사이버 보안 산업 분석: 우리가 수정해야 할 또 다른 반복되는 취약점
이 문서의 버전은 도움말 순 보안에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.
저는 어떤 식으로든 소프트웨어 취약점을 찾고, 고치고, 토론하고, 분석하는 데 경력을 쌓아왔습니다. 몇 가지 일반적인 보안 버그의 경우, 90년대부터 존재해 왔음에도 불구하고 (종종 간단한) 수정 방법이 거의 같은 기간 동안 알려졌음에도 불구하고 계속해서 소프트웨어를 괴롭히고 큰 문제를 일으키고 있다는 것을 알고 있습니다. 업계에서 같은 일을 반복하면서 다른 결과를 기대하는 성촉절 같은 느낌이 듭니다.
그러나 또 다른 작은 문제가 있습니다. 우리는 현대 사이버 보안인 논스톱 공격에 대처하기 위해 현실적인 조언이나 가장 빠른 해결책을 얻지 못하고 있습니다. 물론, 각 위반은 자신의 방식으로 다르며 취약한 소프트웨어에서 악용 할 수있는 수많은 공격 벡터가 있습니다. 가능한 일반 조언은 제한적이지만 모범 사례 접근 방식은 시간별로 더 결함이 있는 것으로 보입니다.
이를 위해 사이버 보안에 관한 많은 논평과 분석이 왜 그렇게 많은 취약점의 근본 원인을 진정으로 해결하는 솔루션을 생략했는지 궁금합니다. 가트너의 응용 프로그램 보안을 위한 가장 최근의 과대 광고 주기와Forrester의 응용 프로그램 보안 상태 2021은의심 할 여지없이 프로그램과 잠재적 인 제품 채택을 형성하는 데 도움이되는 보안 전문가를위한 성경을 거의 전적으로 도구에 중점을 둡니다. 2017년 애버딘의 보고서에 따르면 CISSo가 보안 전략의 일환으로 수백 개의 제품을 관리하면서 평균 적인 보안 기술 스택이 얼마나 어려운지 보여주었습니다. 4년 후, 우리는 더 많은 위험, 더 많은 취약점, 그리고 성장하는 기술 스택 짐승에 더 많은 추가와 씨름하고 있습니다.
보안 툴링은 필수이지만 보안 방어의 인력 구성 요소에 대해 더 넓게 보고 균형을 회복해야 합니다.
자동화는 미래입니다. 사이버 보안의 인간적 요소에 대해 왜 관심을 가져야 할까요?
우리 삶의 거의 모든 것은 소프트웨어에 의해 구동되며, 자동화가 한때 많은 산업에 존재했던 인간 요소를 대체하고 있는 것이 사실입니다. AI와 머신 러닝의 핫 토픽으로 많은 조직이 미래지향적으로 유지되는 등 워프 속도로 디지털화하는 세계에서 발전의 신호입니다.
그렇다면 사이버 보안에 대한 인간 중심의 접근 방식은 기술적으로 발전하는 문제에 대한 오래된 해결책이 아닌 다른 것이 아닐까요? 지난 1년 동안 수십억 개의 데이터 기록이 위반으로 도난당했다는 사실은 최근 페이스북 위반이 반억 개 이상의 계정에 영향을 미치는것을 포함하여 위협 행위자에게 심각한 반격을 가할 만큼 충분히 (또는 올바른 접근 방식을 취하지 않음)을 나타내야 합니다.
사이버 보안 툴링은 사이버 방어에 매우 필요한 구성 요소이며 도구는 항상 자리를 갖게 됩니다. 분석가들은 기업에 대한 위험 완화 접근 방식에서 최신 도구를 추천하는 데 절대적으로 중점을 두었으며 변경되지 않습니다. 그러나 코드 품질(그리고 정의상 보안)이 코드 프로덕션 볼륨에서 관리하기 어려운 경우 도구만으로는 작업을 수행할 수 없습니다. 현재까지 다음과 같은 단일 도구가 없습니다.
- 모든 언어로 모든 취약점에 대한 스캔:프레임워크
- 빠른 속도로 스캔
- 거짓 긍정 및 부정으로 인한 이중 처리 최소화
도구는 느리고 번거롭고 다루기 어려울 수 있습니다. 그러나 무엇보다도 문제를 발견하거나 문제를 해결하지 않거나 해결책을 권장하지 않습니다. 후자는 지상에 얇고 과로한 보안 전문가가 쓰레기통을 헤쳐 나와 끝없는 펜테스트 및 스캔 결과에서 보물을 찾아야 합니다.
사실 IBM 사이버 보안 인텔리전스 인덱스 보고서에 따르면 모든 데이터 유출 사고의 95%는 사람의 실수가 원인인 것으로 나타났습니다. 이 중 거의 절반이 소프트웨어 취약성과 직접적으로 관련이 있으며, 이 중 상당수는 SDLC의 초기 단계에서 보안 코딩과 인식에 대한 준수가 강화된다면 완화될 수 있습니다. 그러나 이를 위해서는 개발자를 위한 교육에 더욱 집중하고 워크플로우에 내재화하는 것 외에도 관련성을 높이는 것이 중요합니다.
우리가 좋아하든 그렇지 않든, 인간은 소프트웨어 개발 프로세스에 깊이 뿌리를 내리고 있으며 사이버 보안은 압도적으로 인간의 문제입니다. 도구는 접근 방식의 근본적인 결함을 바로잡는 데 만전을 기하지는 못하지만, 인간 솔루션을 재구성하는 데 중요한 지원 역할을 할 수 있습니다.
우리가 더 나은 도구 (그리고 그들 중 많은)를 구축한다면 어떨까요?
보안 툴링은 항상 개선되고 있습니다. SAST/DAST/IAST 도구는 속도와 인텔리전스가 향상되어 먼 길을 왔으며 RASP는 많은 응용 프로그램 환경에서 심각한 방어 고려 사항이 되어야 합니다. 방화벽, 비밀 관리자, 클라우드 및 네트워크 보안 응용 프로그램: 모든 생각할 필요 없음.
인간은 항상 더 나은 도구를 만들기 위해 노력할 수 있지만 혁신은 우리가 살고있는 디지털 세계의 보안 및 데이터 보호 요구를 따라가지 않습니다. 도구는 대부분 로봇을 염두에 두고 제작되었습니다. 개발자와 보안 팀이 코드를 스캔, 모니터링 또는 보호하는 데 도움을 줄 수 있지만 상호 작용은 매우 제한적이며 보안 인식을 높이거나 더 나은 보안 결과로 이어질 수 있는 핵심 기술을 개선하는 것을 목표로 하는 솔루션은 거의 없습니다.
실제로 기업의 절반 이상이 도구가 작동하는지 조차 알지못하며 엄청난 데이터 유출을 피할 수 있다고 확신하지도 않습니다. 이는 매우 열악한 감정이며, 다른 접근 방식에 대한 지원이 부족한 도구에 집착하는 산업에서는 현상 유지와 내부의 문제를 공고히 하는 경향이 있습니다.
조직은 어떻게 인간 주도의 보안 접근 방식을 활용할 수 있습니까?
응용 프로그램 보안 기술의 추세를 앞서 나가는 것이 유익하며, 부풀어 오른 기술 스택에서 업그레이드 또는 통합의 우선 순위를 지정하는 데 도움이 될 수도 있지만 취약한 소프트웨어의 근본 원인을 타겟팅하는 것을 포기해야 합니다 - 우리 단순한 인간 - 사이버 보안 전선의 잃어버린 측면에 우리를 유지할 것입니다.
코드 수준 보안 취약점수를 줄이는 데 진지하려면 개발자에게 보안에 대한 책임을 공유하는 데 성공할 수 있는 토대를 마련해야 합니다. 그들은 워크플로우를 방해하지 않는 관련, 실습 교육 및 실무 업스킬링, 기능적 도구가 필요하며, 보안을 개발하기 위한 집안일로 만들어야 합니다. 이상적으로, 일부 도구는 개발자 중심이 될 것입니다, 마음 앞에 자신의 사용자 경험을 기반으로 구축.
현재까지 는 개발자를 위한 공식적인 보안 인증 프로그램이 없지만 모든 회사는 벤치마킹과 보안 코딩 기술을 성장시켜 일반적인 취약점을 조기에 자주 죽이는 혜택을 누릴 수 있으며, 그 전에는 큰 기술 스택이 행동에 빠지고 모든 것을 늦추야 합니다.
보안 인식 개발자 팀은 모든 조직에 숨겨진 보물이지만, 가치있는 것과 마찬가지로 효과적인 드림 팀을 구현하는 데 시간과 노력이 필요할 것입니다. 개발자는 보안에 관심을 기울이고 보안 코딩을 코드 품질의 기초로 간주하기 위해서는 보안을 최우선으로 두기 위한 조직 차원의 노력이 필요합니다. 또한 전체 팀이 코드가 작성될 때 일반적인 취약점을 제거하는 데 있어 긍정적인 영향을 받을 수 있는 긍정적인 영향으로 전환되면 지구상에 경쟁할 수 있는 도구가 없습니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
사이버 보안 산업 분석: 우리가 수정해야 할 또 다른 반복되는 취약점
이 문서의 버전은 도움말 순 보안에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.
저는 어떤 식으로든 소프트웨어 취약점을 찾고, 고치고, 토론하고, 분석하는 데 경력을 쌓아왔습니다. 몇 가지 일반적인 보안 버그의 경우, 90년대부터 존재해 왔음에도 불구하고 (종종 간단한) 수정 방법이 거의 같은 기간 동안 알려졌음에도 불구하고 계속해서 소프트웨어를 괴롭히고 큰 문제를 일으키고 있다는 것을 알고 있습니다. 업계에서 같은 일을 반복하면서 다른 결과를 기대하는 성촉절 같은 느낌이 듭니다.
그러나 또 다른 작은 문제가 있습니다. 우리는 현대 사이버 보안인 논스톱 공격에 대처하기 위해 현실적인 조언이나 가장 빠른 해결책을 얻지 못하고 있습니다. 물론, 각 위반은 자신의 방식으로 다르며 취약한 소프트웨어에서 악용 할 수있는 수많은 공격 벡터가 있습니다. 가능한 일반 조언은 제한적이지만 모범 사례 접근 방식은 시간별로 더 결함이 있는 것으로 보입니다.
이를 위해 사이버 보안에 관한 많은 논평과 분석이 왜 그렇게 많은 취약점의 근본 원인을 진정으로 해결하는 솔루션을 생략했는지 궁금합니다. 가트너의 응용 프로그램 보안을 위한 가장 최근의 과대 광고 주기와Forrester의 응용 프로그램 보안 상태 2021은의심 할 여지없이 프로그램과 잠재적 인 제품 채택을 형성하는 데 도움이되는 보안 전문가를위한 성경을 거의 전적으로 도구에 중점을 둡니다. 2017년 애버딘의 보고서에 따르면 CISSo가 보안 전략의 일환으로 수백 개의 제품을 관리하면서 평균 적인 보안 기술 스택이 얼마나 어려운지 보여주었습니다. 4년 후, 우리는 더 많은 위험, 더 많은 취약점, 그리고 성장하는 기술 스택 짐승에 더 많은 추가와 씨름하고 있습니다.
보안 툴링은 필수이지만 보안 방어의 인력 구성 요소에 대해 더 넓게 보고 균형을 회복해야 합니다.
자동화는 미래입니다. 사이버 보안의 인간적 요소에 대해 왜 관심을 가져야 할까요?
우리 삶의 거의 모든 것은 소프트웨어에 의해 구동되며, 자동화가 한때 많은 산업에 존재했던 인간 요소를 대체하고 있는 것이 사실입니다. AI와 머신 러닝의 핫 토픽으로 많은 조직이 미래지향적으로 유지되는 등 워프 속도로 디지털화하는 세계에서 발전의 신호입니다.
그렇다면 사이버 보안에 대한 인간 중심의 접근 방식은 기술적으로 발전하는 문제에 대한 오래된 해결책이 아닌 다른 것이 아닐까요? 지난 1년 동안 수십억 개의 데이터 기록이 위반으로 도난당했다는 사실은 최근 페이스북 위반이 반억 개 이상의 계정에 영향을 미치는것을 포함하여 위협 행위자에게 심각한 반격을 가할 만큼 충분히 (또는 올바른 접근 방식을 취하지 않음)을 나타내야 합니다.
사이버 보안 툴링은 사이버 방어에 매우 필요한 구성 요소이며 도구는 항상 자리를 갖게 됩니다. 분석가들은 기업에 대한 위험 완화 접근 방식에서 최신 도구를 추천하는 데 절대적으로 중점을 두었으며 변경되지 않습니다. 그러나 코드 품질(그리고 정의상 보안)이 코드 프로덕션 볼륨에서 관리하기 어려운 경우 도구만으로는 작업을 수행할 수 없습니다. 현재까지 다음과 같은 단일 도구가 없습니다.
- 모든 언어로 모든 취약점에 대한 스캔:프레임워크
- 빠른 속도로 스캔
- 거짓 긍정 및 부정으로 인한 이중 처리 최소화
도구는 느리고 번거롭고 다루기 어려울 수 있습니다. 그러나 무엇보다도 문제를 발견하거나 문제를 해결하지 않거나 해결책을 권장하지 않습니다. 후자는 지상에 얇고 과로한 보안 전문가가 쓰레기통을 헤쳐 나와 끝없는 펜테스트 및 스캔 결과에서 보물을 찾아야 합니다.
사실 IBM 사이버 보안 인텔리전스 인덱스 보고서에 따르면 모든 데이터 유출 사고의 95%는 사람의 실수가 원인인 것으로 나타났습니다. 이 중 거의 절반이 소프트웨어 취약성과 직접적으로 관련이 있으며, 이 중 상당수는 SDLC의 초기 단계에서 보안 코딩과 인식에 대한 준수가 강화된다면 완화될 수 있습니다. 그러나 이를 위해서는 개발자를 위한 교육에 더욱 집중하고 워크플로우에 내재화하는 것 외에도 관련성을 높이는 것이 중요합니다.
우리가 좋아하든 그렇지 않든, 인간은 소프트웨어 개발 프로세스에 깊이 뿌리를 내리고 있으며 사이버 보안은 압도적으로 인간의 문제입니다. 도구는 접근 방식의 근본적인 결함을 바로잡는 데 만전을 기하지는 못하지만, 인간 솔루션을 재구성하는 데 중요한 지원 역할을 할 수 있습니다.
우리가 더 나은 도구 (그리고 그들 중 많은)를 구축한다면 어떨까요?
보안 툴링은 항상 개선되고 있습니다. SAST/DAST/IAST 도구는 속도와 인텔리전스가 향상되어 먼 길을 왔으며 RASP는 많은 응용 프로그램 환경에서 심각한 방어 고려 사항이 되어야 합니다. 방화벽, 비밀 관리자, 클라우드 및 네트워크 보안 응용 프로그램: 모든 생각할 필요 없음.
인간은 항상 더 나은 도구를 만들기 위해 노력할 수 있지만 혁신은 우리가 살고있는 디지털 세계의 보안 및 데이터 보호 요구를 따라가지 않습니다. 도구는 대부분 로봇을 염두에 두고 제작되었습니다. 개발자와 보안 팀이 코드를 스캔, 모니터링 또는 보호하는 데 도움을 줄 수 있지만 상호 작용은 매우 제한적이며 보안 인식을 높이거나 더 나은 보안 결과로 이어질 수 있는 핵심 기술을 개선하는 것을 목표로 하는 솔루션은 거의 없습니다.
실제로 기업의 절반 이상이 도구가 작동하는지 조차 알지못하며 엄청난 데이터 유출을 피할 수 있다고 확신하지도 않습니다. 이는 매우 열악한 감정이며, 다른 접근 방식에 대한 지원이 부족한 도구에 집착하는 산업에서는 현상 유지와 내부의 문제를 공고히 하는 경향이 있습니다.
조직은 어떻게 인간 주도의 보안 접근 방식을 활용할 수 있습니까?
응용 프로그램 보안 기술의 추세를 앞서 나가는 것이 유익하며, 부풀어 오른 기술 스택에서 업그레이드 또는 통합의 우선 순위를 지정하는 데 도움이 될 수도 있지만 취약한 소프트웨어의 근본 원인을 타겟팅하는 것을 포기해야 합니다 - 우리 단순한 인간 - 사이버 보안 전선의 잃어버린 측면에 우리를 유지할 것입니다.
코드 수준 보안 취약점수를 줄이는 데 진지하려면 개발자에게 보안에 대한 책임을 공유하는 데 성공할 수 있는 토대를 마련해야 합니다. 그들은 워크플로우를 방해하지 않는 관련, 실습 교육 및 실무 업스킬링, 기능적 도구가 필요하며, 보안을 개발하기 위한 집안일로 만들어야 합니다. 이상적으로, 일부 도구는 개발자 중심이 될 것입니다, 마음 앞에 자신의 사용자 경험을 기반으로 구축.
현재까지 는 개발자를 위한 공식적인 보안 인증 프로그램이 없지만 모든 회사는 벤치마킹과 보안 코딩 기술을 성장시켜 일반적인 취약점을 조기에 자주 죽이는 혜택을 누릴 수 있으며, 그 전에는 큰 기술 스택이 행동에 빠지고 모든 것을 늦추야 합니다.
보안 인식 개발자 팀은 모든 조직에 숨겨진 보물이지만, 가치있는 것과 마찬가지로 효과적인 드림 팀을 구현하는 데 시간과 노력이 필요할 것입니다. 개발자는 보안에 관심을 기울이고 보안 코딩을 코드 품질의 기초로 간주하기 위해서는 보안을 최우선으로 두기 위한 조직 차원의 노력이 필요합니다. 또한 전체 팀이 코드가 작성될 때 일반적인 취약점을 제거하는 데 있어 긍정적인 영향을 받을 수 있는 긍정적인 영향으로 전환되면 지구상에 경쟁할 수 있는 도구가 없습니다.
