개발자가 사이버 범죄 짐승을 처치하는 데 도움을 주기 위해 교육은 두 부분으로 의 한 탐구입니다.

게시됨 Feb 04, 2021
작성자: 마티아스 마두, Ph.
사례 연구

개발자가 사이버 범죄 짐승을 처치하는 데 도움을 주기 위해 교육은 두 부분으로 의 한 탐구입니다.

게시됨 Feb 04, 2021
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기

이 문서의 버전은 DevOps.com나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.

사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.

생성되는 코드의 양은 보안 전문가에게 너무 나쁘다 - 부족증가 - 그리고 데이터 유출의 증가 비용은 뭔가가 제공해야한다는 증거입니다. 다행히도, 우리의 디지털 안전과 모든 곳에서 CISSo의 정신을 위해, DevSecOps 운동은 소프트웨어 개발 프로세스의 시작부터 보안 여행에 개발자를 데려 도움이된다. 그들은 사이버 공격자에 대한 방어의 첫 번째 라인으로 인식되고있다, 자신의 손끝에서 일반적인 취약점을 제거 할 수있는 힘.

그러나 그들의 방어 능력은 그들이 받는 훈련만큼이나 훌륭하며, 보안 팀이 실행하는 또 다른 건틀릿입니다. 직장에서 보안 코딩 교육을 받은 많은 개발자에게 주요 과제는 효과적이지 않은 마음마비, 실습 활동 중에 깨어 있는 것이지, 보안을 미리 염두에 두도록 영감을 주는 것입니다. 소울리스 비디오 courses 토큰 연간 '체크 더 박스'이벤트는 시간 낭비이며, 아무도 기회의 작은 창에 점프대기 잠재적 인 악의적 인 위협 배우에 대해 승리하지 않습니다.

우리 업계의 이 단계에서, 우리는 개발자가 현실 세계에서 우연히 만날 수 있는 문제를 모방하는 도전과 함께 관련 프로그래밍 언어와 프레임워크에서 제공되는 문맥적이고 실무적인 교육을 훨씬 더 매력적인 접근 방식으로 해결했습니다.

이것은 AppSec 전문가가 일반적인 취약점을 제거하는 데 도움이되는 개발자의 탐구 의 단계 이지만 2 단계는 과급 된 보안 인식 방어 력에 대 한 시나리오 현실을 얻을 해야 하는 곳.

비계 학습은 성인 교육에 중요합니다.

과외에 관해서 courses 또는 직업 교육을 통해 성인이 일정 수준의 경험과 기존 지식을 가지고 오는 것을 간과하는 경우가 많습니다. 좋은 훈련은이 기초에 추가, 학습 과정에서 더 깊은 이해와 빠른 자율성을 허용하는 방식으로 구성되어 있습니다.

스캐폴드 교육은 이전 경험을 활성화하고 향상시키는 동시에 관리하기 쉬운 청크에서 새로운 기술을 계속 구축하여 점점 더 많은 자신감을 가지고 점점 더 어려운 작업을 해결할 수 있도록 하는 강력하고 긍정적인 학습 방법입니다. 일반적으로 데모, 시각 보조 장치 및 학생 주도 탐험의 건강한 부분과 함께 제공되는 방법론입니다.

이 접근 방식을 개발자 보안 교육과 다시 연결하면 이론 기반 정적 학습인 드루저리보다 동적이고 학습별 학습 방법이 오랫동안 선호되고 있다는 것은 놀라운 일이 아닙니다. 그들은 자유롭게 도메인의 주인이 될 수 있으며, 그들의 시간이 잘 소요되는 것을 보아야합니다.

그런 의미에서 하이퍼관련성이 높은 상황상황에서 안전하게 코딩하는 것이 중요하지만 이 단계의 '레벨 업'은 취약한 코드가 작동하는 것을 보는 것입니다. 프론트 엔드 및 백엔드 뷰의 컨텍스트를 나란히 볼 수 있는 코드 프로세스 중에 수행되는 작업과 공격자가 잘라낸 모서리, 잘못된 구성 또는 적발및 해결되지 않은 사고로 인해 수행할 수 있는 작업 사이에는 유형링크가 있습니다.

진정으로 예방 보안 접근 방식의 리콜에서 응용 프로그램으로 이동

보안 취약점의 영향을 직접 경험하는 것은 교육 퍼즐의 중요한 부분이며, 개발자를위한 가장 현대적인 보안 교육 옵션에도 불구하고 매우 드문 짐승입니다. 취약점을 발견하고 해결하는 데 기술을 연마하고 기록되는 것과 동일한 버그를 제거하는 경험을 기억하는 데 소비된 기본 작업은 매우 중요하지만 전체 그림은 아닙니다. 악의적인 행위자에 의해 취약한 코드가 악용되는 방법을 보려면 강력한 컨텍스트 계층이 추가되며, 이는 코드 보안의 중요성을 가정으로 유도하고 하드 획득된 보안 지식을 적용하여 모든 기회 의 창을 닫습니다.

일반적으로 개발자는 보안을 사랑하지 않는 것으로 받아들여지며 보안 교육에 대한 애정이 훨씬 적습니다. AppSec 전문가와의 경험은 매우 서리가 내릴 수 있으며, 보안 팀이 취약한 코드를 개발자에게 다시 해결하도록 반송하여 발생하는 재작업은 그 존재의 베인입니다. 이미 얇게 퍼져 있는 엔지니어링 팀에게 보안은 우선 순위가 아닌 다른 사람의 문제이며, 자연스러운 창의성과 건물 기능 구축의 주요 목표에 장애가 됩니다. 그러나 코드가 너무 많고 위반이 너무 많으며 이러한 사고 방식이 계속되기 위해 전 세계 데이터에 너무 많은 위험이 있습니다.

기능적 DevSecOps 프로세스는 SDLC의 시작 부분에서 보안 팀과 조화를 이루는 개발자를 보유하고 있으며, 시뮬레이션 된 악용과 상호 작용할 수있는 응용 학습의 기회를 볼 수 있으며 보안이 제대로 안전하지 않은 코드의 영향을 볼 수 있습니다(결국 그렇게 나쁘지 않은 사람)와 같은 페이지에 개발자를 얻는 데 먼 길을 갑니다.

대화형 학습은 보스 싸움을 위한 개발자를 준비합니다.

작성 당시, 7 일 동안 보고 된 두 가지 주요 위반이 있었다: Razer는 100,000 개 이상의 민감한 데이터 기록이 노출되었다고발표, 사무실 공급 체인 스테이플스도 유사한 데이터 유출을보고하는동안. 2020년에는 10억 개 이상의 민감한 기록이 노출되었으며, 이러한 걱정스러운 추세는 둔화될 기미를 보이지 않습니다. 간단히 말해서 악의적인 행위자는 우위를 점하고 있으며 보안 인식 개발자는 방어의 최전선역할을 하기 위해 매우 필요합니다.

이러한 위반을 시뮬레이션하는 데 초점을 맞춘 대화형 과제는 개발자를 수동 적인 리콜에서실제 보스 싸움에 영향을 미치는 기술을 적용하는 것으로 이동합니다.

리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

개발자가 사이버 범죄 짐승을 처치하는 데 도움을 주기 위해 교육은 두 부분으로 의 한 탐구입니다.

게시일: 2024년 1월 22일
마티아스 마두, Ph.

이 문서의 버전은 DevOps.com나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.

사이버 보안에서 영웅과 악당 사이의 경기장은 악명 불공평하다. 중요한 데이터는 새로운 금이며 공격자는 방어를 우회하기 위해 신속하게 적응하여 잠재적인 페이더트에 대해 크고 작은 보안 버그를 악용합니다.

생성되는 코드의 양은 보안 전문가에게 너무 나쁘다 - 부족증가 - 그리고 데이터 유출의 증가 비용은 뭔가가 제공해야한다는 증거입니다. 다행히도, 우리의 디지털 안전과 모든 곳에서 CISSo의 정신을 위해, DevSecOps 운동은 소프트웨어 개발 프로세스의 시작부터 보안 여행에 개발자를 데려 도움이된다. 그들은 사이버 공격자에 대한 방어의 첫 번째 라인으로 인식되고있다, 자신의 손끝에서 일반적인 취약점을 제거 할 수있는 힘.

그러나 그들의 방어 능력은 그들이 받는 훈련만큼이나 훌륭하며, 보안 팀이 실행하는 또 다른 건틀릿입니다. 직장에서 보안 코딩 교육을 받은 많은 개발자에게 주요 과제는 효과적이지 않은 마음마비, 실습 활동 중에 깨어 있는 것이지, 보안을 미리 염두에 두도록 영감을 주는 것입니다. 소울리스 비디오 courses 토큰 연간 '체크 더 박스'이벤트는 시간 낭비이며, 아무도 기회의 작은 창에 점프대기 잠재적 인 악의적 인 위협 배우에 대해 승리하지 않습니다.

우리 업계의 이 단계에서, 우리는 개발자가 현실 세계에서 우연히 만날 수 있는 문제를 모방하는 도전과 함께 관련 프로그래밍 언어와 프레임워크에서 제공되는 문맥적이고 실무적인 교육을 훨씬 더 매력적인 접근 방식으로 해결했습니다.

이것은 AppSec 전문가가 일반적인 취약점을 제거하는 데 도움이되는 개발자의 탐구 의 단계 이지만 2 단계는 과급 된 보안 인식 방어 력에 대 한 시나리오 현실을 얻을 해야 하는 곳.

비계 학습은 성인 교육에 중요합니다.

과외에 관해서 courses 또는 직업 교육을 통해 성인이 일정 수준의 경험과 기존 지식을 가지고 오는 것을 간과하는 경우가 많습니다. 좋은 훈련은이 기초에 추가, 학습 과정에서 더 깊은 이해와 빠른 자율성을 허용하는 방식으로 구성되어 있습니다.

스캐폴드 교육은 이전 경험을 활성화하고 향상시키는 동시에 관리하기 쉬운 청크에서 새로운 기술을 계속 구축하여 점점 더 많은 자신감을 가지고 점점 더 어려운 작업을 해결할 수 있도록 하는 강력하고 긍정적인 학습 방법입니다. 일반적으로 데모, 시각 보조 장치 및 학생 주도 탐험의 건강한 부분과 함께 제공되는 방법론입니다.

이 접근 방식을 개발자 보안 교육과 다시 연결하면 이론 기반 정적 학습인 드루저리보다 동적이고 학습별 학습 방법이 오랫동안 선호되고 있다는 것은 놀라운 일이 아닙니다. 그들은 자유롭게 도메인의 주인이 될 수 있으며, 그들의 시간이 잘 소요되는 것을 보아야합니다.

그런 의미에서 하이퍼관련성이 높은 상황상황에서 안전하게 코딩하는 것이 중요하지만 이 단계의 '레벨 업'은 취약한 코드가 작동하는 것을 보는 것입니다. 프론트 엔드 및 백엔드 뷰의 컨텍스트를 나란히 볼 수 있는 코드 프로세스 중에 수행되는 작업과 공격자가 잘라낸 모서리, 잘못된 구성 또는 적발및 해결되지 않은 사고로 인해 수행할 수 있는 작업 사이에는 유형링크가 있습니다.

진정으로 예방 보안 접근 방식의 리콜에서 응용 프로그램으로 이동

보안 취약점의 영향을 직접 경험하는 것은 교육 퍼즐의 중요한 부분이며, 개발자를위한 가장 현대적인 보안 교육 옵션에도 불구하고 매우 드문 짐승입니다. 취약점을 발견하고 해결하는 데 기술을 연마하고 기록되는 것과 동일한 버그를 제거하는 경험을 기억하는 데 소비된 기본 작업은 매우 중요하지만 전체 그림은 아닙니다. 악의적인 행위자에 의해 취약한 코드가 악용되는 방법을 보려면 강력한 컨텍스트 계층이 추가되며, 이는 코드 보안의 중요성을 가정으로 유도하고 하드 획득된 보안 지식을 적용하여 모든 기회 의 창을 닫습니다.

일반적으로 개발자는 보안을 사랑하지 않는 것으로 받아들여지며 보안 교육에 대한 애정이 훨씬 적습니다. AppSec 전문가와의 경험은 매우 서리가 내릴 수 있으며, 보안 팀이 취약한 코드를 개발자에게 다시 해결하도록 반송하여 발생하는 재작업은 그 존재의 베인입니다. 이미 얇게 퍼져 있는 엔지니어링 팀에게 보안은 우선 순위가 아닌 다른 사람의 문제이며, 자연스러운 창의성과 건물 기능 구축의 주요 목표에 장애가 됩니다. 그러나 코드가 너무 많고 위반이 너무 많으며 이러한 사고 방식이 계속되기 위해 전 세계 데이터에 너무 많은 위험이 있습니다.

기능적 DevSecOps 프로세스는 SDLC의 시작 부분에서 보안 팀과 조화를 이루는 개발자를 보유하고 있으며, 시뮬레이션 된 악용과 상호 작용할 수있는 응용 학습의 기회를 볼 수 있으며 보안이 제대로 안전하지 않은 코드의 영향을 볼 수 있습니다(결국 그렇게 나쁘지 않은 사람)와 같은 페이지에 개발자를 얻는 데 먼 길을 갑니다.

대화형 학습은 보스 싸움을 위한 개발자를 준비합니다.

작성 당시, 7 일 동안 보고 된 두 가지 주요 위반이 있었다: Razer는 100,000 개 이상의 민감한 데이터 기록이 노출되었다고발표, 사무실 공급 체인 스테이플스도 유사한 데이터 유출을보고하는동안. 2020년에는 10억 개 이상의 민감한 기록이 노출되었으며, 이러한 걱정스러운 추세는 둔화될 기미를 보이지 않습니다. 간단히 말해서 악의적인 행위자는 우위를 점하고 있으며 보안 인식 개발자는 방어의 최전선역할을 하기 위해 매우 필요합니다.

이러한 위반을 시뮬레이션하는 데 초점을 맞춘 대화형 과제는 개발자를 수동 적인 리콜에서실제 보스 싸움에 영향을 미치는 기술을 적용하는 것으로 이동합니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.