기업의 보안 설계 이니셔티브를 위한 의미 있는 성공 추진
미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일, 영국이 유사한 가이드라인을 광범위한 사이버 보안 전략에 도입하기로 약속하고 이들 국가 중 다수가 원래 권고안에 기여하면서 CISA의 보안 설계(SBD) 운동이 전 세계적으로 탄력을 받는 것을 목격하게 되어 매우 기쁩니다.
2024년 4월 이후 다음을 포함한 200개 이상의 기업이 보안 설계 서약에 참여했습니다. Secure Code Warrior를 포함한 200개 이상의 기업이 보안 설계 서약에 서명하여 더 높은 소프트웨어 품질과 보안 표준에 대한 업계의 광범위한 의지를 표명했습니다. 이번 가이드라인은 사이버 보안 리더들이 소프트웨어 개발의 중요한 문화적 변화를 위해 처음으로 글로벌 정부의 지원을 받는 중요한 순간이라고 생각합니다. 미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 아직 이러한 권장 사항을 의무적으로 준수해야 하는 것은 아니지만, 저는 이것이 미래가 아니라 위협 행위자들에 맞서 싸울 수 있는 절호의 기회라고 생각합니다. 이 가이드라인의 핵심은 취약성 범주를 제거하기 위해 노력하는 것이며, 업계 전반에서 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있을 것입니다.
이러한 움직임이 매우 중요하다고 생각하며, 최신 연구 보고서도 이를 뒷받침합니다, 보안 기술 벤치마킹: 기업에서 보안 설계 간소화하기 은 기업 차원의 실제 보안 설계 이니셔티브를 심층 분석하고 데이터 기반 조사 결과를 바탕으로 모범 사례 접근법을 도출한 결과물입니다.
조직의 보안 설계 노력에 대한 ROI 측정
오랫동안 확립된 소프트웨어 개발 관행을 정비하는 것은 결코 작은 일이 아닙니다. CISO는 보안 프로그램 활동의 투자 수익률(ROI)과 사업적 가치를 사람과 회사 수준에서 모두 증명하려고 할 때 종종 어려움을 겪습니다. 많은 사람이 예산 감소에 대한 좌절감과 새로운 사이버 이니셔티브에 대한 최고 경영진의 지지 부족을 표현합니다. 그러나 데이터 기반 제안이 여기에서 모든 차이를 만들어낼 것입니다.
최근 몇 년 동안, 조직이 업계 표준에 대한 추적을 평가할 수 있는 기술 벤치마크가 없는 것이 주요 과제였습니다. 이로 인해 적절한 영역에 영향을 미치고 개발 코호트의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하는 것이 엄청나게 어려워졌습니다. 이는 성공적인 소프트웨어 보안 관행의 중요한 요소입니다.
Secure-by-Design 이니셔티브를 작동시키는 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 해당 기술이 제자리에 있음을 보장하는 것입니다. 그래서 우리는 개발자 팀의 준비 상태를 분석하기로 했고, 그 결과는 놀라울 수 있습니다.
SBD 이니셔티브를 가속화하려는 회사가 신뢰 점수를 활용할 수 있는 방법
어디에서 시작하고 어디로 가야 하는지에 대한 확실한 아이디어 없이 효율적으로 개선하는 것은 사실상 불가능합니다. 그러나 수백 개의 기업 고객이 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW Trust Score를 효과적으로 활용하여 이러한 유용하고 세부적인 데이터 포인트를 제공합니다. 이러한 통찰력은 성공적인 Secure-by-Design 이니셔티브에 도움이 되는 매우 효과적이고 개발자 중심의 보안 프로그램을 형성합니다.
백서에서 밝힌 분석에 따르면, 주요 중요 인프라 산업 전반의 조직이 개발자를 준비시켜 SBD 이니셔티브를 발전시키는 데 진전을 이루고 있습니다. 또한 이러한 산업의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 발견했습니다.
Secure Code Warrior '의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동적인 개발자를 대상으로 2,000만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다. 분석 결과 다음과 같은 결과가 나왔습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하는 개발자의 총 수는 전 세계 개발자의 4% 미만입니다.
- 금융 서비스 산업은 336으로 가장 높은 신뢰 점수를 기록했습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만, 소규모 이니셔티브는 분산되는 경향이 있습니다. 그러나 위임을 받으면 측정 가능한 투자 수익률(ROI)을 더 빨리 제공하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고히 자리 잡으면 애플리케이션에서 개발자가 도입하는 위험이 상당히 줄어듭니다. 분석 결과 대규모 업스킬링 이니셔티브(단일 회사에서 개발자 7,000명 이상)에 참여하는 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.
해결책 | 결론
SCW 신뢰 점수는 모든 보안 리더의 무기고에 있는 강력한 도구로, 조직 내의 특정 영역에 대한 포괄적인 드릴다운을 허용합니다. 보고서는 언어, 팀 또는 범주에 따라 필터링하여 회사가 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육 또는 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다. 결국 보안은 끝없는 노력이며, 성과를 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
가속화된 소프트웨어 개발 및 배포, 점점 더 위협적인 사이버 위협 환경, 점점 더 예민해지는 규제 기관과 더불어 사이버 보안이 최우선이 되었습니다. 조직은 아직 그렇지 않다면 기업 전체의 보안 우선 문화를 개발하는 것을 우선시해야 합니다.
최신 연구 논문인 '보안 기술 벤치마킹: 기업에서 보안을 기반으로 한 설계 간소화'는 기업 수준에서 실제 보안을 기반으로 한 설계 이니셔티브에 대한 심층 분석과 데이터 기반 결과를 기반으로 모범 사례 접근 방식을 도출한 결과입니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일, 영국이 유사한 가이드라인을 광범위한 사이버 보안 전략에 도입하기로 약속하고 이들 국가 중 다수가 원래 권고안에 기여하면서 CISA의 보안 설계(SBD) 운동이 전 세계적으로 탄력을 받는 것을 목격하게 되어 매우 기쁩니다.
2024년 4월 이후 다음을 포함한 200개 이상의 기업이 보안 설계 서약에 참여했습니다. Secure Code Warrior를 포함한 200개 이상의 기업이 보안 설계 서약에 서명하여 더 높은 소프트웨어 품질과 보안 표준에 대한 업계의 광범위한 의지를 표명했습니다. 이번 가이드라인은 사이버 보안 리더들이 소프트웨어 개발의 중요한 문화적 변화를 위해 처음으로 글로벌 정부의 지원을 받는 중요한 순간이라고 생각합니다. 미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 아직 이러한 권장 사항을 의무적으로 준수해야 하는 것은 아니지만, 저는 이것이 미래가 아니라 위협 행위자들에 맞서 싸울 수 있는 절호의 기회라고 생각합니다. 이 가이드라인의 핵심은 취약성 범주를 제거하기 위해 노력하는 것이며, 업계 전반에서 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있을 것입니다.
이러한 움직임이 매우 중요하다고 생각하며, 최신 연구 보고서도 이를 뒷받침합니다, 보안 기술 벤치마킹: 기업에서 보안 설계 간소화하기 은 기업 차원의 실제 보안 설계 이니셔티브를 심층 분석하고 데이터 기반 조사 결과를 바탕으로 모범 사례 접근법을 도출한 결과물입니다.
조직의 보안 설계 노력에 대한 ROI 측정
오랫동안 확립된 소프트웨어 개발 관행을 정비하는 것은 결코 작은 일이 아닙니다. CISO는 보안 프로그램 활동의 투자 수익률(ROI)과 사업적 가치를 사람과 회사 수준에서 모두 증명하려고 할 때 종종 어려움을 겪습니다. 많은 사람이 예산 감소에 대한 좌절감과 새로운 사이버 이니셔티브에 대한 최고 경영진의 지지 부족을 표현합니다. 그러나 데이터 기반 제안이 여기에서 모든 차이를 만들어낼 것입니다.
최근 몇 년 동안, 조직이 업계 표준에 대한 추적을 평가할 수 있는 기술 벤치마크가 없는 것이 주요 과제였습니다. 이로 인해 적절한 영역에 영향을 미치고 개발 코호트의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하는 것이 엄청나게 어려워졌습니다. 이는 성공적인 소프트웨어 보안 관행의 중요한 요소입니다.
Secure-by-Design 이니셔티브를 작동시키는 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 해당 기술이 제자리에 있음을 보장하는 것입니다. 그래서 우리는 개발자 팀의 준비 상태를 분석하기로 했고, 그 결과는 놀라울 수 있습니다.
SBD 이니셔티브를 가속화하려는 회사가 신뢰 점수를 활용할 수 있는 방법
어디에서 시작하고 어디로 가야 하는지에 대한 확실한 아이디어 없이 효율적으로 개선하는 것은 사실상 불가능합니다. 그러나 수백 개의 기업 고객이 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW Trust Score를 효과적으로 활용하여 이러한 유용하고 세부적인 데이터 포인트를 제공합니다. 이러한 통찰력은 성공적인 Secure-by-Design 이니셔티브에 도움이 되는 매우 효과적이고 개발자 중심의 보안 프로그램을 형성합니다.
백서에서 밝힌 분석에 따르면, 주요 중요 인프라 산업 전반의 조직이 개발자를 준비시켜 SBD 이니셔티브를 발전시키는 데 진전을 이루고 있습니다. 또한 이러한 산업의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 발견했습니다.
Secure Code Warrior '의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동적인 개발자를 대상으로 2,000만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다. 분석 결과 다음과 같은 결과가 나왔습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하는 개발자의 총 수는 전 세계 개발자의 4% 미만입니다.
- 금융 서비스 산업은 336으로 가장 높은 신뢰 점수를 기록했습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만, 소규모 이니셔티브는 분산되는 경향이 있습니다. 그러나 위임을 받으면 측정 가능한 투자 수익률(ROI)을 더 빨리 제공하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고히 자리 잡으면 애플리케이션에서 개발자가 도입하는 위험이 상당히 줄어듭니다. 분석 결과 대규모 업스킬링 이니셔티브(단일 회사에서 개발자 7,000명 이상)에 참여하는 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.
해결책 | 결론
SCW 신뢰 점수는 모든 보안 리더의 무기고에 있는 강력한 도구로, 조직 내의 특정 영역에 대한 포괄적인 드릴다운을 허용합니다. 보고서는 언어, 팀 또는 범주에 따라 필터링하여 회사가 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육 또는 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다. 결국 보안은 끝없는 노력이며, 성과를 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
가속화된 소프트웨어 개발 및 배포, 점점 더 위협적인 사이버 위협 환경, 점점 더 예민해지는 규제 기관과 더불어 사이버 보안이 최우선이 되었습니다. 조직은 아직 그렇지 않다면 기업 전체의 보안 우선 문화를 개발하는 것을 우선시해야 합니다.
미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일, 영국이 유사한 가이드라인을 광범위한 사이버 보안 전략에 도입하기로 약속하고 이들 국가 중 다수가 원래 권고안에 기여하면서 CISA의 보안 설계(SBD) 운동이 전 세계적으로 탄력을 받는 것을 목격하게 되어 매우 기쁩니다.
2024년 4월 이후 다음을 포함한 200개 이상의 기업이 보안 설계 서약에 참여했습니다. Secure Code Warrior를 포함한 200개 이상의 기업이 보안 설계 서약에 서명하여 더 높은 소프트웨어 품질과 보안 표준에 대한 업계의 광범위한 의지를 표명했습니다. 이번 가이드라인은 사이버 보안 리더들이 소프트웨어 개발의 중요한 문화적 변화를 위해 처음으로 글로벌 정부의 지원을 받는 중요한 순간이라고 생각합니다. 미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 아직 이러한 권장 사항을 의무적으로 준수해야 하는 것은 아니지만, 저는 이것이 미래가 아니라 위협 행위자들에 맞서 싸울 수 있는 절호의 기회라고 생각합니다. 이 가이드라인의 핵심은 취약성 범주를 제거하기 위해 노력하는 것이며, 업계 전반에서 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있을 것입니다.
이러한 움직임이 매우 중요하다고 생각하며, 최신 연구 보고서도 이를 뒷받침합니다, 보안 기술 벤치마킹: 기업에서 보안 설계 간소화하기 은 기업 차원의 실제 보안 설계 이니셔티브를 심층 분석하고 데이터 기반 조사 결과를 바탕으로 모범 사례 접근법을 도출한 결과물입니다.
조직의 보안 설계 노력에 대한 ROI 측정
오랫동안 확립된 소프트웨어 개발 관행을 정비하는 것은 결코 작은 일이 아닙니다. CISO는 보안 프로그램 활동의 투자 수익률(ROI)과 사업적 가치를 사람과 회사 수준에서 모두 증명하려고 할 때 종종 어려움을 겪습니다. 많은 사람이 예산 감소에 대한 좌절감과 새로운 사이버 이니셔티브에 대한 최고 경영진의 지지 부족을 표현합니다. 그러나 데이터 기반 제안이 여기에서 모든 차이를 만들어낼 것입니다.
최근 몇 년 동안, 조직이 업계 표준에 대한 추적을 평가할 수 있는 기술 벤치마크가 없는 것이 주요 과제였습니다. 이로 인해 적절한 영역에 영향을 미치고 개발 코호트의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하는 것이 엄청나게 어려워졌습니다. 이는 성공적인 소프트웨어 보안 관행의 중요한 요소입니다.
Secure-by-Design 이니셔티브를 작동시키는 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 해당 기술이 제자리에 있음을 보장하는 것입니다. 그래서 우리는 개발자 팀의 준비 상태를 분석하기로 했고, 그 결과는 놀라울 수 있습니다.
SBD 이니셔티브를 가속화하려는 회사가 신뢰 점수를 활용할 수 있는 방법
어디에서 시작하고 어디로 가야 하는지에 대한 확실한 아이디어 없이 효율적으로 개선하는 것은 사실상 불가능합니다. 그러나 수백 개의 기업 고객이 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW Trust Score를 효과적으로 활용하여 이러한 유용하고 세부적인 데이터 포인트를 제공합니다. 이러한 통찰력은 성공적인 Secure-by-Design 이니셔티브에 도움이 되는 매우 효과적이고 개발자 중심의 보안 프로그램을 형성합니다.
백서에서 밝힌 분석에 따르면, 주요 중요 인프라 산업 전반의 조직이 개발자를 준비시켜 SBD 이니셔티브를 발전시키는 데 진전을 이루고 있습니다. 또한 이러한 산업의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 발견했습니다.
Secure Code Warrior '의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동적인 개발자를 대상으로 2,000만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다. 분석 결과 다음과 같은 결과가 나왔습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하는 개발자의 총 수는 전 세계 개발자의 4% 미만입니다.
- 금융 서비스 산업은 336으로 가장 높은 신뢰 점수를 기록했습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만, 소규모 이니셔티브는 분산되는 경향이 있습니다. 그러나 위임을 받으면 측정 가능한 투자 수익률(ROI)을 더 빨리 제공하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고히 자리 잡으면 애플리케이션에서 개발자가 도입하는 위험이 상당히 줄어듭니다. 분석 결과 대규모 업스킬링 이니셔티브(단일 회사에서 개발자 7,000명 이상)에 참여하는 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.
해결책 | 결론
SCW 신뢰 점수는 모든 보안 리더의 무기고에 있는 강력한 도구로, 조직 내의 특정 영역에 대한 포괄적인 드릴다운을 허용합니다. 보고서는 언어, 팀 또는 범주에 따라 필터링하여 회사가 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육 또는 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다. 결국 보안은 끝없는 노력이며, 성과를 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
가속화된 소프트웨어 개발 및 배포, 점점 더 위협적인 사이버 위협 환경, 점점 더 예민해지는 규제 기관과 더불어 사이버 보안이 최우선이 되었습니다. 조직은 아직 그렇지 않다면 기업 전체의 보안 우선 문화를 개발하는 것을 우선시해야 합니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
미국, 호주, 뉴질랜드, 캐나다, 싱가포르, 일본, 독일, 영국이 유사한 가이드라인을 광범위한 사이버 보안 전략에 도입하기로 약속하고 이들 국가 중 다수가 원래 권고안에 기여하면서 CISA의 보안 설계(SBD) 운동이 전 세계적으로 탄력을 받는 것을 목격하게 되어 매우 기쁩니다.
2024년 4월 이후 다음을 포함한 200개 이상의 기업이 보안 설계 서약에 참여했습니다. Secure Code Warrior를 포함한 200개 이상의 기업이 보안 설계 서약에 서명하여 더 높은 소프트웨어 품질과 보안 표준에 대한 업계의 광범위한 의지를 표명했습니다. 이번 가이드라인은 사이버 보안 리더들이 소프트웨어 개발의 중요한 문화적 변화를 위해 처음으로 글로벌 정부의 지원을 받는 중요한 순간이라고 생각합니다. 미국 정부에 직접 판매하는 소프트웨어 공급업체 외에는 아직 이러한 권장 사항을 의무적으로 준수해야 하는 것은 아니지만, 저는 이것이 미래가 아니라 위협 행위자들에 맞서 싸울 수 있는 절호의 기회라고 생각합니다. 이 가이드라인의 핵심은 취약성 범주를 제거하기 위해 노력하는 것이며, 업계 전반에서 이 목표에 집중한다면 수십 년 만에 디지털 안전에 가장 중요하고 긍정적인 영향을 미칠 수 있을 것입니다.
이러한 움직임이 매우 중요하다고 생각하며, 최신 연구 보고서도 이를 뒷받침합니다, 보안 기술 벤치마킹: 기업에서 보안 설계 간소화하기 은 기업 차원의 실제 보안 설계 이니셔티브를 심층 분석하고 데이터 기반 조사 결과를 바탕으로 모범 사례 접근법을 도출한 결과물입니다.
조직의 보안 설계 노력에 대한 ROI 측정
오랫동안 확립된 소프트웨어 개발 관행을 정비하는 것은 결코 작은 일이 아닙니다. CISO는 보안 프로그램 활동의 투자 수익률(ROI)과 사업적 가치를 사람과 회사 수준에서 모두 증명하려고 할 때 종종 어려움을 겪습니다. 많은 사람이 예산 감소에 대한 좌절감과 새로운 사이버 이니셔티브에 대한 최고 경영진의 지지 부족을 표현합니다. 그러나 데이터 기반 제안이 여기에서 모든 차이를 만들어낼 것입니다.
최근 몇 년 동안, 조직이 업계 표준에 대한 추적을 평가할 수 있는 기술 벤치마크가 없는 것이 주요 과제였습니다. 이로 인해 적절한 영역에 영향을 미치고 개발 코호트의 지속적인 개선을 촉진하는 보안 프로그램을 고안하고 구현하는 것이 엄청나게 어려워졌습니다. 이는 성공적인 소프트웨어 보안 관행의 중요한 요소입니다.
Secure-by-Design 이니셔티브를 작동시키는 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 해당 기술이 제자리에 있음을 보장하는 것입니다. 그래서 우리는 개발자 팀의 준비 상태를 분석하기로 했고, 그 결과는 놀라울 수 있습니다.
SBD 이니셔티브를 가속화하려는 회사가 신뢰 점수를 활용할 수 있는 방법
어디에서 시작하고 어디로 가야 하는지에 대한 확실한 아이디어 없이 효율적으로 개선하는 것은 사실상 불가능합니다. 그러나 수백 개의 기업 고객이 개발자 팀의 보안 역량을 정량화하는 글로벌 벤치마크인 SCW Trust Score를 효과적으로 활용하여 이러한 유용하고 세부적인 데이터 포인트를 제공합니다. 이러한 통찰력은 성공적인 Secure-by-Design 이니셔티브에 도움이 되는 매우 효과적이고 개발자 중심의 보안 프로그램을 형성합니다.
백서에서 밝힌 분석에 따르면, 주요 중요 인프라 산업 전반의 조직이 개발자를 준비시켜 SBD 이니셔티브를 발전시키는 데 진전을 이루고 있습니다. 또한 이러한 산업의 개발자 팀은 평균적인 보안 태세를 갖추고 있다는 사실도 발견했습니다.
Secure Code Warrior '의 중요 인프라 산업 전반의 개발자 업스킬링 분석은 전 세계 600개 기업 고객과 250,000명 이상의 활동적인 개발자를 대상으로 2,000만 개 이상의 데이터 포인트에서 얻은 통찰력을 기반으로 합니다. 분석 결과 다음과 같은 결과가 나왔습니다.
- 현재 개발자 중심의 SBD 업스킬링 이니셔티브에 참여하는 개발자의 총 수는 전 세계 개발자의 4% 미만입니다.
- 금융 서비스 산업은 336으로 가장 높은 신뢰 점수를 기록했습니다.
- 대부분의 대규모 Secure-by-Design 업스킬링 이니셔티브는 성공적이지만, 소규모 이니셔티브는 분산되는 경향이 있습니다. 그러나 위임을 받으면 측정 가능한 투자 수익률(ROI)을 더 빨리 제공하는 것으로 나타났습니다.
- 업스킬링 이니셔티브가 확고히 자리 잡으면 애플리케이션에서 개발자가 도입하는 위험이 상당히 줄어듭니다. 분석 결과 대규모 업스킬링 이니셔티브(단일 회사에서 개발자 7,000명 이상)에 참여하는 개발자는 취약성을 47-53%까지 예측 가능하게 줄일 수 있는 것으로 나타났습니다.
해결책 | 결론
SCW 신뢰 점수는 모든 보안 리더의 무기고에 있는 강력한 도구로, 조직 내의 특정 영역에 대한 포괄적인 드릴다운을 허용합니다. 보고서는 언어, 팀 또는 범주에 따라 필터링하여 회사가 개발자 또는 팀의 특정 요구 사항을 해결하고 추가 교육 또는 코칭이 필요한 영역을 식별할 수 있는 맞춤형 보고서를 생성할 수 있습니다. 결국 보안은 끝없는 노력이며, 성과를 효과적으로 벤치마킹하면 지속적인 개선의 기회를 식별하는 데 도움이 됩니다.
가속화된 소프트웨어 개발 및 배포, 점점 더 위협적인 사이버 위협 환경, 점점 더 예민해지는 규제 기관과 더불어 사이버 보안이 최우선이 되었습니다. 조직은 아직 그렇지 않다면 기업 전체의 보안 우선 문화를 개발하는 것을 우선시해야 합니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드