블로그

높은 보안 인텔리전스: 안내 courses 개발자가 NIST 준비를 할 수 있도록 지원

마티아스 마두, Ph.
게시일: 2021.09.23.

늦게 사이버 보안 업계에서 매우 환영 하는 움직임이 있었다. 소프트웨어 빌드의 보안을 우선 적으로 우선 순위를 정하는 것과 관련된 정서가 가능한 한 빨리 많은 조직에서 개선되기 시작한 것으로 보입니다. 이는 사이버 보안에 대한 Biden의 행정 명령과같은 공식 조치와 함께 모든 사람이 소프트웨어 보안 및 데이터 안전을 보장하기 위해 자신의 역할을 수행해야 한다는 것을 분명히 했습니다. 특히 흥미로운 점은 보안 코딩 표준을 유지하는 개발자의 역할에 대한 대화가 정부 차원에서도 계속 진화하고 있다는 것입니다.

그러나 대화에서 빠진 것이 있습니다. 행정 명령은 개발자가 검증 된 보안 기술이 필요하다고제안하지만 현재 그러한 공식 인증은 존재하지 않습니다. 많은 기업들이 소프트웨어 보안의 규정 준수 및 더 높은 표준에 대한 탐구에서 NIST(EO에 대한 업데이트된 지침을 제공한)에 의해 계속 안내되지만, 올바른 도구를 통합하고 릴리스 속도를 유지하면서 취약점을 크게 줄이는 전략을 생각하고 있다면 대부분은 원하는 결과를 만들기에는 너무 일반적입니다. 이것은 많은 회사가 고정되지 않고 제한된 개발자 교육을 받거나 실용적인 실습 기술을 사용할 수 있도록 일반적인 기반을 구축하지 않는 곳입니다.

보안 인식 개발자는 나무에서 자라지 않지만 올바른 도구로 훨씬 빠르게 양육되고 상승 할 수 있습니다. 이를 위해 미국 정부의 행정명령 지침에 따라 NIST 준수에 대한 독자적인 과정을 발표하게 되어 기쁘게 생각합니다.

개발자를 위한 의미 있는 코드 수준 지원

여기에행정 명령 중요 (EO-critical) 소프트웨어에 대한 NIST 지침을 사용하여, 우리는 궁극적으로, 정부의 최고 수준에서 사용하는 중요한 소프트웨어의 보안을 개선할 다섯 가지 주요 목표를 달성하기 위해 과정을 구성하고, 이상적으로 처음부터 높은 품질의 개발을위한 벤치 마크 역할을해야한다.

개발 코호트의 진정한 컷스루를 위해서는 모든 업스킬링이 이론을 넘어서야 하며, 답을 찾고 민첩하게 유지하기 위해 일과 훈련 간에 일정한 맥락 전환을 초래하지 않는 방식으로 구현되어야 합니다. 세심한 보안 관행(보안 팀은 말할 것도 없고) 정시 개발 스프린트의 블로커로 간주되며 평균 적인 기능 중심 엔지니어의 스타일을 심각하게 경련시다. 

개발자에게 맞춤 맞춤 적합한 짧고 간식이 가능한 마이크로 학습은 서리가 내린 수신이 훨씬 적고 기억에 남을 만한 실용적인 기술 구축을 해야 합니다. 

NIST 코스에서 이 구성 방법을 살펴보십시오.

안내 Courses 개발자의 NIST 준비 지원


목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.

보안 오용 및 부적절한 인증 관행은 공격자가 시스템에 성공적으로 침투하고, 계정을 인수하고, 데이터를 도용하는 데 의존합니다. 성공적으로 악용하면 큰 문제가 발생할 수 있는 일반적인 버그입니다.

에서 개발자는 Secure Code Warrior Learning Platform에서 개발자는 일상적인 작업에서 이러한 버그가 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 문제를 플레이하고 보안을 위한 정확한 솔루션을 찾도록 할 수 있습니다. 데브옵스 엔지니어의 경우 인프라 보안을 위해서는 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation, Ansible과 같은 IaC(Infrastructure as Code) 언어와 Docker 및 Kubernetes에 사용되는 코드에서 이러한 요구 사항을 충족하기 위한 특수한 과제가 있습니다.

목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.

취약점 찾기 사용자 만들기


이 목표를 위해 모든 도로는 액세스 제어로 이어집니다. 깨진 액세스 제어는 최근 OWASP Top 10 2021의상위 항목으로 주입 결함을 제거했으며 보안 인식 개발자의 기술을 가능한 한 빨리 찾고 수정해야하는 심각한 버그입니다.

이 과정은 코드 수준에서 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역만 모범 사례로 제한하는 방법을 제공하는 데 도움이 됩니다.

목표 3: EO 에이치 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지 관리하여 EO 에 중요한 소프트웨어를 악용으로부터 보호합니다.

대규모 조직에서 가장 큰 과제 중 하나는 현재 진행 중인 모든 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다. 위험 관리 및 패치와 관련하여 이러한 요소는 보안 유지 관리를 수행하기 위해 경고가 높은 개발자와 함께 모든 보안 프로그램에서 우선 순위가 되어야 합니다. 

에 Secure Code Warrior Learning Platform개발자는 취약한 구성 요소를 식별하고 해결하는 데 도움이 되는 과제와 권한 기반 보안 오구성을 해결할 수 있습니다.

목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응 및 복구합니다.

많은 조직이 사이버 보안 문제를 다룰 때 예방과 는 반대로 사고 대응에 여전히 집중하는 것은 불행한 일입니다(그리고 시간과 돈의 낭비). 이것은 우리가 변화를 위해 싸우고있는 문화이며 개발자는 보안 모범 사례에서 적절하게 훈련 될 때 예방 화력을 제공하는 데 있습니다. 

Objective 4는 개발자가 역할의 맥락에서 자신의 환경과 소프트웨어 및 네트워크 수준에서 엔드포인트를 지속적으로 모니터링해야 합니다. 부족한 로깅 및 모니터링은 또 다른 일반적이고 교활한 버그이며 엔지니어가 일상적인 작업에서 이를 성공적으로 탐색할 수 있는 것이 중요합니다.

에 Secure Code Warrior Learning Platform개발자는 웹, API 또는 클라우드 언어로 작업하든 이러한 기술을 연마하는 데 어려움을 겪을 수 있습니다.

지속 가능성을 가진 보안 인식.

목표 5: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성능을 강화합니다.

이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 처음 네 가지 목표를 마스터하지 않고는 할 수 없습니다. 이 지침은 빈번한 보안 인식 활동이 수행되며 EO 크리티컬 소프트웨어에 대한 모든 "인적 행동"은 역할과 책임의 맥락에서 적절하게 교육을 받은 사람들에 의해 수행될 것을 요청합니다.

개발자는 보안 구성 및 액세스 제어 외에도 코드와 가장 가깝고 개인적인 사용자 중 하나입니다. 그들의 보안 기술을 육성해야하며 NIST가 설명 한 대로 높은 기준을 달성하기 위해 실습 과정 구조는 특히 대규모 개발 코호트와 함께 이를 해결할 수있는 효율적인 방법이 될 수 있습니다. 

개발자가 귀중한 보안 XP를 얻을 수 있도록 도와줍니다.


오늘 개발 팀의 경험 치수 와 보안 IQ에 추가를 시작하십시오.

리소스 보기
리소스 보기

개발자는 보안 구성 및 액세스 제어 외에도 코드와 가장 가깝고 개인적인 사용자 중 하나입니다. 그들의 보안 기술을 육성해야하며 NIST가 설명 한 대로 높은 기준을 달성하기 위해 실습 과정 구조는 특히 대규모 개발 코호트와 함께 이를 해결할 수있는 효율적인 방법이 될 수 있습니다.

더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
마티아스 마두, Ph.
게시일: 2021.09.23.

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

늦게 사이버 보안 업계에서 매우 환영 하는 움직임이 있었다. 소프트웨어 빌드의 보안을 우선 적으로 우선 순위를 정하는 것과 관련된 정서가 가능한 한 빨리 많은 조직에서 개선되기 시작한 것으로 보입니다. 이는 사이버 보안에 대한 Biden의 행정 명령과같은 공식 조치와 함께 모든 사람이 소프트웨어 보안 및 데이터 안전을 보장하기 위해 자신의 역할을 수행해야 한다는 것을 분명히 했습니다. 특히 흥미로운 점은 보안 코딩 표준을 유지하는 개발자의 역할에 대한 대화가 정부 차원에서도 계속 진화하고 있다는 것입니다.

그러나 대화에서 빠진 것이 있습니다. 행정 명령은 개발자가 검증 된 보안 기술이 필요하다고제안하지만 현재 그러한 공식 인증은 존재하지 않습니다. 많은 기업들이 소프트웨어 보안의 규정 준수 및 더 높은 표준에 대한 탐구에서 NIST(EO에 대한 업데이트된 지침을 제공한)에 의해 계속 안내되지만, 올바른 도구를 통합하고 릴리스 속도를 유지하면서 취약점을 크게 줄이는 전략을 생각하고 있다면 대부분은 원하는 결과를 만들기에는 너무 일반적입니다. 이것은 많은 회사가 고정되지 않고 제한된 개발자 교육을 받거나 실용적인 실습 기술을 사용할 수 있도록 일반적인 기반을 구축하지 않는 곳입니다.

보안 인식 개발자는 나무에서 자라지 않지만 올바른 도구로 훨씬 빠르게 양육되고 상승 할 수 있습니다. 이를 위해 미국 정부의 행정명령 지침에 따라 NIST 준수에 대한 독자적인 과정을 발표하게 되어 기쁘게 생각합니다.

개발자를 위한 의미 있는 코드 수준 지원

여기에행정 명령 중요 (EO-critical) 소프트웨어에 대한 NIST 지침을 사용하여, 우리는 궁극적으로, 정부의 최고 수준에서 사용하는 중요한 소프트웨어의 보안을 개선할 다섯 가지 주요 목표를 달성하기 위해 과정을 구성하고, 이상적으로 처음부터 높은 품질의 개발을위한 벤치 마크 역할을해야한다.

개발 코호트의 진정한 컷스루를 위해서는 모든 업스킬링이 이론을 넘어서야 하며, 답을 찾고 민첩하게 유지하기 위해 일과 훈련 간에 일정한 맥락 전환을 초래하지 않는 방식으로 구현되어야 합니다. 세심한 보안 관행(보안 팀은 말할 것도 없고) 정시 개발 스프린트의 블로커로 간주되며 평균 적인 기능 중심 엔지니어의 스타일을 심각하게 경련시다. 

개발자에게 맞춤 맞춤 적합한 짧고 간식이 가능한 마이크로 학습은 서리가 내린 수신이 훨씬 적고 기억에 남을 만한 실용적인 기술 구축을 해야 합니다. 

NIST 코스에서 이 구성 방법을 살펴보십시오.

안내 Courses 개발자의 NIST 준비 지원


목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.

보안 오용 및 부적절한 인증 관행은 공격자가 시스템에 성공적으로 침투하고, 계정을 인수하고, 데이터를 도용하는 데 의존합니다. 성공적으로 악용하면 큰 문제가 발생할 수 있는 일반적인 버그입니다.

에서 개발자는 Secure Code Warrior Learning Platform에서 개발자는 일상적인 작업에서 이러한 버그가 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 문제를 플레이하고 보안을 위한 정확한 솔루션을 찾도록 할 수 있습니다. 데브옵스 엔지니어의 경우 인프라 보안을 위해서는 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation, Ansible과 같은 IaC(Infrastructure as Code) 언어와 Docker 및 Kubernetes에 사용되는 코드에서 이러한 요구 사항을 충족하기 위한 특수한 과제가 있습니다.

목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.

취약점 찾기 사용자 만들기


이 목표를 위해 모든 도로는 액세스 제어로 이어집니다. 깨진 액세스 제어는 최근 OWASP Top 10 2021의상위 항목으로 주입 결함을 제거했으며 보안 인식 개발자의 기술을 가능한 한 빨리 찾고 수정해야하는 심각한 버그입니다.

이 과정은 코드 수준에서 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역만 모범 사례로 제한하는 방법을 제공하는 데 도움이 됩니다.

목표 3: EO 에이치 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지 관리하여 EO 에 중요한 소프트웨어를 악용으로부터 보호합니다.

대규모 조직에서 가장 큰 과제 중 하나는 현재 진행 중인 모든 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다. 위험 관리 및 패치와 관련하여 이러한 요소는 보안 유지 관리를 수행하기 위해 경고가 높은 개발자와 함께 모든 보안 프로그램에서 우선 순위가 되어야 합니다. 

에 Secure Code Warrior Learning Platform개발자는 취약한 구성 요소를 식별하고 해결하는 데 도움이 되는 과제와 권한 기반 보안 오구성을 해결할 수 있습니다.

목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응 및 복구합니다.

많은 조직이 사이버 보안 문제를 다룰 때 예방과 는 반대로 사고 대응에 여전히 집중하는 것은 불행한 일입니다(그리고 시간과 돈의 낭비). 이것은 우리가 변화를 위해 싸우고있는 문화이며 개발자는 보안 모범 사례에서 적절하게 훈련 될 때 예방 화력을 제공하는 데 있습니다. 

Objective 4는 개발자가 역할의 맥락에서 자신의 환경과 소프트웨어 및 네트워크 수준에서 엔드포인트를 지속적으로 모니터링해야 합니다. 부족한 로깅 및 모니터링은 또 다른 일반적이고 교활한 버그이며 엔지니어가 일상적인 작업에서 이를 성공적으로 탐색할 수 있는 것이 중요합니다.

에 Secure Code Warrior Learning Platform개발자는 웹, API 또는 클라우드 언어로 작업하든 이러한 기술을 연마하는 데 어려움을 겪을 수 있습니다.

지속 가능성을 가진 보안 인식.

목표 5: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성능을 강화합니다.

이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 처음 네 가지 목표를 마스터하지 않고는 할 수 없습니다. 이 지침은 빈번한 보안 인식 활동이 수행되며 EO 크리티컬 소프트웨어에 대한 모든 "인적 행동"은 역할과 책임의 맥락에서 적절하게 교육을 받은 사람들에 의해 수행될 것을 요청합니다.

개발자는 보안 구성 및 액세스 제어 외에도 코드와 가장 가깝고 개인적인 사용자 중 하나입니다. 그들의 보안 기술을 육성해야하며 NIST가 설명 한 대로 높은 기준을 달성하기 위해 실습 과정 구조는 특히 대규모 개발 코호트와 함께 이를 해결할 수있는 효율적인 방법이 될 수 있습니다. 

개발자가 귀중한 보안 XP를 얻을 수 있도록 도와줍니다.


오늘 개발 팀의 경험 치수 와 보안 IQ에 추가를 시작하십시오.

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

늦게 사이버 보안 업계에서 매우 환영 하는 움직임이 있었다. 소프트웨어 빌드의 보안을 우선 적으로 우선 순위를 정하는 것과 관련된 정서가 가능한 한 빨리 많은 조직에서 개선되기 시작한 것으로 보입니다. 이는 사이버 보안에 대한 Biden의 행정 명령과같은 공식 조치와 함께 모든 사람이 소프트웨어 보안 및 데이터 안전을 보장하기 위해 자신의 역할을 수행해야 한다는 것을 분명히 했습니다. 특히 흥미로운 점은 보안 코딩 표준을 유지하는 개발자의 역할에 대한 대화가 정부 차원에서도 계속 진화하고 있다는 것입니다.

그러나 대화에서 빠진 것이 있습니다. 행정 명령은 개발자가 검증 된 보안 기술이 필요하다고제안하지만 현재 그러한 공식 인증은 존재하지 않습니다. 많은 기업들이 소프트웨어 보안의 규정 준수 및 더 높은 표준에 대한 탐구에서 NIST(EO에 대한 업데이트된 지침을 제공한)에 의해 계속 안내되지만, 올바른 도구를 통합하고 릴리스 속도를 유지하면서 취약점을 크게 줄이는 전략을 생각하고 있다면 대부분은 원하는 결과를 만들기에는 너무 일반적입니다. 이것은 많은 회사가 고정되지 않고 제한된 개발자 교육을 받거나 실용적인 실습 기술을 사용할 수 있도록 일반적인 기반을 구축하지 않는 곳입니다.

보안 인식 개발자는 나무에서 자라지 않지만 올바른 도구로 훨씬 빠르게 양육되고 상승 할 수 있습니다. 이를 위해 미국 정부의 행정명령 지침에 따라 NIST 준수에 대한 독자적인 과정을 발표하게 되어 기쁘게 생각합니다.

개발자를 위한 의미 있는 코드 수준 지원

여기에행정 명령 중요 (EO-critical) 소프트웨어에 대한 NIST 지침을 사용하여, 우리는 궁극적으로, 정부의 최고 수준에서 사용하는 중요한 소프트웨어의 보안을 개선할 다섯 가지 주요 목표를 달성하기 위해 과정을 구성하고, 이상적으로 처음부터 높은 품질의 개발을위한 벤치 마크 역할을해야한다.

개발 코호트의 진정한 컷스루를 위해서는 모든 업스킬링이 이론을 넘어서야 하며, 답을 찾고 민첩하게 유지하기 위해 일과 훈련 간에 일정한 맥락 전환을 초래하지 않는 방식으로 구현되어야 합니다. 세심한 보안 관행(보안 팀은 말할 것도 없고) 정시 개발 스프린트의 블로커로 간주되며 평균 적인 기능 중심 엔지니어의 스타일을 심각하게 경련시다. 

개발자에게 맞춤 맞춤 적합한 짧고 간식이 가능한 마이크로 학습은 서리가 내린 수신이 훨씬 적고 기억에 남을 만한 실용적인 기술 구축을 해야 합니다. 

NIST 코스에서 이 구성 방법을 살펴보십시오.

안내 Courses 개발자의 NIST 준비 지원


목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.

보안 오용 및 부적절한 인증 관행은 공격자가 시스템에 성공적으로 침투하고, 계정을 인수하고, 데이터를 도용하는 데 의존합니다. 성공적으로 악용하면 큰 문제가 발생할 수 있는 일반적인 버그입니다.

에서 개발자는 Secure Code Warrior Learning Platform에서 개발자는 일상적인 작업에서 이러한 버그가 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 문제를 플레이하고 보안을 위한 정확한 솔루션을 찾도록 할 수 있습니다. 데브옵스 엔지니어의 경우 인프라 보안을 위해서는 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation, Ansible과 같은 IaC(Infrastructure as Code) 언어와 Docker 및 Kubernetes에 사용되는 코드에서 이러한 요구 사항을 충족하기 위한 특수한 과제가 있습니다.

목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.

취약점 찾기 사용자 만들기


이 목표를 위해 모든 도로는 액세스 제어로 이어집니다. 깨진 액세스 제어는 최근 OWASP Top 10 2021의상위 항목으로 주입 결함을 제거했으며 보안 인식 개발자의 기술을 가능한 한 빨리 찾고 수정해야하는 심각한 버그입니다.

이 과정은 코드 수준에서 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역만 모범 사례로 제한하는 방법을 제공하는 데 도움이 됩니다.

목표 3: EO 에이치 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지 관리하여 EO 에 중요한 소프트웨어를 악용으로부터 보호합니다.

대규모 조직에서 가장 큰 과제 중 하나는 현재 진행 중인 모든 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다. 위험 관리 및 패치와 관련하여 이러한 요소는 보안 유지 관리를 수행하기 위해 경고가 높은 개발자와 함께 모든 보안 프로그램에서 우선 순위가 되어야 합니다. 

에 Secure Code Warrior Learning Platform개발자는 취약한 구성 요소를 식별하고 해결하는 데 도움이 되는 과제와 권한 기반 보안 오구성을 해결할 수 있습니다.

목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응 및 복구합니다.

많은 조직이 사이버 보안 문제를 다룰 때 예방과 는 반대로 사고 대응에 여전히 집중하는 것은 불행한 일입니다(그리고 시간과 돈의 낭비). 이것은 우리가 변화를 위해 싸우고있는 문화이며 개발자는 보안 모범 사례에서 적절하게 훈련 될 때 예방 화력을 제공하는 데 있습니다. 

Objective 4는 개발자가 역할의 맥락에서 자신의 환경과 소프트웨어 및 네트워크 수준에서 엔드포인트를 지속적으로 모니터링해야 합니다. 부족한 로깅 및 모니터링은 또 다른 일반적이고 교활한 버그이며 엔지니어가 일상적인 작업에서 이를 성공적으로 탐색할 수 있는 것이 중요합니다.

에 Secure Code Warrior Learning Platform개발자는 웹, API 또는 클라우드 언어로 작업하든 이러한 기술을 연마하는 데 어려움을 겪을 수 있습니다.

지속 가능성을 가진 보안 인식.

목표 5: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성능을 강화합니다.

이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 처음 네 가지 목표를 마스터하지 않고는 할 수 없습니다. 이 지침은 빈번한 보안 인식 활동이 수행되며 EO 크리티컬 소프트웨어에 대한 모든 "인적 행동"은 역할과 책임의 맥락에서 적절하게 교육을 받은 사람들에 의해 수행될 것을 요청합니다.

개발자는 보안 구성 및 액세스 제어 외에도 코드와 가장 가깝고 개인적인 사용자 중 하나입니다. 그들의 보안 기술을 육성해야하며 NIST가 설명 한 대로 높은 기준을 달성하기 위해 실습 과정 구조는 특히 대규모 개발 코호트와 함께 이를 해결할 수있는 효율적인 방법이 될 수 있습니다. 

개발자가 귀중한 보안 XP를 얻을 수 있도록 도와줍니다.


오늘 개발 팀의 경험 치수 와 보안 IQ에 추가를 시작하십시오.

시작

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
마티아스 마두, Ph.
게시일: 2021.09.23.

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

늦게 사이버 보안 업계에서 매우 환영 하는 움직임이 있었다. 소프트웨어 빌드의 보안을 우선 적으로 우선 순위를 정하는 것과 관련된 정서가 가능한 한 빨리 많은 조직에서 개선되기 시작한 것으로 보입니다. 이는 사이버 보안에 대한 Biden의 행정 명령과같은 공식 조치와 함께 모든 사람이 소프트웨어 보안 및 데이터 안전을 보장하기 위해 자신의 역할을 수행해야 한다는 것을 분명히 했습니다. 특히 흥미로운 점은 보안 코딩 표준을 유지하는 개발자의 역할에 대한 대화가 정부 차원에서도 계속 진화하고 있다는 것입니다.

그러나 대화에서 빠진 것이 있습니다. 행정 명령은 개발자가 검증 된 보안 기술이 필요하다고제안하지만 현재 그러한 공식 인증은 존재하지 않습니다. 많은 기업들이 소프트웨어 보안의 규정 준수 및 더 높은 표준에 대한 탐구에서 NIST(EO에 대한 업데이트된 지침을 제공한)에 의해 계속 안내되지만, 올바른 도구를 통합하고 릴리스 속도를 유지하면서 취약점을 크게 줄이는 전략을 생각하고 있다면 대부분은 원하는 결과를 만들기에는 너무 일반적입니다. 이것은 많은 회사가 고정되지 않고 제한된 개발자 교육을 받거나 실용적인 실습 기술을 사용할 수 있도록 일반적인 기반을 구축하지 않는 곳입니다.

보안 인식 개발자는 나무에서 자라지 않지만 올바른 도구로 훨씬 빠르게 양육되고 상승 할 수 있습니다. 이를 위해 미국 정부의 행정명령 지침에 따라 NIST 준수에 대한 독자적인 과정을 발표하게 되어 기쁘게 생각합니다.

개발자를 위한 의미 있는 코드 수준 지원

여기에행정 명령 중요 (EO-critical) 소프트웨어에 대한 NIST 지침을 사용하여, 우리는 궁극적으로, 정부의 최고 수준에서 사용하는 중요한 소프트웨어의 보안을 개선할 다섯 가지 주요 목표를 달성하기 위해 과정을 구성하고, 이상적으로 처음부터 높은 품질의 개발을위한 벤치 마크 역할을해야한다.

개발 코호트의 진정한 컷스루를 위해서는 모든 업스킬링이 이론을 넘어서야 하며, 답을 찾고 민첩하게 유지하기 위해 일과 훈련 간에 일정한 맥락 전환을 초래하지 않는 방식으로 구현되어야 합니다. 세심한 보안 관행(보안 팀은 말할 것도 없고) 정시 개발 스프린트의 블로커로 간주되며 평균 적인 기능 중심 엔지니어의 스타일을 심각하게 경련시다. 

개발자에게 맞춤 맞춤 적합한 짧고 간식이 가능한 마이크로 학습은 서리가 내린 수신이 훨씬 적고 기억에 남을 만한 실용적인 기술 구축을 해야 합니다. 

NIST 코스에서 이 구성 방법을 살펴보십시오.

안내 Courses 개발자의 NIST 준비 지원


목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.

보안 오용 및 부적절한 인증 관행은 공격자가 시스템에 성공적으로 침투하고, 계정을 인수하고, 데이터를 도용하는 데 의존합니다. 성공적으로 악용하면 큰 문제가 발생할 수 있는 일반적인 버그입니다.

에서 개발자는 Secure Code Warrior Learning Platform에서 개발자는 일상적인 작업에서 이러한 버그가 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 문제를 플레이하고 보안을 위한 정확한 솔루션을 찾도록 할 수 있습니다. 데브옵스 엔지니어의 경우 인프라 보안을 위해서는 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation, Ansible과 같은 IaC(Infrastructure as Code) 언어와 Docker 및 Kubernetes에 사용되는 코드에서 이러한 요구 사항을 충족하기 위한 특수한 과제가 있습니다.

목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.

취약점 찾기 사용자 만들기


이 목표를 위해 모든 도로는 액세스 제어로 이어집니다. 깨진 액세스 제어는 최근 OWASP Top 10 2021의상위 항목으로 주입 결함을 제거했으며 보안 인식 개발자의 기술을 가능한 한 빨리 찾고 수정해야하는 심각한 버그입니다.

이 과정은 코드 수준에서 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역만 모범 사례로 제한하는 방법을 제공하는 데 도움이 됩니다.

목표 3: EO 에이치 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지 관리하여 EO 에 중요한 소프트웨어를 악용으로부터 보호합니다.

대규모 조직에서 가장 큰 과제 중 하나는 현재 진행 중인 모든 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다. 위험 관리 및 패치와 관련하여 이러한 요소는 보안 유지 관리를 수행하기 위해 경고가 높은 개발자와 함께 모든 보안 프로그램에서 우선 순위가 되어야 합니다. 

에 Secure Code Warrior Learning Platform개발자는 취약한 구성 요소를 식별하고 해결하는 데 도움이 되는 과제와 권한 기반 보안 오구성을 해결할 수 있습니다.

목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협 및 사고를 신속하게 탐지, 대응 및 복구합니다.

많은 조직이 사이버 보안 문제를 다룰 때 예방과 는 반대로 사고 대응에 여전히 집중하는 것은 불행한 일입니다(그리고 시간과 돈의 낭비). 이것은 우리가 변화를 위해 싸우고있는 문화이며 개발자는 보안 모범 사례에서 적절하게 훈련 될 때 예방 화력을 제공하는 데 있습니다. 

Objective 4는 개발자가 역할의 맥락에서 자신의 환경과 소프트웨어 및 네트워크 수준에서 엔드포인트를 지속적으로 모니터링해야 합니다. 부족한 로깅 및 모니터링은 또 다른 일반적이고 교활한 버그이며 엔지니어가 일상적인 작업에서 이를 성공적으로 탐색할 수 있는 것이 중요합니다.

에 Secure Code Warrior Learning Platform개발자는 웹, API 또는 클라우드 언어로 작업하든 이러한 기술을 연마하는 데 어려움을 겪을 수 있습니다.

지속 가능성을 가진 보안 인식.

목표 5: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성능을 강화합니다.

이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 처음 네 가지 목표를 마스터하지 않고는 할 수 없습니다. 이 지침은 빈번한 보안 인식 활동이 수행되며 EO 크리티컬 소프트웨어에 대한 모든 "인적 행동"은 역할과 책임의 맥락에서 적절하게 교육을 받은 사람들에 의해 수행될 것을 요청합니다.

개발자는 보안 구성 및 액세스 제어 외에도 코드와 가장 가깝고 개인적인 사용자 중 하나입니다. 그들의 보안 기술을 육성해야하며 NIST가 설명 한 대로 높은 기준을 달성하기 위해 실습 과정 구조는 특히 대규모 개발 코호트와 함께 이를 해결할 수있는 효율적인 방법이 될 수 있습니다. 

개발자가 귀중한 보안 XP를 얻을 수 있도록 도와줍니다.


오늘 개발 팀의 경험 치수 와 보안 IQ에 추가를 시작하십시오.

목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물