 줄이는 동시에 잠재적 위험의 다른 영역을 선제하기 위해 보완이 필요한 역할, 툴링의 격차, 전문 지식 및 도구 관점에서 필요한 사항을 고려하세요.
A 최근 보고서 지난 한 해 동안 11개 산업에서 애플리케이션의 절반 이상에서 매일 심각한 취약점이 발생한 것으로 나타났습니다.특히 유틸리티, 공공 행정 및 전문 서비스 산업은 알려진 취약점을 패치하는 데 평균 288일이 걸렸습니다.이는 속도가 매우 느리기 때문에 패치를 적용하기 전에 취약점이 발견될 경우 공격자는 심각한 피해를 입힐 수 있는 충분한 시간을 확보할 수 있습니다.여기에 조직에서 데이터 침해가 발생할 확률도 함께 발생합니다. 30% 에 육박하고 있습니다는 사고 대응만으로는 충분하지 않으며 대규모 사이버 공격의 영향에 대비하고 최선을 다하기에는 위험이 너무 높다는 사실을 냉정하게 상기시켜줍니다.
문화적 변화에 대한 동의를 얻을 준비를 하세요
현상 유지는 눈살을 찌푸리게 하는 경향이 있지만 사실 보안 프로그램은 지속적으로 개선되어야 합니다.모든 구성 요소는 관련성을 유지해야 하며 새로운 개발 사항을 평가하고 고려해야 합니다.
사후 대응이 아닌 예방적 접근 방식에 중점을 두는 것은 보안 팀 외부에서 널리 이해되지 않을 수 있습니다. 특히 크고 심각한 보안 사고가 발생하지 않은 경우에는 더욱 그렇습니다.아직 망가지지 않았거나 고칠 필요가 없는 것으로 보일 수도 있습니다.이런 경우에는 경영진의 동의를 얻는 것이 필수적입니다.이들이 고려해야 할 보다 적절한 몇 가지 사항은 다음과 같습니다.
- 중요한 사고의 잠재적 비용에 비해 역할 기반 교육 및 관련 도구와 같은 예방 조치의 시간 및 비용 절감
- 취약점을 찾아 수정하면 보안팀의 과격 인력이 줄어들면서 릴리스를 제시간에 맞출 수 있는 방법
- 개발팀부터 출시까지 잠재적인 보안 위험에 대비하고 미연에 대비하면 전반적으로 많은 시간을 절약할 수 있는 이유 (상당한 현금은 말할 것도 없고)좀 더 구체적으로 설명하자면, 테스트 단계, 더 심하게는 포스트 프로덕션 단계에서 발견한 후기 단계의 취약점을 들 수 있습니다. 비용을 3000% 까지 올릴 수 있습니다 평균적으로.
처음에는 불편해 보이더라도 제안된 문화적 변화를 비즈니스 목표와 연계하는 것이 중요합니다.
보안 인식이 중요하고 보안 기술이 전부입니다
업계에서는 보안 인식의 중요성에 대해 자주 이야기하는데, 이는 조직의 모든 직원에게 점점 더 중요한 구성 요소가 되고 있습니다.그러나 특히 기술 직종의 경우 립 서비스와 패시브 트레이닝에만 그치는 것만으로는 충분하지 않습니다.
간단히 말해서, 코드를 만지는 사람은 누구나 안전하게 코딩할 수 있는 기술을 갖추지 못하면 잠재적인 보안 위험에 처할 수 있습니다.기본적인 보안 매개변수에 대한 일반적인 인식은 좋은 출발점이지만, 안전하고 좋은 코딩 패턴에 대한 컨텍스트 지식이 없으면 잘못된 습관이 만연하고, 공격자가 더러운 작업을 수행할 때 의존하는 것은 바로 이러한 양질의 개발 기술 부족 때문입니다.
개발자를 무시하지 마세요.
태도가 바뀌고 있지만 많은 조직은 보안 완화 계획에서 개발자를 제대로 고려하지 않는 방식으로 구성되어 있습니다.은행 및 금융과 같은 일부 산업에서는 엄격한 규정 준수 및 규제 요구 사항이 적용되므로 모든 직원에 대한 보안 관행과 교육이 전반적으로 강화됩니다.다른 업종보다 확실히 앞서고 있긴 하지만, 지구상의 거의 모든 조직은 일반적인 보안 버그가 발생하기 전에 이를 찾아낼 수 있는 기본적인 능력을 갖춘 사내 보안 전문 개발자 군단의 혜택을 누릴 수 있습니다.대부분은 보안 프로그램 퍼즐의 이 중요한 부분을 거의 달성하지 못했습니다. 해마다 늘어나는 코드의 홍수를 막아낼 수 있는 희망이 있다면 꼭 필요한 일입니다.
소프트웨어를 만들 때 손가락으로 키보드를 터치하는 순간부터 예방적 보안이 시작되어야 하지만 개발자만으로는 보안 기술 격차를 해소할 수 있을 것으로 기대할 수 없습니다.더 높은 코드 품질 표준에 도달하려면 올바른 도구 세트와 상황에 맞는 지침이 필요합니다. 연간 규정 준수 요구 사항이 도입될 때마다 간헐적으로 도입되는 사후 고려 사항이 아니라 일상 업무의 일부일 때 항상 최상의 결과를 얻을 수 있습니다.
시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
