SQL 인젝션이 AppSec 세계의 바퀴벌레인 이유 (그리고 CISO가 이를 단번에 근절할 수 있는 방법)
바퀴벌레는 핵폭발을 포함한 모든 것에서 살아남을 수 있다는 잘 알려진 이론이 있습니다.이 이론은 어느 정도 사실일 뿐이지만, 체구가 단순하기 때문에 크기에 비해 매우 튼튼하고 대부분의 조건에서 근절하기가 어렵습니다.
생각해봤는데... 디지털 세계에서 바퀴벌레에 상응하는 문제가 있다면 코드에 SQL 인젝션 (SQLi) 취약점이 있을 것 같아요.이 취약점은 20년 넘게 알려진 취약점이지만 조직에서는 계속해서 피해를 입게 됩니다.널리 퍼져 있는 비용이 많이 드는 표적 공격 인스턴스와 마찬가지로 SQL 인젝션의 결과였습니다. 선거 해킹 20만 명의 유권자 기록이 노출된 일리노이주에서 FBI는 모든 IT 관리자에게 보안 관행을 강화하기 위해 신속하게 노력할 것을 권고했습니다.
임페르바의 해커 인텔리전스 이니셔티브 보고서 2005년에서 2011년 사이에 보고된 전체 데이터 침해 사례 중 83% 에서 SQLi 공격이 사용된 것으로 나타났습니다.오늘날에도 인젝션 취약성은 여전히 미국 내 가장 큰 위협으로 남아 있습니다. OWASP 탑 10.비교적 단순하지만 그냥 죽지는 않아요.
이와 동일한 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 나타나고 있다는 것은 우스꽝스러워 보입니다.우리는 이 문제가 어떻게 작동하는지 잘 알고 있으며, 이를 막는 방법도 알고 있습니다.어떻게 이런 일이 가능할까요?사실, 우리의 소프트웨어 보안은 개선의 여지가 무궁무진합니다.
베라코드의 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔을 기반으로 "라는 놀라운 통계가 나왔습니다. OWASP Top 10 정책을 통과한 애플리케이션은 30% 에 불과했습니다.새로 스캔한 애플리케이션 3개 중 거의 1개에 SQL 인젝션이 나타나는 등 지난 5년 동안 이러한 주제는 한결같습니다.이는 고질적인 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, CISO는 충분한 보안 인재를 확보하는 데 있어 힘든 싸움에 직면한 것 같습니다.일반적으로 AppSec 전문가와 개발자의 비율은 1:100 으로 적절하지 않습니다.
소프트웨어 보안이 생명 유지에 포함되는 이유는 무엇입니까?
전문 보안 인재가 부족하다는 것은 비밀이 아닙니다. 하지만 개발자들은 문제가 발생할 때 문제를 해결하지 않으며 애초에 취약점을 도입하지 않을 준비가 되어 있지 않다는 사실에도 주의를 기울여야 합니다.동일한 Veracode 보고서에서 전체 개발 취약점 중 단 14.4% 에 대한 완화 조치가 문서화된 것으로 밝혀졌습니다.즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었습니다.처음 90일 동안 해결된 취약점은 1/3 미만이었고, 42% 의 취약성은 개발 기간 내에 종료되지 않았습니다.
필자는 보안 전문가, CISO, CEO들과 항상 이야기를 나누는데, 많은 기업들이 (오탐이라고 하는 재앙 외에도) 완화할 수 없는 취약점의 수에 너무 불만을 품고, 아예 검색을 중단하고 손가락만 끼고 최상의 결과를 기대한다는 사실을 알게 되었습니다.
AppSec 전문가들이 이러한 상황을 허용한 이유는 무엇일까요?
실수하지 마세요. AppSec 직원들은 코드의 문제를 뼈저리게 알고 있습니다.결국, 이것이 바로 이들을 소중한 팀 리소스로 만드는 핵심 기술 중 하나입니다.하지만 이들은 종종 여러 가지 요인으로 인해 어려움을 겪습니다.
예를 들어 AppSec 관리자는 문제를 발견하고 개발자에게 “코드를 수정할 수 있나요?” 라고 묻습니다.이 중요한 질문에 대한 답은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트를 준수하느라 너무 신경을 써서 이러한 문제를 해결할 시간도, 도움을 줄 적절한 도구도 없습니다.AppSec 전문가가 직접 취약점을 식별할 수는 있지만, 이를 즉시 해결할 수 있는 기술 및/또는 액세스 권한이 없는 경우가 많습니다.
또한 모든 문제에는 해결책을 찾고 구현한 다음 테스트해야 하는 프로세스가 있다는 것을 깨달아야 합니다.코드에서 발견된 사소한 문제라도 해결하는 데 걸리는 시간은 엄청나며, 필요한 리소스는 말할 것도 없습니다.소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 모두 방어하는 것은 불가능합니다.이러한 이유 때문에 대부분의 회사는 OWASP Top 10만을 고수합니다.그 동안 개발자들은 계속해서 기능을 개발하고, 그 결과 자신이 작성한 코드에 계속해서 취약점을 도입합니다.
해결책은 무엇일까요?
간단히 말해서, 우리는 개발자들에게 보안 코딩의 성공을 촉진하기 위한 도구와 교육을 제공하지 않습니다.조직에서 개발자에게 적절한 보안 기술을 보유하도록 강요하는 규정은 없습니다. 대부분의 대학과 인턴십 프로그램에서도 주니어 개발자가 안전하게 코딩할 수 있도록 준비하지 못하는 것은 안타까운 현실입니다.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
개발자들에게 보안 코드 작성에 대해 교육하는 데 시간을 할애해야 합니다.그러나 소프트웨어 개발이 빠르게 진행되고 있고 우수한 개발자 및 보안 전문가가 부족한 오늘날의 세계에서는 이것이 결코 우선 순위가 아닌 것 같습니다.이제 대화를 바꿔야 할 때입니다.
의 최근 헤드라인 세계 경제 포럼 “보안 없이는 디지털 경제도 존재할 수 없다”고 외쳤고, 이와 함께 모든 디지털 혁신 전략의 핵심 부분이 되기 위해서는 보안이 필요하다는 내용이 담겨 있습니다.“보안은 기업을 보호하여 기업이 혁신하고 새로운 제품과 서비스를 구축할 수 있도록 합니다.보안은 방어적인 역할을 넘어서 기업에 전략적 성장 이점을 제공합니다.”
보안 코딩 기술과 성과를 개선하면 조직에 강력한 사이버 보호 계층이 추가되어 더 빠르고 더 나은 코드를 만들 수 있습니다.개발자가 보안 전문가가 될 필요는 없지만 사이버 공격에 대한 1차 방어선이 되려면 적극적이고 실질적인 권한을 부여받아야 합니다.개발자는 차세대 보안 및 혁신 영웅이 될 수 있습니다.그들은 매우 영리한 사람들이고, 창의적으로 문제를 해결하며, 일반적으로 자신의 기술을 연마하는 데 열심입니다.마땅히 받아야 할 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 표준을 준수하십시오. 백서 읽어보기 더 자세히 알아보세요.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
바퀴벌레는 핵폭발을 포함한 모든 것에서 살아남을 수 있다는 잘 알려진 이론이 있습니다.이 이론은 어느 정도 사실일 뿐이지만, 체구가 단순하기 때문에 크기에 비해 매우 튼튼하고 대부분의 조건에서 근절하기가 어렵습니다.
생각해봤는데... 디지털 세계에서 바퀴벌레에 상응하는 문제가 있다면 코드에 SQL 인젝션 (SQLi) 취약점이 있을 것 같아요.이 취약점은 20년 넘게 알려진 취약점이지만 조직에서는 계속해서 피해를 입게 됩니다.널리 퍼져 있는 비용이 많이 드는 표적 공격 인스턴스와 마찬가지로 SQL 인젝션의 결과였습니다. 선거 해킹 20만 명의 유권자 기록이 노출된 일리노이주에서 FBI는 모든 IT 관리자에게 보안 관행을 강화하기 위해 신속하게 노력할 것을 권고했습니다.
임페르바의 해커 인텔리전스 이니셔티브 보고서 2005년에서 2011년 사이에 보고된 전체 데이터 침해 사례 중 83% 에서 SQLi 공격이 사용된 것으로 나타났습니다.오늘날에도 인젝션 취약성은 여전히 미국 내 가장 큰 위협으로 남아 있습니다. OWASP 탑 10.비교적 단순하지만 그냥 죽지는 않아요.
이와 동일한 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 나타나고 있다는 것은 우스꽝스러워 보입니다.우리는 이 문제가 어떻게 작동하는지 잘 알고 있으며, 이를 막는 방법도 알고 있습니다.어떻게 이런 일이 가능할까요?사실, 우리의 소프트웨어 보안은 개선의 여지가 무궁무진합니다.
베라코드의 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔을 기반으로 "라는 놀라운 통계가 나왔습니다. OWASP Top 10 정책을 통과한 애플리케이션은 30% 에 불과했습니다.새로 스캔한 애플리케이션 3개 중 거의 1개에 SQL 인젝션이 나타나는 등 지난 5년 동안 이러한 주제는 한결같습니다.이는 고질적인 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, CISO는 충분한 보안 인재를 확보하는 데 있어 힘든 싸움에 직면한 것 같습니다.일반적으로 AppSec 전문가와 개발자의 비율은 1:100 으로 적절하지 않습니다.
소프트웨어 보안이 생명 유지에 포함되는 이유는 무엇입니까?
전문 보안 인재가 부족하다는 것은 비밀이 아닙니다. 하지만 개발자들은 문제가 발생할 때 문제를 해결하지 않으며 애초에 취약점을 도입하지 않을 준비가 되어 있지 않다는 사실에도 주의를 기울여야 합니다.동일한 Veracode 보고서에서 전체 개발 취약점 중 단 14.4% 에 대한 완화 조치가 문서화된 것으로 밝혀졌습니다.즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었습니다.처음 90일 동안 해결된 취약점은 1/3 미만이었고, 42% 의 취약성은 개발 기간 내에 종료되지 않았습니다.
필자는 보안 전문가, CISO, CEO들과 항상 이야기를 나누는데, 많은 기업들이 (오탐이라고 하는 재앙 외에도) 완화할 수 없는 취약점의 수에 너무 불만을 품고, 아예 검색을 중단하고 손가락만 끼고 최상의 결과를 기대한다는 사실을 알게 되었습니다.
AppSec 전문가들이 이러한 상황을 허용한 이유는 무엇일까요?
실수하지 마세요. AppSec 직원들은 코드의 문제를 뼈저리게 알고 있습니다.결국, 이것이 바로 이들을 소중한 팀 리소스로 만드는 핵심 기술 중 하나입니다.하지만 이들은 종종 여러 가지 요인으로 인해 어려움을 겪습니다.
예를 들어 AppSec 관리자는 문제를 발견하고 개발자에게 “코드를 수정할 수 있나요?” 라고 묻습니다.이 중요한 질문에 대한 답은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트를 준수하느라 너무 신경을 써서 이러한 문제를 해결할 시간도, 도움을 줄 적절한 도구도 없습니다.AppSec 전문가가 직접 취약점을 식별할 수는 있지만, 이를 즉시 해결할 수 있는 기술 및/또는 액세스 권한이 없는 경우가 많습니다.
또한 모든 문제에는 해결책을 찾고 구현한 다음 테스트해야 하는 프로세스가 있다는 것을 깨달아야 합니다.코드에서 발견된 사소한 문제라도 해결하는 데 걸리는 시간은 엄청나며, 필요한 리소스는 말할 것도 없습니다.소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 모두 방어하는 것은 불가능합니다.이러한 이유 때문에 대부분의 회사는 OWASP Top 10만을 고수합니다.그 동안 개발자들은 계속해서 기능을 개발하고, 그 결과 자신이 작성한 코드에 계속해서 취약점을 도입합니다.
해결책은 무엇일까요?
간단히 말해서, 우리는 개발자들에게 보안 코딩의 성공을 촉진하기 위한 도구와 교육을 제공하지 않습니다.조직에서 개발자에게 적절한 보안 기술을 보유하도록 강요하는 규정은 없습니다. 대부분의 대학과 인턴십 프로그램에서도 주니어 개발자가 안전하게 코딩할 수 있도록 준비하지 못하는 것은 안타까운 현실입니다.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
개발자들에게 보안 코드 작성에 대해 교육하는 데 시간을 할애해야 합니다.그러나 소프트웨어 개발이 빠르게 진행되고 있고 우수한 개발자 및 보안 전문가가 부족한 오늘날의 세계에서는 이것이 결코 우선 순위가 아닌 것 같습니다.이제 대화를 바꿔야 할 때입니다.
의 최근 헤드라인 세계 경제 포럼 “보안 없이는 디지털 경제도 존재할 수 없다”고 외쳤고, 이와 함께 모든 디지털 혁신 전략의 핵심 부분이 되기 위해서는 보안이 필요하다는 내용이 담겨 있습니다.“보안은 기업을 보호하여 기업이 혁신하고 새로운 제품과 서비스를 구축할 수 있도록 합니다.보안은 방어적인 역할을 넘어서 기업에 전략적 성장 이점을 제공합니다.”
보안 코딩 기술과 성과를 개선하면 조직에 강력한 사이버 보호 계층이 추가되어 더 빠르고 더 나은 코드를 만들 수 있습니다.개발자가 보안 전문가가 될 필요는 없지만 사이버 공격에 대한 1차 방어선이 되려면 적극적이고 실질적인 권한을 부여받아야 합니다.개발자는 차세대 보안 및 혁신 영웅이 될 수 있습니다.그들은 매우 영리한 사람들이고, 창의적으로 문제를 해결하며, 일반적으로 자신의 기술을 연마하는 데 열심입니다.마땅히 받아야 할 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 표준을 준수하십시오. 백서 읽어보기 더 자세히 알아보세요.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
바퀴벌레는 핵폭발을 포함한 모든 것에서 살아남을 수 있다는 잘 알려진 이론이 있습니다.이 이론은 어느 정도 사실일 뿐이지만, 체구가 단순하기 때문에 크기에 비해 매우 튼튼하고 대부분의 조건에서 근절하기가 어렵습니다.
생각해봤는데... 디지털 세계에서 바퀴벌레에 상응하는 문제가 있다면 코드에 SQL 인젝션 (SQLi) 취약점이 있을 것 같아요.이 취약점은 20년 넘게 알려진 취약점이지만 조직에서는 계속해서 피해를 입게 됩니다.널리 퍼져 있는 비용이 많이 드는 표적 공격 인스턴스와 마찬가지로 SQL 인젝션의 결과였습니다. 선거 해킹 20만 명의 유권자 기록이 노출된 일리노이주에서 FBI는 모든 IT 관리자에게 보안 관행을 강화하기 위해 신속하게 노력할 것을 권고했습니다.
임페르바의 해커 인텔리전스 이니셔티브 보고서 2005년에서 2011년 사이에 보고된 전체 데이터 침해 사례 중 83% 에서 SQLi 공격이 사용된 것으로 나타났습니다.오늘날에도 인젝션 취약성은 여전히 미국 내 가장 큰 위협으로 남아 있습니다. OWASP 탑 10.비교적 단순하지만 그냥 죽지는 않아요.
이와 동일한 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 나타나고 있다는 것은 우스꽝스러워 보입니다.우리는 이 문제가 어떻게 작동하는지 잘 알고 있으며, 이를 막는 방법도 알고 있습니다.어떻게 이런 일이 가능할까요?사실, 우리의 소프트웨어 보안은 개선의 여지가 무궁무진합니다.
베라코드의 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔을 기반으로 "라는 놀라운 통계가 나왔습니다. OWASP Top 10 정책을 통과한 애플리케이션은 30% 에 불과했습니다.새로 스캔한 애플리케이션 3개 중 거의 1개에 SQL 인젝션이 나타나는 등 지난 5년 동안 이러한 주제는 한결같습니다.이는 고질적인 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, CISO는 충분한 보안 인재를 확보하는 데 있어 힘든 싸움에 직면한 것 같습니다.일반적으로 AppSec 전문가와 개발자의 비율은 1:100 으로 적절하지 않습니다.
소프트웨어 보안이 생명 유지에 포함되는 이유는 무엇입니까?
전문 보안 인재가 부족하다는 것은 비밀이 아닙니다. 하지만 개발자들은 문제가 발생할 때 문제를 해결하지 않으며 애초에 취약점을 도입하지 않을 준비가 되어 있지 않다는 사실에도 주의를 기울여야 합니다.동일한 Veracode 보고서에서 전체 개발 취약점 중 단 14.4% 에 대한 완화 조치가 문서화된 것으로 밝혀졌습니다.즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었습니다.처음 90일 동안 해결된 취약점은 1/3 미만이었고, 42% 의 취약성은 개발 기간 내에 종료되지 않았습니다.
필자는 보안 전문가, CISO, CEO들과 항상 이야기를 나누는데, 많은 기업들이 (오탐이라고 하는 재앙 외에도) 완화할 수 없는 취약점의 수에 너무 불만을 품고, 아예 검색을 중단하고 손가락만 끼고 최상의 결과를 기대한다는 사실을 알게 되었습니다.
AppSec 전문가들이 이러한 상황을 허용한 이유는 무엇일까요?
실수하지 마세요. AppSec 직원들은 코드의 문제를 뼈저리게 알고 있습니다.결국, 이것이 바로 이들을 소중한 팀 리소스로 만드는 핵심 기술 중 하나입니다.하지만 이들은 종종 여러 가지 요인으로 인해 어려움을 겪습니다.
예를 들어 AppSec 관리자는 문제를 발견하고 개발자에게 “코드를 수정할 수 있나요?” 라고 묻습니다.이 중요한 질문에 대한 답은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트를 준수하느라 너무 신경을 써서 이러한 문제를 해결할 시간도, 도움을 줄 적절한 도구도 없습니다.AppSec 전문가가 직접 취약점을 식별할 수는 있지만, 이를 즉시 해결할 수 있는 기술 및/또는 액세스 권한이 없는 경우가 많습니다.
또한 모든 문제에는 해결책을 찾고 구현한 다음 테스트해야 하는 프로세스가 있다는 것을 깨달아야 합니다.코드에서 발견된 사소한 문제라도 해결하는 데 걸리는 시간은 엄청나며, 필요한 리소스는 말할 것도 없습니다.소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 모두 방어하는 것은 불가능합니다.이러한 이유 때문에 대부분의 회사는 OWASP Top 10만을 고수합니다.그 동안 개발자들은 계속해서 기능을 개발하고, 그 결과 자신이 작성한 코드에 계속해서 취약점을 도입합니다.
해결책은 무엇일까요?
간단히 말해서, 우리는 개발자들에게 보안 코딩의 성공을 촉진하기 위한 도구와 교육을 제공하지 않습니다.조직에서 개발자에게 적절한 보안 기술을 보유하도록 강요하는 규정은 없습니다. 대부분의 대학과 인턴십 프로그램에서도 주니어 개발자가 안전하게 코딩할 수 있도록 준비하지 못하는 것은 안타까운 현실입니다.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
개발자들에게 보안 코드 작성에 대해 교육하는 데 시간을 할애해야 합니다.그러나 소프트웨어 개발이 빠르게 진행되고 있고 우수한 개발자 및 보안 전문가가 부족한 오늘날의 세계에서는 이것이 결코 우선 순위가 아닌 것 같습니다.이제 대화를 바꿔야 할 때입니다.
의 최근 헤드라인 세계 경제 포럼 “보안 없이는 디지털 경제도 존재할 수 없다”고 외쳤고, 이와 함께 모든 디지털 혁신 전략의 핵심 부분이 되기 위해서는 보안이 필요하다는 내용이 담겨 있습니다.“보안은 기업을 보호하여 기업이 혁신하고 새로운 제품과 서비스를 구축할 수 있도록 합니다.보안은 방어적인 역할을 넘어서 기업에 전략적 성장 이점을 제공합니다.”
보안 코딩 기술과 성과를 개선하면 조직에 강력한 사이버 보호 계층이 추가되어 더 빠르고 더 나은 코드를 만들 수 있습니다.개발자가 보안 전문가가 될 필요는 없지만 사이버 공격에 대한 1차 방어선이 되려면 적극적이고 실질적인 권한을 부여받아야 합니다.개발자는 차세대 보안 및 혁신 영웅이 될 수 있습니다.그들은 매우 영리한 사람들이고, 창의적으로 문제를 해결하며, 일반적으로 자신의 기술을 연마하는 데 열심입니다.마땅히 받아야 할 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 표준을 준수하십시오. 백서 읽어보기 더 자세히 알아보세요.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
바퀴벌레는 핵폭발을 포함한 모든 것에서 살아남을 수 있다는 잘 알려진 이론이 있습니다.이 이론은 어느 정도 사실일 뿐이지만, 체구가 단순하기 때문에 크기에 비해 매우 튼튼하고 대부분의 조건에서 근절하기가 어렵습니다.
생각해봤는데... 디지털 세계에서 바퀴벌레에 상응하는 문제가 있다면 코드에 SQL 인젝션 (SQLi) 취약점이 있을 것 같아요.이 취약점은 20년 넘게 알려진 취약점이지만 조직에서는 계속해서 피해를 입게 됩니다.널리 퍼져 있는 비용이 많이 드는 표적 공격 인스턴스와 마찬가지로 SQL 인젝션의 결과였습니다. 선거 해킹 20만 명의 유권자 기록이 노출된 일리노이주에서 FBI는 모든 IT 관리자에게 보안 관행을 강화하기 위해 신속하게 노력할 것을 권고했습니다.
임페르바의 해커 인텔리전스 이니셔티브 보고서 2005년에서 2011년 사이에 보고된 전체 데이터 침해 사례 중 83% 에서 SQLi 공격이 사용된 것으로 나타났습니다.오늘날에도 인젝션 취약성은 여전히 미국 내 가장 큰 위협으로 남아 있습니다. OWASP 탑 10.비교적 단순하지만 그냥 죽지는 않아요.
이와 동일한 취약점이 여전히 상당수의 애플리케이션 보안 검사에서 나타나고 있다는 것은 우스꽝스러워 보입니다.우리는 이 문제가 어떻게 작동하는지 잘 알고 있으며, 이를 막는 방법도 알고 있습니다.어떻게 이런 일이 가능할까요?사실, 우리의 소프트웨어 보안은 개선의 여지가 무궁무진합니다.
베라코드의 소프트웨어 보안 현황 보고서 - 2017년 40만 건의 애플리케이션 스캔을 기반으로 "라는 놀라운 통계가 나왔습니다. OWASP Top 10 정책을 통과한 애플리케이션은 30% 에 불과했습니다.새로 스캔한 애플리케이션 3개 중 거의 1개에 SQL 인젝션이 나타나는 등 지난 5년 동안 이러한 주제는 한결같습니다.이는 고질적인 문제의 증거입니다. 우리는 실수로부터 교훈을 얻지 못하고 있으며, CISO는 충분한 보안 인재를 확보하는 데 있어 힘든 싸움에 직면한 것 같습니다.일반적으로 AppSec 전문가와 개발자의 비율은 1:100 으로 적절하지 않습니다.
소프트웨어 보안이 생명 유지에 포함되는 이유는 무엇입니까?
전문 보안 인재가 부족하다는 것은 비밀이 아닙니다. 하지만 개발자들은 문제가 발생할 때 문제를 해결하지 않으며 애초에 취약점을 도입하지 않을 준비가 되어 있지 않다는 사실에도 주의를 기울여야 합니다.동일한 Veracode 보고서에서 전체 개발 취약점 중 단 14.4% 에 대한 완화 조치가 문서화된 것으로 밝혀졌습니다.즉, 대부분의 취약점은 개발 완화 조치 없이 제출되었습니다.처음 90일 동안 해결된 취약점은 1/3 미만이었고, 42% 의 취약성은 개발 기간 내에 종료되지 않았습니다.
필자는 보안 전문가, CISO, CEO들과 항상 이야기를 나누는데, 많은 기업들이 (오탐이라고 하는 재앙 외에도) 완화할 수 없는 취약점의 수에 너무 불만을 품고, 아예 검색을 중단하고 손가락만 끼고 최상의 결과를 기대한다는 사실을 알게 되었습니다.
AppSec 전문가들이 이러한 상황을 허용한 이유는 무엇일까요?
실수하지 마세요. AppSec 직원들은 코드의 문제를 뼈저리게 알고 있습니다.결국, 이것이 바로 이들을 소중한 팀 리소스로 만드는 핵심 기술 중 하나입니다.하지만 이들은 종종 여러 가지 요인으로 인해 어려움을 겪습니다.
예를 들어 AppSec 관리자는 문제를 발견하고 개발자에게 “코드를 수정할 수 있나요?” 라고 묻습니다.이 중요한 질문에 대한 답은 조직마다 다르지만, 일반적으로 개발자는 엄격한 기능 제공 스프린트를 준수하느라 너무 신경을 써서 이러한 문제를 해결할 시간도, 도움을 줄 적절한 도구도 없습니다.AppSec 전문가가 직접 취약점을 식별할 수는 있지만, 이를 즉시 해결할 수 있는 기술 및/또는 액세스 권한이 없는 경우가 많습니다.
또한 모든 문제에는 해결책을 찾고 구현한 다음 테스트해야 하는 프로세스가 있다는 것을 깨달아야 합니다.코드에서 발견된 사소한 문제라도 해결하는 데 걸리는 시간은 엄청나며, 필요한 리소스는 말할 것도 없습니다.소프트웨어에 도입될 수 있는 취약점은 700개가 넘으며, 한 사람이 모두 방어하는 것은 불가능합니다.이러한 이유 때문에 대부분의 회사는 OWASP Top 10만을 고수합니다.그 동안 개발자들은 계속해서 기능을 개발하고, 그 결과 자신이 작성한 코드에 계속해서 취약점을 도입합니다.
해결책은 무엇일까요?
간단히 말해서, 우리는 개발자들에게 보안 코딩의 성공을 촉진하기 위한 도구와 교육을 제공하지 않습니다.조직에서 개발자에게 적절한 보안 기술을 보유하도록 강요하는 규정은 없습니다. 대부분의 대학과 인턴십 프로그램에서도 주니어 개발자가 안전하게 코딩할 수 있도록 준비하지 못하는 것은 안타까운 현실입니다.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
개발자들에게 보안 코드 작성에 대해 교육하는 데 시간을 할애해야 합니다.그러나 소프트웨어 개발이 빠르게 진행되고 있고 우수한 개발자 및 보안 전문가가 부족한 오늘날의 세계에서는 이것이 결코 우선 순위가 아닌 것 같습니다.이제 대화를 바꿔야 할 때입니다.
의 최근 헤드라인 세계 경제 포럼 “보안 없이는 디지털 경제도 존재할 수 없다”고 외쳤고, 이와 함께 모든 디지털 혁신 전략의 핵심 부분이 되기 위해서는 보안이 필요하다는 내용이 담겨 있습니다.“보안은 기업을 보호하여 기업이 혁신하고 새로운 제품과 서비스를 구축할 수 있도록 합니다.보안은 방어적인 역할을 넘어서 기업에 전략적 성장 이점을 제공합니다.”
보안 코딩 기술과 성과를 개선하면 조직에 강력한 사이버 보호 계층이 추가되어 더 빠르고 더 나은 코드를 만들 수 있습니다.개발자가 보안 전문가가 될 필요는 없지만 사이버 공격에 대한 1차 방어선이 되려면 적극적이고 실질적인 권한을 부여받아야 합니다.개발자는 차세대 보안 및 혁신 영웅이 될 수 있습니다.그들은 매우 영리한 사람들이고, 창의적으로 문제를 해결하며, 일반적으로 자신의 기술을 연마하는 데 열심입니다.마땅히 받아야 할 전문 교육을 통해 강점을 발휘하고 더 높은 소프트웨어 보안 표준을 준수하십시오. 백서 읽어보기 더 자세히 알아보세요.
비행기를 타려는 사람은 비행하기 전에 훈련, 실무 경험, 건강 검진, 안전 지식 및 검사를 보장하는 매우 엄격한 절차가 있습니다.누구도 이러한 광범위한 준비와 기술 검증이 없었다면 하늘에서 풀려날 수 있으리라고는 감히 상상하지 못하겠지만, 코드 작성에서는 매일 이런 일이 벌어지고 있습니다.
목차
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
