사이버 보안의 미래: 앞으로 는 어떤 일이 일어나지 않을 것
이 문서의 버전은 원래 어두운 읽기에나타났다. 여기에 신디케이션을 위해 업데이트되었습니다.
우리 업계에서많은 보안 전문가들은 내년에 핫 버튼 문제를 예측하는 습관을 들였지만 (그리고 예외는 아닙니다) 2019 년에 50 억개 이상의 민감한 데이터 기록이 도난당한 상황에서 2020 년 사이버 보안에서 일어나지 않을 일또는 실제로 가까운 미래에 어떤 일이 일어나지 않을지 예측하는 것이 더 정확할 것이라고 생각했습니다.
저는 공동 창업자인 마티아스 마두(Matias Madou)와 함께 앉아 있었고, 우리는 이 목록을 함께 올리며 몇 가지 웃음을 지으며 있었습니다. 다소 경쾌한 전망이 될 수 있지만 악의적인 사이버 공격에 맞서 모든 조직을 격화하기 위해 앞으로 의기다른 긴 길을 되돌아보게 됩니다.
이제 크리스탈 볼을 살펴보고 예측을 공개할 수 있습니다. 우리는 볼 수 없습니다 :
모든 소프트웨어에서 근절된 SQL 주사
나는 행성의 모든 보안 전문가가 더 이상 SQL 주입 버그, 광고 구역 질을 식별하기 위해 탈선되지 않는 날을 기다리고 있다고 생각합니다.
슬프게도, 우리는 20 년 이상이 날을 기다려 왔고, 우리는 적어도 하나 이상을 기다릴 것입니다. 바퀴벌레처럼지금까지 모든 전술을 살아남아 좋은 것을 근절한 것은 취약점입니다.
치료법이 거의 같은 시간 동안 알려져 있기 때문에 적어도 말을하는 것은 실망스럽습니다. 그러나 소프트웨어 개발의 모든 단계에서 보안 모범 사례의 우선 순위 지정(특히 처음부터 오른쪽)은 SQL 주입이 발견된 이후 코드 생산이 크게 증가했기 때문에 너무 낮고 확실히 부적절합니다.
(SQL 주입으로 이어질 수 있는 코딩 패턴에 대해 자세히 알고 싶으십니까? 여기에도전을 가져 가라).
개발자와 AppSec은 가장 친한 친구가된다
아, 개발자와 AppSec 팀. 그들은 이제까지 함께 얻을 것인가, 또는 그들은 로키 대 아폴로와 같은 경쟁의 삶에 운명? 짧은 대답은 예, 그들은 함께 얻을 수 있습니다,하지만 지금은 그들의 우선 순위는 종종 매우 다르다.
프로젝트 환경에서 만날 때, 그들은 반대 페이지에 있어 마지막 장애물에서 바로 충돌: AppSec 전문가 개발자의 코드를 통해 파고 때. 개발자는 보안 취약점이 발견되면 찢어지는 아름답고 기능적인 기능 기능(우선 순위)을 구축했습니다. 소프트웨어 보안 전문가는 사실상 아기를 못생긴 이라고 부르고 개발자가 다시 가서 버그를 수정하도록 강요하여 배포를 지연시었습니다.
현재 상태에서는 개발자와 AppSec 팀이 보안 소프트웨어 의 생성인 공통 목표를 향해 노력할 때까지 이 작업이 해결되지 않습니다. 2020년에는 기본 프로세스로 는 일어나지 않을 것입니다(그리고 많은 회사, 그 후 꽤 몇 년 후), 그러나 DevSecOps 운동의 출현과 그 이후, 개발자는 보안에 대한 기술과 더 높은 표준으로 일할 필요성을 인식하고 있습니다. 처음부터 보안 목표를 포함하는 것입니다.
보안 전문가의 과잉 공급
2020년, 2025년, 2030년... 보안 전문 지식과 관련하여 전 세계적으로 인력이 부족해질 것이라는 보장이 거의 보장됩니다.
ISC(2)의 보고서에 따르면 현재 약 293만 개의 사이버 보안 위치가 채워지지 않았습니다. 이것은 거의 확실히 더 나아지기 전에 악화 될 것입니다, 그리고 숨겨진 보안 군대는 향후 몇 년 동안 우리의 구조에 행진을 기다리고 없습니다.
당장이 기술 부족을 해결할 수있는 가장 좋은 기회는 보안을 조직의 우선 순위로 만들고 기존 인력을 강화하는 것이며, 이는 개발자에게 안전하게 코딩할 수있는 교육 및 도구를 제공하는 것뿐만 아니라 전사적 보안 문화를 만드는 것입니다. 대부분의 현재 AppSec 팀은 잘 알려진 오래된 보안 버그에 맞서 싸우고 있을 것입니다(위의 포인트 1 참조). 이러한 일반적인 문제를 해결하는 데 귀중한 시간과 노력을 기울일 필요가 없도록 하면 어려운 보안 문제에 집중할 수 있는 더 많은 대역폭이 있습니다(현재 API와 관련된 문제뿐만 아니라 개발 파이프라인에 맞출 수 있는 도구를 구축할 가능성이 높습니다).
더 적은 코드가 생성됨
세계는 엄청난 속도로 디지털화되고 있으며, 사회적 수요는 흔들리지 않을 것입니다. 매년 약 1,110억 줄의 코드가 작성되며, 이 숫자는 더 크고 더 무서운 것(어쨌든 이미 늘어선 AppSec 팀의 경우)에 불과합니다.
코드 볼륨이 증가하면 잠재적인 보안 취약점이 증가할 수 있으므로 2020년 경에 소프트웨어 생산과 위반이 느린 해가 되는 것은 그랜드 내셔널에서 열리는 유니콘 경주만큼이나 현실적입니다.
도난당한 데이터 레코드의 감소
내가 말했듯이, 더 많은 코드는 더 많은 취약점을 의미하고, 이것은 공격자가 데이터를 훔치는 방법을 찾을 수있는 더 많은 기회를 제공합니다.
2019년에는 전 세계적으로 최소 53억 건의 기록이 도난당했으며,공격자에 대한 방어는 여전히 절망적이고 반응적인 출격입니다. 이 숫자는 다음 12 개월에 두 배가 되지 않을 수 있습니다., 하지만 난 가까이 얻을 것 이라고 생각.
예를 들어, 미국에서 매년 도난당한 데이터의 역사적 동향을 살펴보겠습니다.
2005-2010 년 사이의 기간을 보면, 몇 년 사이에 약간의 흐르고 흐름으로 꾸준한 상승이있다. 이것은 흥미롭지만, 중요한 요소는 2009년에 2008년에 보고된 위반건수가 급격히 감소했다는 것입니다. 그러나, 적은 위반에도 불구하고 도난 기록의 수에 뚜렷한 증가가 있었다.
데이터 레코드는 새 금입니다. 공격자에 대한 가치가 있습니다. 이 차트는 2017년에 큰 최고치를 기록한 위반 및 도난 기록 수의 일반적인 상승 추세를 반영합니다. 2018년에는 보안 조치가 강화되면서 공격 건수가 하락했지만, 확보된 기록 수는 역대 최고였습니다. 사이버 공격은 점점 더 정교해지고 대량으로 증가할 것이며 곧 사라지지 않을 것입니다. 그리고 전 세계적으로, 우리는 기업이 그 어느 때보 다 빠르게 더 많은 소프트웨어를 생산으로 2020 년에 침체를 볼 가능성이 없습니다. 그들은 우리의 데이터의 게이트 키퍼이며 우리의 개인 정보를 보호하기 위해 더 똑똑하게 작동해야합니다.
더 길고 빈번한 비디오 기반 보안 교육을 요구하는 개발자
개발자가 좋아하는 한 가지가 있다면, 그것은 컴퓨터 기반 교육 (CBT) 비디오의 시간에 시간을보고있다. 사실, 이러한 매혹적인 콘텐츠에 대 한 수요, 넷 플 릭 스 는 일반 보안 교육 비디오에 전념 하는 완전히 새로운 하위 카테고리를 발표할 예정 이다.
어, 아니요. 2020년이 아니라 지금은 아닙니다.
개발자의 경우 보안에 대한 도입은 종종 직장 규정 준수 교육을 통해 발생하는 경우가 많습니다. 보안 코딩은 고등 교육의 일부가 거의 없으며, 실무 교육은 소프트웨어 보안과의 첫 만남이 될 수 있습니다. 그리고, 당연히, 그들은 종종 그것을 좋아하지 않는다.
개발자가 보안을 진지하게 받아들이고 교육이 유용하기 위해 업무와 관련이 있고 매력적이며 상황에 있어야 합니다. 일회성 컴플라이언스 교육 또는 무딘 비디오의 끝없는 스트림은 개발자의 마음을 위한 방법이 아니며 취약점을 줄이지 않을 것입니다.
개발자 코호트가 일반적인 취약점에 대해 보안 인식 방어 인력이 될 수 있는 기회를 얻으려면 일상적인 작업에서 발생하는 실제 코드 예제로 작업하도록 합니다. 학습 한입 크기, 구축하기 쉬운, 재미의 감각으로 인센티브를. 보안 문화가 번창하려면 조직 전체에 긍정적이고 매력적이며 실제 기술과 솔루션을 개발해야 합니다.
누가 알아? 올바른 교육을 통해 개발자는 내부 보안 챔피언을 인식하고 보안 코딩의 이점을 광범위하게 확산시킬 수 있습니다.
사이버 보안 관련 사고로 인한 사망자 수 제로
좋아, 그래서 이것은 분명히 웃음 문제가 없습니다. 저는 사람들이 사이버 공격 관련 사건으로 사망하기 전까지는 세계가 사이버 보안에 신경 쓰지 않는다고 여러 번 말했습니다.
문제는 이미 이런 일이 일어났고, 크게 눈에 띄지 않았다는 것입니다.
미국 병원에 대한 사이버 공격은 2019년에 심장 마비 죽음의 증가에 연결되었습니다. 물론, 공격자는 환자에서 치명적인 심장 이벤트를 일으키지 않았다, 하지만 병원 시스템 및 장비에 그들의 랜섬웨어 공격은 중환자 치료를 위한 치료 시간을 둔화.
센트럴 플로리다 대학의 이 연구는 3000개의 병원을 분석했으며, 그 중 311개병원은 데이터 유출을 경험했습니다. 보안 사고의 영향을 받은 사람들에서, 그들은 의심되는 심장 발작 피해자에게 심전도를 주기 위하여 평균 2.7 분 더 걸렸습니다; 절차적 변화로 인해 새로 구현된 보안 조치와 IT 지원 문제로 인해 이전보다 더 많은 시간이 걸리는 것으로 보입니다. 심장 마비를 확인하고 치료하는 것은 시간에 대한 인종이며, 그 병원은 평균 10,000 심장 발작 당 추가 36 죽음을 보았다.
이것은 충격적이며 불행히도 더 나아지기 전에 더 나빠질 것이라고 생각합니다. 이는 우리 모두가 소프트웨어 보안을 고양시키고 모든 비즈니스에서 염두에 두기 위해 더 많은 일을 해야 한다는 것을 상기시켜 주는 역할을 해야 합니다.
"후드 해커"의 적은 스톡 이미지
이미지 검색에 "해커"를 입력하면 필연적으로 노트북에서 타이핑한 후드, 얼굴없는 그림 또는 Guy Fawkes 마스크의 유사한 그림의 수천 이미지를 발견할 수 있습니다.
해커의 이 고정관념에 대한 이미지는 정말 피곤해지고 있으며, 모든 사람이 나쁜 사람처럼 보이게 합니다. 보안 좋은 남자와 여자의 많음이 있다, 그리고 "해커" 이미지 주위 부정적인 의미를 모두 실망.
이 변경 곧 볼 수 있습니까? 아마, 하지만 그것은 꿈을 좋은. 현재로서는 보안이 무섭지 않다는것을 기억하는 것이 중요합니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
사이버 보안의 미래: 앞으로 는 어떤 일이 일어나지 않을 것
이 문서의 버전은 원래 어두운 읽기에나타났다. 여기에 신디케이션을 위해 업데이트되었습니다.
우리 업계에서많은 보안 전문가들은 내년에 핫 버튼 문제를 예측하는 습관을 들였지만 (그리고 예외는 아닙니다) 2019 년에 50 억개 이상의 민감한 데이터 기록이 도난당한 상황에서 2020 년 사이버 보안에서 일어나지 않을 일또는 실제로 가까운 미래에 어떤 일이 일어나지 않을지 예측하는 것이 더 정확할 것이라고 생각했습니다.
저는 공동 창업자인 마티아스 마두(Matias Madou)와 함께 앉아 있었고, 우리는 이 목록을 함께 올리며 몇 가지 웃음을 지으며 있었습니다. 다소 경쾌한 전망이 될 수 있지만 악의적인 사이버 공격에 맞서 모든 조직을 격화하기 위해 앞으로 의기다른 긴 길을 되돌아보게 됩니다.
이제 크리스탈 볼을 살펴보고 예측을 공개할 수 있습니다. 우리는 볼 수 없습니다 :
모든 소프트웨어에서 근절된 SQL 주사
나는 행성의 모든 보안 전문가가 더 이상 SQL 주입 버그, 광고 구역 질을 식별하기 위해 탈선되지 않는 날을 기다리고 있다고 생각합니다.
슬프게도, 우리는 20 년 이상이 날을 기다려 왔고, 우리는 적어도 하나 이상을 기다릴 것입니다. 바퀴벌레처럼지금까지 모든 전술을 살아남아 좋은 것을 근절한 것은 취약점입니다.
치료법이 거의 같은 시간 동안 알려져 있기 때문에 적어도 말을하는 것은 실망스럽습니다. 그러나 소프트웨어 개발의 모든 단계에서 보안 모범 사례의 우선 순위 지정(특히 처음부터 오른쪽)은 SQL 주입이 발견된 이후 코드 생산이 크게 증가했기 때문에 너무 낮고 확실히 부적절합니다.
(SQL 주입으로 이어질 수 있는 코딩 패턴에 대해 자세히 알고 싶으십니까? 여기에도전을 가져 가라).
개발자와 AppSec은 가장 친한 친구가된다
아, 개발자와 AppSec 팀. 그들은 이제까지 함께 얻을 것인가, 또는 그들은 로키 대 아폴로와 같은 경쟁의 삶에 운명? 짧은 대답은 예, 그들은 함께 얻을 수 있습니다,하지만 지금은 그들의 우선 순위는 종종 매우 다르다.
프로젝트 환경에서 만날 때, 그들은 반대 페이지에 있어 마지막 장애물에서 바로 충돌: AppSec 전문가 개발자의 코드를 통해 파고 때. 개발자는 보안 취약점이 발견되면 찢어지는 아름답고 기능적인 기능 기능(우선 순위)을 구축했습니다. 소프트웨어 보안 전문가는 사실상 아기를 못생긴 이라고 부르고 개발자가 다시 가서 버그를 수정하도록 강요하여 배포를 지연시었습니다.
현재 상태에서는 개발자와 AppSec 팀이 보안 소프트웨어 의 생성인 공통 목표를 향해 노력할 때까지 이 작업이 해결되지 않습니다. 2020년에는 기본 프로세스로 는 일어나지 않을 것입니다(그리고 많은 회사, 그 후 꽤 몇 년 후), 그러나 DevSecOps 운동의 출현과 그 이후, 개발자는 보안에 대한 기술과 더 높은 표준으로 일할 필요성을 인식하고 있습니다. 처음부터 보안 목표를 포함하는 것입니다.
보안 전문가의 과잉 공급
2020년, 2025년, 2030년... 보안 전문 지식과 관련하여 전 세계적으로 인력이 부족해질 것이라는 보장이 거의 보장됩니다.
ISC(2)의 보고서에 따르면 현재 약 293만 개의 사이버 보안 위치가 채워지지 않았습니다. 이것은 거의 확실히 더 나아지기 전에 악화 될 것입니다, 그리고 숨겨진 보안 군대는 향후 몇 년 동안 우리의 구조에 행진을 기다리고 없습니다.
당장이 기술 부족을 해결할 수있는 가장 좋은 기회는 보안을 조직의 우선 순위로 만들고 기존 인력을 강화하는 것이며, 이는 개발자에게 안전하게 코딩할 수있는 교육 및 도구를 제공하는 것뿐만 아니라 전사적 보안 문화를 만드는 것입니다. 대부분의 현재 AppSec 팀은 잘 알려진 오래된 보안 버그에 맞서 싸우고 있을 것입니다(위의 포인트 1 참조). 이러한 일반적인 문제를 해결하는 데 귀중한 시간과 노력을 기울일 필요가 없도록 하면 어려운 보안 문제에 집중할 수 있는 더 많은 대역폭이 있습니다(현재 API와 관련된 문제뿐만 아니라 개발 파이프라인에 맞출 수 있는 도구를 구축할 가능성이 높습니다).
더 적은 코드가 생성됨
세계는 엄청난 속도로 디지털화되고 있으며, 사회적 수요는 흔들리지 않을 것입니다. 매년 약 1,110억 줄의 코드가 작성되며, 이 숫자는 더 크고 더 무서운 것(어쨌든 이미 늘어선 AppSec 팀의 경우)에 불과합니다.
코드 볼륨이 증가하면 잠재적인 보안 취약점이 증가할 수 있으므로 2020년 경에 소프트웨어 생산과 위반이 느린 해가 되는 것은 그랜드 내셔널에서 열리는 유니콘 경주만큼이나 현실적입니다.
도난당한 데이터 레코드의 감소
내가 말했듯이, 더 많은 코드는 더 많은 취약점을 의미하고, 이것은 공격자가 데이터를 훔치는 방법을 찾을 수있는 더 많은 기회를 제공합니다.
2019년에는 전 세계적으로 최소 53억 건의 기록이 도난당했으며,공격자에 대한 방어는 여전히 절망적이고 반응적인 출격입니다. 이 숫자는 다음 12 개월에 두 배가 되지 않을 수 있습니다., 하지만 난 가까이 얻을 것 이라고 생각.
예를 들어, 미국에서 매년 도난당한 데이터의 역사적 동향을 살펴보겠습니다.
2005-2010 년 사이의 기간을 보면, 몇 년 사이에 약간의 흐르고 흐름으로 꾸준한 상승이있다. 이것은 흥미롭지만, 중요한 요소는 2009년에 2008년에 보고된 위반건수가 급격히 감소했다는 것입니다. 그러나, 적은 위반에도 불구하고 도난 기록의 수에 뚜렷한 증가가 있었다.
데이터 레코드는 새 금입니다. 공격자에 대한 가치가 있습니다. 이 차트는 2017년에 큰 최고치를 기록한 위반 및 도난 기록 수의 일반적인 상승 추세를 반영합니다. 2018년에는 보안 조치가 강화되면서 공격 건수가 하락했지만, 확보된 기록 수는 역대 최고였습니다. 사이버 공격은 점점 더 정교해지고 대량으로 증가할 것이며 곧 사라지지 않을 것입니다. 그리고 전 세계적으로, 우리는 기업이 그 어느 때보 다 빠르게 더 많은 소프트웨어를 생산으로 2020 년에 침체를 볼 가능성이 없습니다. 그들은 우리의 데이터의 게이트 키퍼이며 우리의 개인 정보를 보호하기 위해 더 똑똑하게 작동해야합니다.
더 길고 빈번한 비디오 기반 보안 교육을 요구하는 개발자
개발자가 좋아하는 한 가지가 있다면, 그것은 컴퓨터 기반 교육 (CBT) 비디오의 시간에 시간을보고있다. 사실, 이러한 매혹적인 콘텐츠에 대 한 수요, 넷 플 릭 스 는 일반 보안 교육 비디오에 전념 하는 완전히 새로운 하위 카테고리를 발표할 예정 이다.
어, 아니요. 2020년이 아니라 지금은 아닙니다.
개발자의 경우 보안에 대한 도입은 종종 직장 규정 준수 교육을 통해 발생하는 경우가 많습니다. 보안 코딩은 고등 교육의 일부가 거의 없으며, 실무 교육은 소프트웨어 보안과의 첫 만남이 될 수 있습니다. 그리고, 당연히, 그들은 종종 그것을 좋아하지 않는다.
개발자가 보안을 진지하게 받아들이고 교육이 유용하기 위해 업무와 관련이 있고 매력적이며 상황에 있어야 합니다. 일회성 컴플라이언스 교육 또는 무딘 비디오의 끝없는 스트림은 개발자의 마음을 위한 방법이 아니며 취약점을 줄이지 않을 것입니다.
개발자 코호트가 일반적인 취약점에 대해 보안 인식 방어 인력이 될 수 있는 기회를 얻으려면 일상적인 작업에서 발생하는 실제 코드 예제로 작업하도록 합니다. 학습 한입 크기, 구축하기 쉬운, 재미의 감각으로 인센티브를. 보안 문화가 번창하려면 조직 전체에 긍정적이고 매력적이며 실제 기술과 솔루션을 개발해야 합니다.
누가 알아? 올바른 교육을 통해 개발자는 내부 보안 챔피언을 인식하고 보안 코딩의 이점을 광범위하게 확산시킬 수 있습니다.
사이버 보안 관련 사고로 인한 사망자 수 제로
좋아, 그래서 이것은 분명히 웃음 문제가 없습니다. 저는 사람들이 사이버 공격 관련 사건으로 사망하기 전까지는 세계가 사이버 보안에 신경 쓰지 않는다고 여러 번 말했습니다.
문제는 이미 이런 일이 일어났고, 크게 눈에 띄지 않았다는 것입니다.
미국 병원에 대한 사이버 공격은 2019년에 심장 마비 죽음의 증가에 연결되었습니다. 물론, 공격자는 환자에서 치명적인 심장 이벤트를 일으키지 않았다, 하지만 병원 시스템 및 장비에 그들의 랜섬웨어 공격은 중환자 치료를 위한 치료 시간을 둔화.
센트럴 플로리다 대학의 이 연구는 3000개의 병원을 분석했으며, 그 중 311개병원은 데이터 유출을 경험했습니다. 보안 사고의 영향을 받은 사람들에서, 그들은 의심되는 심장 발작 피해자에게 심전도를 주기 위하여 평균 2.7 분 더 걸렸습니다; 절차적 변화로 인해 새로 구현된 보안 조치와 IT 지원 문제로 인해 이전보다 더 많은 시간이 걸리는 것으로 보입니다. 심장 마비를 확인하고 치료하는 것은 시간에 대한 인종이며, 그 병원은 평균 10,000 심장 발작 당 추가 36 죽음을 보았다.
이것은 충격적이며 불행히도 더 나아지기 전에 더 나빠질 것이라고 생각합니다. 이는 우리 모두가 소프트웨어 보안을 고양시키고 모든 비즈니스에서 염두에 두기 위해 더 많은 일을 해야 한다는 것을 상기시켜 주는 역할을 해야 합니다.
"후드 해커"의 적은 스톡 이미지
이미지 검색에 "해커"를 입력하면 필연적으로 노트북에서 타이핑한 후드, 얼굴없는 그림 또는 Guy Fawkes 마스크의 유사한 그림의 수천 이미지를 발견할 수 있습니다.
해커의 이 고정관념에 대한 이미지는 정말 피곤해지고 있으며, 모든 사람이 나쁜 사람처럼 보이게 합니다. 보안 좋은 남자와 여자의 많음이 있다, 그리고 "해커" 이미지 주위 부정적인 의미를 모두 실망.
이 변경 곧 볼 수 있습니까? 아마, 하지만 그것은 꿈을 좋은. 현재로서는 보안이 무섭지 않다는것을 기억하는 것이 중요합니다.
