조직의 보안 성숙도를 과대평가하고 계신가요?

게시일: 2023년 11월 10일
작성자: 마티아스 마두, Ph.
사례 연구

조직의 보안 성숙도를 과대평가하고 계신가요?

게시일: 2023년 11월 10일
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기
검은색 배경에 달이 진행 중입니다.
검은색 배경에 달이 진행 중입니다.

이 기사의 일부 버전은 어두운 독서.


대부분의 기업이 성장, 혁신 및 디지털 전환의 썰물과 썰물을 헤쳐나가는 과정에서 기업의 규모에 따라 일부 영역이 진행 중인 작업으로 남는 것은 당연한 일입니다. 특히 보안 리더가 새로운 위협, 취약성, 위험 노출을 증가시키는 기술 개발에서 한 발 앞서 나가기 위해 고군분투하는 조직의 사이버 보안 프로그램에서 이러한 경우가 많습니다.

그러나 전 세계의 소프트웨어 수요를 충족하기 위해 작성되는 코드의 홍수 속에서 지속적인 기술 부족으로 인해 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤처지고 있습니다. 또한 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 작동하는 방어 프로그램에서 숙련된 인력의 힘을 놓치는 경우가 많습니다. 

이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 우리 앞에 놓인 실행 가능한 빠른 승리를 평가해야 할 때입니다.

지속 가능한 사이버 보안 성숙은 하나의 과정입니다.

일반인들은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉬우며, 보안은 올바른 소프트웨어를 선택하고 이를 활성화하여 위협 행위자의 추적을 막는 방패처럼 작동하기만 하면 된다고 생각하기 쉽습니다. 2022년은 코스타리카 정부 전체가 몸 값을 요구하는 등 사이버 사고가 사상 최악의 해로 기록될 것으로 예상되는 가운데, 많은 보안 전문가들이 그렇게 간단하기만 하기를 바랄 것입니다. 

특히 금융 부문을 비롯한 많은 산업에서 규정 준수를 중시하고 엄격한 보안 조치를 요구하는 점점 더 복잡한 규제 프레임워크에 얽매여 있지만, 현실은 대부분의 조직이 사이버 복원력이 부족하다는 것입니다. 전 세계 대기업의 절반 이상이 사이버 공격을 효과적으로 차단하지 못하고 있으며, 악용된 취약점을 신속하게 발견하고 수정하지 못하고 있습니다. 

사람, 프로세스, 기술의 3중 위협을 포괄하는 모범 사례로 정의되고 성숙한 프로그램을 갖춘 선진적인 조직이라 할지라도 빠르게 변화하는 위협 환경의 요구 사항을 따라잡는 데 어려움을 겪을 수 있습니다. 많은 기업이 부족한 한 가지 중요한 영역은 특히 개발 팀의 역할 기반 보안 인식입니다. 조직의 모든 사람이 공격 표면을 줄이는 데 있어 자신의 역할을 이해해야 하지만, 매일 매일 코드를 작성하는 사람들은 적절한 숙련도만 갖추면 보안에 대한 진정한 혁신적 접근 방식의 운전석에 앉을 수 있습니다. 

총체적이고 방어적인 보안 프로그램은 지속적인 개선이 요구되는 프로그램이며, 이를 위해서는 탄탄한 기반을 마련하는 데 세심한 주의를 기울여야 합니다. 이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 것보다 성숙도가 낮을 가능성이 높습니다. 포네몬 연구소의 연구에 따르면 기업의 53%가 보안 기술 스택이 침해를 효과적으로 막을 수 있다고 확신하지 못했으며, 크고 작은 사이버 공격의 주요 원인이 인적 오류인 만큼 개발자를 전략적 보안 강화에서 배제하는 것은 불을 가지고 노는 것과 같습니다. 

개발자가 소프트웨어 보안 우수성의 원동력이 되게 하세요.

사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 공격 대상 기업보다 뚜렷한 우위를 점하고 있다는 것입니다. 공격자는 시간, 도구, 동기가 충분하기 때문에 공격할 약점을 꼼꼼하게 스캔하고, 이를 뚫고 수익을 창출하는 데 전념할 수 있습니다.

반면에 조직은 비즈니스와 고객의 요구 사항을 모두 충족해야 하므로 대규모 사이버 공격의 엄청난 위험을 감당할 수 없지만, 성능에 방해가 될 수 있는 수많은 보안 제어를 수용하기 위해 비즈니스 운영 속도를 느리게 하는 것은 현실적이지 않습니다. 바로 이 점에서 보안에 능숙한 개발자는 사이버 방어 성과에 X자 역할을 합니다.

전통적으로 개발자가 보안에 대한 책임을 의미 있는 방식으로 공유할 수 없었던 것은 사실이지만, 이는 더 나은 방향으로 바뀔 수 있고 바뀌어야 합니다. 조직은 개발 집단을 위한 실행 가능한 숙련도 향상 경로를 만들 수 있지만, 해당 환경에 적합한 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다. 최소한 그들이 적극적으로 사용하는 언어와 프레임워크로 전달되어야 하며, 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다. 

courses 개발자의 워크플로우를 염두에 두고 구조화하면 일반적인 취약성과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체할 가능성이 훨씬 더 높아집니다. 저품질 소프트웨어로 인해 올해에만 미국에서만 2조 4,100억 달러의 비용이 발생했으며, 이는 위험한 기술 부채를 지속시키는 오류의 악순환을 끊어야만 해결할 수 있습니다.

보다 긍정적이고 총체적인 보안 프로그램, 즉 사람이 중심이 되는 문제에 변화를 가져오는 데 필요한 피플 파워를 활용하는 프로그램에 대한 조직 차원의 노력이 필요합니다. 내일의 헤드라인에서 벗어나는 것이 필수적이라면 충분히 노력할 가치가 있습니다.

리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

조직의 보안 성숙도를 과대평가하고 계신가요?

게시일: 2024년 1월 22일
마티아스 마두, Ph.

이 기사의 일부 버전은 어두운 독서.


대부분의 기업이 성장, 혁신 및 디지털 전환의 썰물과 썰물을 헤쳐나가는 과정에서 기업의 규모에 따라 일부 영역이 진행 중인 작업으로 남는 것은 당연한 일입니다. 특히 보안 리더가 새로운 위협, 취약성, 위험 노출을 증가시키는 기술 개발에서 한 발 앞서 나가기 위해 고군분투하는 조직의 사이버 보안 프로그램에서 이러한 경우가 많습니다.

그러나 전 세계의 소프트웨어 수요를 충족하기 위해 작성되는 코드의 홍수 속에서 지속적인 기술 부족으로 인해 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤처지고 있습니다. 또한 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 작동하는 방어 프로그램에서 숙련된 인력의 힘을 놓치는 경우가 많습니다. 

이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 우리 앞에 놓인 실행 가능한 빠른 승리를 평가해야 할 때입니다.

지속 가능한 사이버 보안 성숙은 하나의 과정입니다.

일반인들은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉬우며, 보안은 올바른 소프트웨어를 선택하고 이를 활성화하여 위협 행위자의 추적을 막는 방패처럼 작동하기만 하면 된다고 생각하기 쉽습니다. 2022년은 코스타리카 정부 전체가 몸 값을 요구하는 등 사이버 사고가 사상 최악의 해로 기록될 것으로 예상되는 가운데, 많은 보안 전문가들이 그렇게 간단하기만 하기를 바랄 것입니다. 

특히 금융 부문을 비롯한 많은 산업에서 규정 준수를 중시하고 엄격한 보안 조치를 요구하는 점점 더 복잡한 규제 프레임워크에 얽매여 있지만, 현실은 대부분의 조직이 사이버 복원력이 부족하다는 것입니다. 전 세계 대기업의 절반 이상이 사이버 공격을 효과적으로 차단하지 못하고 있으며, 악용된 취약점을 신속하게 발견하고 수정하지 못하고 있습니다. 

사람, 프로세스, 기술의 3중 위협을 포괄하는 모범 사례로 정의되고 성숙한 프로그램을 갖춘 선진적인 조직이라 할지라도 빠르게 변화하는 위협 환경의 요구 사항을 따라잡는 데 어려움을 겪을 수 있습니다. 많은 기업이 부족한 한 가지 중요한 영역은 특히 개발 팀의 역할 기반 보안 인식입니다. 조직의 모든 사람이 공격 표면을 줄이는 데 있어 자신의 역할을 이해해야 하지만, 매일 매일 코드를 작성하는 사람들은 적절한 숙련도만 갖추면 보안에 대한 진정한 혁신적 접근 방식의 운전석에 앉을 수 있습니다. 

총체적이고 방어적인 보안 프로그램은 지속적인 개선이 요구되는 프로그램이며, 이를 위해서는 탄탄한 기반을 마련하는 데 세심한 주의를 기울여야 합니다. 이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 것보다 성숙도가 낮을 가능성이 높습니다. 포네몬 연구소의 연구에 따르면 기업의 53%가 보안 기술 스택이 침해를 효과적으로 막을 수 있다고 확신하지 못했으며, 크고 작은 사이버 공격의 주요 원인이 인적 오류인 만큼 개발자를 전략적 보안 강화에서 배제하는 것은 불을 가지고 노는 것과 같습니다. 

개발자가 소프트웨어 보안 우수성의 원동력이 되게 하세요.

사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 공격 대상 기업보다 뚜렷한 우위를 점하고 있다는 것입니다. 공격자는 시간, 도구, 동기가 충분하기 때문에 공격할 약점을 꼼꼼하게 스캔하고, 이를 뚫고 수익을 창출하는 데 전념할 수 있습니다.

반면에 조직은 비즈니스와 고객의 요구 사항을 모두 충족해야 하므로 대규모 사이버 공격의 엄청난 위험을 감당할 수 없지만, 성능에 방해가 될 수 있는 수많은 보안 제어를 수용하기 위해 비즈니스 운영 속도를 느리게 하는 것은 현실적이지 않습니다. 바로 이 점에서 보안에 능숙한 개발자는 사이버 방어 성과에 X자 역할을 합니다.

전통적으로 개발자가 보안에 대한 책임을 의미 있는 방식으로 공유할 수 없었던 것은 사실이지만, 이는 더 나은 방향으로 바뀔 수 있고 바뀌어야 합니다. 조직은 개발 집단을 위한 실행 가능한 숙련도 향상 경로를 만들 수 있지만, 해당 환경에 적합한 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다. 최소한 그들이 적극적으로 사용하는 언어와 프레임워크로 전달되어야 하며, 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다. 

courses 개발자의 워크플로우를 염두에 두고 구조화하면 일반적인 취약성과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체할 가능성이 훨씬 더 높아집니다. 저품질 소프트웨어로 인해 올해에만 미국에서만 2조 4,100억 달러의 비용이 발생했으며, 이는 위험한 기술 부채를 지속시키는 오류의 악순환을 끊어야만 해결할 수 있습니다.

보다 긍정적이고 총체적인 보안 프로그램, 즉 사람이 중심이 되는 문제에 변화를 가져오는 데 필요한 피플 파워를 활용하는 프로그램에 대한 조직 차원의 노력이 필요합니다. 내일의 헤드라인에서 벗어나는 것이 필수적이라면 충분히 노력할 가치가 있습니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.