블로그

지루한 PCI-DSS 준수를 모두를 위한 의미 있는 운동으로 전환: 파트 1 - AppSec

마티아스 마두, Ph.
게시일: 2020년 4월 16일

이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.

"규정 준수"라는 단어는 그리 흥미롭지 않습니다. 그것은 공식, 건조, 지시문입니다 ... 심지어 그 톤에 조금 제한. 색이 있다면 베이지색이 될 것입니다. 그리고, 음, 그것은 창조적 인 환경이나 혁신의 어떤 종류와 확률에 보인다.

개발자로서, "준수하는 것은 일반적으로 몇 가지 지침을 읽거나 프리젠 테이션을보는 것을 의미 (수직으로), 코딩 기능으로 돌아가고객이 사용하고 사랑 할 소프트웨어를 만드는 데 집중하기 전에. 모든 사람은 현재 할 수 있는 것을 유지하며(항상 옳은 일을 하려고 노력함) 규정 준수 지침( 특히 주변 보안 모범 사례)은 일반적으로 개발자와 함께 타겟 대상으로 작성되지 않으며 필요한 작업은 불분명할 수 있습니다. 이 시나리오에서는 현재 목표를 가지고 작업하는 것이 너무 쉽습니다.

문제는 보안 소프트웨어 개발이 더 이상 어떤 회사에서도 "가지고 있는 것이 좋은 것"이 아닙니다. 그것은 모든 조직에서 (또는해야) 마음의 앞에 ... 그리고 그것은 민감한 고객 정보의 광대 한 금액을 보유하고 있다면, 그 회사는 사이버 공격에 관해서 따기에 대 한 익은. 개발자는 먼저 코드에 대해 실습해야 하며, 따라서 보안 규정 준수 조치에 팀의 나머지 부분과 마찬가지로 참여해야 합니다.

하지만, 기다려... 내 말을 들어. 그렇다고 모든 사람이 경직되고 창의성이 없는 개발 및 소프트웨어 결과의 노예가 되어야 한다는 것을 의미하지는 않습니다. 이는 비즈니스가 더 높은 수준의 코드를 함께 만들 수 있는 기회와 능력을 가지고 있습니다. 지금까지 너무 느리게, 세계는 사실을 따라 잡기, 지금까지, 개발자는 보안을 우선 순위로 만들기 위해 자신의 처분에 정확히 올바른 도구를 가지고 있지 않은 (그리고 사일로 보안 전문가는 혼자 책임을 감당할 수 없습니다). 그러나 업계가 보안을 공유하는 데브세옵스의 미래를 향해 나아가면서 성공을 위해 설정할 때 반복되는 취약점의 흐름을 막을 수 있습니다.

PCI-DSS 지침은 카드 결제 게이트웨이에 대한 온라인 보안 규정 준수를 포함합니다- 우리 대부분이 정기적으로 사용하는 서비스입니다. 이러한 지침은 전 세계적으로 적용 가능하며, 실제로 개발자가 전자 상거래 비즈니스의 여러 측면에 걸쳐 여러 규정 준수 문서와 함께 표준 규정을 유지하기 위해 수행해야 하는 작업을 자세히 설명했습니다.

데이터 유출은 무서운 평판 파괴 위험이 기업이 감당할 수 있는 위험이며 사이버 보안 벤처스가 2021년에 하루에 1일에도달하기 위해 제로 데이 위반을 하는 것으로 나타났습니다.

PCI-DSS 권장 사항과 팀 전체에서 작업할 수 있는 방법을 세분화해 보겠습니다.

이봐, AppSec 및 규정 준수 팀 : 모든 개발자 교육은 동일하게 생성되지 않습니다

대규모(또는 소규모) 조직의 개발자는 실무 수행 에 대한 교육에 많은 입력을 하는 경우는 거의 없습니다. 스타 직원을 유지하기 위해 일부 회사는 포괄적 인 프로그램을 제공하지만, 이들은 여전히 그들이해야보다 덜 일반적이다. 보안 교육의 필요성은 모든 사람을 지루하게 하지 않고 조직 규정 준수를 시작할 뿐만 아니라 개발 팀과의 서리가 내린 관계를 따뜻하게 할 수 있는 좋은 기회를 제공합니다.

PCI 규정 준수 측면에서, 당신은 그들의 지침이 지불 게이트웨이를 실행하는 모든 소프트웨어에서 기대하는 결과에 대한 구체적임을 알 수 있습니다; 다른 목표 들 중, 그들은 응용 프로그램 강화 (악성 코드 주입 또는 변조를 방해 하는 데 중요 한), 최소 권한 제어 및 일반적인 취약점의 본격적인 인식... 최소한. 카드 소지자 데이터로 작업하는 모든 직원은 적절하게 교육을 받아야 하며 개발자의 경우 교육이 프로세스 시작부터 보안 코드를 작성하는 데 성공할 수 있습니다.

PCI-DSS 규정 준수 문서를 유지하기 위한 공식 모범 사례는 보안 인식, 개발자 요구 및 다음과 같은 적절한 교육에 대한 몇 가지 직접적인 개념을 자세히 설명합니다.

 

저작권 © 2006 - 2020 PCI 보안 표준 위원회,LLC. 모든 권리보유.


이를 통해 개발자를 필요한 기술로 무장시키는 데 필요한 구체적인 심층 교육에 대한 통찰력을 제공하지만, 다른 기술보다 더 효과적인 특정 유형의 교육 솔루션을 가리키지는 않습니다. 개발자를 위한 PCI-DSS 가이드는 OWASP Top 10을 가장 일반적인 취약점과 일부 인증 프로그램을 찾아 해결하는 학습을 위한 하나의 벤치마크로 식별하여 좀 더 직접적으로 가져옵니다.

하지만... 여기에 문지르기입니다. 다양한 작업장 교육 및 규정 준수 이니셔티브에서 알 수 있듯이 품질과 미래의 성공에 따라 크게 달라질 수 있습니다. 그리고 개발자의 경우, 많은 보안 코딩 교육 프로그램은 우리의 요구, 작업 방법 또는 의미 있는 용량의 일상적인 작업을 충족시키지 못하는 것 같습니다. 이 시나리오에서는 모든 교육이 동일하게 만들어지는 것은 아니며 모든 교육이 더 안전한 소프트웨어가 발생하는 것은 아닙니다. 이것은 물론, 원하는 결과의 정반대이며, 자신의 작업의 스트레스를 크게 줄이지 않습니다. 부담을 줄이고 일반적인 취약점이 잠재적 인 재해를 일으키는 것을 막으려면 다리를 만들어야합니다.

보안 기술 격차를 엔지니어링 관리자와 연결

엔지니어링 관리자와 직접 협력하여 목적에 맞는 솔루션을 찾았지만 실제로 이를 수행해야 하는 사람들이 수용하는 것은 긍정적인 보안 결과에 대한 빠른 경로입니다. 그들은 자신의 팀에 대한 더 즉각적인 통찰력을 가질 것이며, 이전에 규정 준수 교육을 어렵게 만든 모든 차단제에게 이야기 할 수 있습니다 (좋은 경험이 아닌 것 이외에, 대부분의 시간).

교실 기반 교육, 주문형 비디오 및 일회성, 체크 더 박스 운동은 현재의 체류를 매우 어렵게 만듭니다. 이러한 솔루션은 끊임없이 변화하는 사이버 보안 산업인 환경에 보조를 맞추 지 못하는 정적 솔루션입니다. 궁극적으로 엔지니어링 관리자는 시간 약정에 대한 가치를 보고 싶어하며, 모든 사람의 공유 목표를 충족하기 위해 작업하는 실행 가능한 옵션인 보다 안전하고 준수하는 코드를 제공하는 것이 중요합니다.

그렇다면 좋은 훈련은 어떤 모습일까요? 정보의 큰, 일회성 조회수를 통해 안전하게 코딩하는 방법을 학습하는 것은 거의 의미가 없습니다. 한입 크기의 점진적 학습 프로세스를 통해 문맥에서 기억하고 적용하는 것이 훨씬 쉬워지며, 매일 사용되는 언어와 프레임워크에 있어야 합니다. 개인적으로, 나는 도전을하고 싶어, 나는 내 노력에 대한 목적을보고 싶어 - 우리는 모두 만큼 충분히 바쁘다, 오른쪽?

선택한 솔루션에 따라 위에서 설명한 PCI-DSS 모범 사례를 준수하기 위해 관리자는 서로 다른 패치워크를 함께 꿰매어야 할 수도 있습니다. courses 비즈니스 전반에 걸쳐 사용되는 모든 언어와 프레임워크를 다루기 위해 AppSec 및 규정 준수 팀이 소프트웨어의 보안 및 취약성 감소에 영향을 미치는 것으로 평가하기가 어렵지 는 않습니다. 빠른 결과를 쫓는 잘못된 옵션으로 돌진하는 대신 올바른 핏을 찾기 위해 함께 노력하십시오. 그렇지 않으면 프랑켄슈타인 교육 솔루션으로 끝날 수 있습니다... 그리고 그것은 매우 무서운 보인다.

이 PCI-DSS 미니 시리즈의 일부를 체크 아웃 주셔서 감사합니다. 마지막 장에서는 CISO와 CTO가 이러한 문화 혁신을 돕고, 팀을 활성화하고, 보안 최전선 "개발자 코호트"가 PCI-DSS 인식 및 규정 준수를 사용할 수 있는 방법에 대해 논의합니다.

리소스 보기
리소스 보기

이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.

더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
마티아스 마두, Ph.
게시일: 2020년 4월 16일

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.

"규정 준수"라는 단어는 그리 흥미롭지 않습니다. 그것은 공식, 건조, 지시문입니다 ... 심지어 그 톤에 조금 제한. 색이 있다면 베이지색이 될 것입니다. 그리고, 음, 그것은 창조적 인 환경이나 혁신의 어떤 종류와 확률에 보인다.

개발자로서, "준수하는 것은 일반적으로 몇 가지 지침을 읽거나 프리젠 테이션을보는 것을 의미 (수직으로), 코딩 기능으로 돌아가고객이 사용하고 사랑 할 소프트웨어를 만드는 데 집중하기 전에. 모든 사람은 현재 할 수 있는 것을 유지하며(항상 옳은 일을 하려고 노력함) 규정 준수 지침( 특히 주변 보안 모범 사례)은 일반적으로 개발자와 함께 타겟 대상으로 작성되지 않으며 필요한 작업은 불분명할 수 있습니다. 이 시나리오에서는 현재 목표를 가지고 작업하는 것이 너무 쉽습니다.

문제는 보안 소프트웨어 개발이 더 이상 어떤 회사에서도 "가지고 있는 것이 좋은 것"이 아닙니다. 그것은 모든 조직에서 (또는해야) 마음의 앞에 ... 그리고 그것은 민감한 고객 정보의 광대 한 금액을 보유하고 있다면, 그 회사는 사이버 공격에 관해서 따기에 대 한 익은. 개발자는 먼저 코드에 대해 실습해야 하며, 따라서 보안 규정 준수 조치에 팀의 나머지 부분과 마찬가지로 참여해야 합니다.

하지만, 기다려... 내 말을 들어. 그렇다고 모든 사람이 경직되고 창의성이 없는 개발 및 소프트웨어 결과의 노예가 되어야 한다는 것을 의미하지는 않습니다. 이는 비즈니스가 더 높은 수준의 코드를 함께 만들 수 있는 기회와 능력을 가지고 있습니다. 지금까지 너무 느리게, 세계는 사실을 따라 잡기, 지금까지, 개발자는 보안을 우선 순위로 만들기 위해 자신의 처분에 정확히 올바른 도구를 가지고 있지 않은 (그리고 사일로 보안 전문가는 혼자 책임을 감당할 수 없습니다). 그러나 업계가 보안을 공유하는 데브세옵스의 미래를 향해 나아가면서 성공을 위해 설정할 때 반복되는 취약점의 흐름을 막을 수 있습니다.

PCI-DSS 지침은 카드 결제 게이트웨이에 대한 온라인 보안 규정 준수를 포함합니다- 우리 대부분이 정기적으로 사용하는 서비스입니다. 이러한 지침은 전 세계적으로 적용 가능하며, 실제로 개발자가 전자 상거래 비즈니스의 여러 측면에 걸쳐 여러 규정 준수 문서와 함께 표준 규정을 유지하기 위해 수행해야 하는 작업을 자세히 설명했습니다.

데이터 유출은 무서운 평판 파괴 위험이 기업이 감당할 수 있는 위험이며 사이버 보안 벤처스가 2021년에 하루에 1일에도달하기 위해 제로 데이 위반을 하는 것으로 나타났습니다.

PCI-DSS 권장 사항과 팀 전체에서 작업할 수 있는 방법을 세분화해 보겠습니다.

이봐, AppSec 및 규정 준수 팀 : 모든 개발자 교육은 동일하게 생성되지 않습니다

대규모(또는 소규모) 조직의 개발자는 실무 수행 에 대한 교육에 많은 입력을 하는 경우는 거의 없습니다. 스타 직원을 유지하기 위해 일부 회사는 포괄적 인 프로그램을 제공하지만, 이들은 여전히 그들이해야보다 덜 일반적이다. 보안 교육의 필요성은 모든 사람을 지루하게 하지 않고 조직 규정 준수를 시작할 뿐만 아니라 개발 팀과의 서리가 내린 관계를 따뜻하게 할 수 있는 좋은 기회를 제공합니다.

PCI 규정 준수 측면에서, 당신은 그들의 지침이 지불 게이트웨이를 실행하는 모든 소프트웨어에서 기대하는 결과에 대한 구체적임을 알 수 있습니다; 다른 목표 들 중, 그들은 응용 프로그램 강화 (악성 코드 주입 또는 변조를 방해 하는 데 중요 한), 최소 권한 제어 및 일반적인 취약점의 본격적인 인식... 최소한. 카드 소지자 데이터로 작업하는 모든 직원은 적절하게 교육을 받아야 하며 개발자의 경우 교육이 프로세스 시작부터 보안 코드를 작성하는 데 성공할 수 있습니다.

PCI-DSS 규정 준수 문서를 유지하기 위한 공식 모범 사례는 보안 인식, 개발자 요구 및 다음과 같은 적절한 교육에 대한 몇 가지 직접적인 개념을 자세히 설명합니다.

 

저작권 © 2006 - 2020 PCI 보안 표준 위원회,LLC. 모든 권리보유.


이를 통해 개발자를 필요한 기술로 무장시키는 데 필요한 구체적인 심층 교육에 대한 통찰력을 제공하지만, 다른 기술보다 더 효과적인 특정 유형의 교육 솔루션을 가리키지는 않습니다. 개발자를 위한 PCI-DSS 가이드는 OWASP Top 10을 가장 일반적인 취약점과 일부 인증 프로그램을 찾아 해결하는 학습을 위한 하나의 벤치마크로 식별하여 좀 더 직접적으로 가져옵니다.

하지만... 여기에 문지르기입니다. 다양한 작업장 교육 및 규정 준수 이니셔티브에서 알 수 있듯이 품질과 미래의 성공에 따라 크게 달라질 수 있습니다. 그리고 개발자의 경우, 많은 보안 코딩 교육 프로그램은 우리의 요구, 작업 방법 또는 의미 있는 용량의 일상적인 작업을 충족시키지 못하는 것 같습니다. 이 시나리오에서는 모든 교육이 동일하게 만들어지는 것은 아니며 모든 교육이 더 안전한 소프트웨어가 발생하는 것은 아닙니다. 이것은 물론, 원하는 결과의 정반대이며, 자신의 작업의 스트레스를 크게 줄이지 않습니다. 부담을 줄이고 일반적인 취약점이 잠재적 인 재해를 일으키는 것을 막으려면 다리를 만들어야합니다.

보안 기술 격차를 엔지니어링 관리자와 연결

엔지니어링 관리자와 직접 협력하여 목적에 맞는 솔루션을 찾았지만 실제로 이를 수행해야 하는 사람들이 수용하는 것은 긍정적인 보안 결과에 대한 빠른 경로입니다. 그들은 자신의 팀에 대한 더 즉각적인 통찰력을 가질 것이며, 이전에 규정 준수 교육을 어렵게 만든 모든 차단제에게 이야기 할 수 있습니다 (좋은 경험이 아닌 것 이외에, 대부분의 시간).

교실 기반 교육, 주문형 비디오 및 일회성, 체크 더 박스 운동은 현재의 체류를 매우 어렵게 만듭니다. 이러한 솔루션은 끊임없이 변화하는 사이버 보안 산업인 환경에 보조를 맞추 지 못하는 정적 솔루션입니다. 궁극적으로 엔지니어링 관리자는 시간 약정에 대한 가치를 보고 싶어하며, 모든 사람의 공유 목표를 충족하기 위해 작업하는 실행 가능한 옵션인 보다 안전하고 준수하는 코드를 제공하는 것이 중요합니다.

그렇다면 좋은 훈련은 어떤 모습일까요? 정보의 큰, 일회성 조회수를 통해 안전하게 코딩하는 방법을 학습하는 것은 거의 의미가 없습니다. 한입 크기의 점진적 학습 프로세스를 통해 문맥에서 기억하고 적용하는 것이 훨씬 쉬워지며, 매일 사용되는 언어와 프레임워크에 있어야 합니다. 개인적으로, 나는 도전을하고 싶어, 나는 내 노력에 대한 목적을보고 싶어 - 우리는 모두 만큼 충분히 바쁘다, 오른쪽?

선택한 솔루션에 따라 위에서 설명한 PCI-DSS 모범 사례를 준수하기 위해 관리자는 서로 다른 패치워크를 함께 꿰매어야 할 수도 있습니다. courses 비즈니스 전반에 걸쳐 사용되는 모든 언어와 프레임워크를 다루기 위해 AppSec 및 규정 준수 팀이 소프트웨어의 보안 및 취약성 감소에 영향을 미치는 것으로 평가하기가 어렵지 는 않습니다. 빠른 결과를 쫓는 잘못된 옵션으로 돌진하는 대신 올바른 핏을 찾기 위해 함께 노력하십시오. 그렇지 않으면 프랑켄슈타인 교육 솔루션으로 끝날 수 있습니다... 그리고 그것은 매우 무서운 보인다.

이 PCI-DSS 미니 시리즈의 일부를 체크 아웃 주셔서 감사합니다. 마지막 장에서는 CISO와 CTO가 이러한 문화 혁신을 돕고, 팀을 활성화하고, 보안 최전선 "개발자 코호트"가 PCI-DSS 인식 및 규정 준수를 사용할 수 있는 방법에 대해 논의합니다.

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.

"규정 준수"라는 단어는 그리 흥미롭지 않습니다. 그것은 공식, 건조, 지시문입니다 ... 심지어 그 톤에 조금 제한. 색이 있다면 베이지색이 될 것입니다. 그리고, 음, 그것은 창조적 인 환경이나 혁신의 어떤 종류와 확률에 보인다.

개발자로서, "준수하는 것은 일반적으로 몇 가지 지침을 읽거나 프리젠 테이션을보는 것을 의미 (수직으로), 코딩 기능으로 돌아가고객이 사용하고 사랑 할 소프트웨어를 만드는 데 집중하기 전에. 모든 사람은 현재 할 수 있는 것을 유지하며(항상 옳은 일을 하려고 노력함) 규정 준수 지침( 특히 주변 보안 모범 사례)은 일반적으로 개발자와 함께 타겟 대상으로 작성되지 않으며 필요한 작업은 불분명할 수 있습니다. 이 시나리오에서는 현재 목표를 가지고 작업하는 것이 너무 쉽습니다.

문제는 보안 소프트웨어 개발이 더 이상 어떤 회사에서도 "가지고 있는 것이 좋은 것"이 아닙니다. 그것은 모든 조직에서 (또는해야) 마음의 앞에 ... 그리고 그것은 민감한 고객 정보의 광대 한 금액을 보유하고 있다면, 그 회사는 사이버 공격에 관해서 따기에 대 한 익은. 개발자는 먼저 코드에 대해 실습해야 하며, 따라서 보안 규정 준수 조치에 팀의 나머지 부분과 마찬가지로 참여해야 합니다.

하지만, 기다려... 내 말을 들어. 그렇다고 모든 사람이 경직되고 창의성이 없는 개발 및 소프트웨어 결과의 노예가 되어야 한다는 것을 의미하지는 않습니다. 이는 비즈니스가 더 높은 수준의 코드를 함께 만들 수 있는 기회와 능력을 가지고 있습니다. 지금까지 너무 느리게, 세계는 사실을 따라 잡기, 지금까지, 개발자는 보안을 우선 순위로 만들기 위해 자신의 처분에 정확히 올바른 도구를 가지고 있지 않은 (그리고 사일로 보안 전문가는 혼자 책임을 감당할 수 없습니다). 그러나 업계가 보안을 공유하는 데브세옵스의 미래를 향해 나아가면서 성공을 위해 설정할 때 반복되는 취약점의 흐름을 막을 수 있습니다.

PCI-DSS 지침은 카드 결제 게이트웨이에 대한 온라인 보안 규정 준수를 포함합니다- 우리 대부분이 정기적으로 사용하는 서비스입니다. 이러한 지침은 전 세계적으로 적용 가능하며, 실제로 개발자가 전자 상거래 비즈니스의 여러 측면에 걸쳐 여러 규정 준수 문서와 함께 표준 규정을 유지하기 위해 수행해야 하는 작업을 자세히 설명했습니다.

데이터 유출은 무서운 평판 파괴 위험이 기업이 감당할 수 있는 위험이며 사이버 보안 벤처스가 2021년에 하루에 1일에도달하기 위해 제로 데이 위반을 하는 것으로 나타났습니다.

PCI-DSS 권장 사항과 팀 전체에서 작업할 수 있는 방법을 세분화해 보겠습니다.

이봐, AppSec 및 규정 준수 팀 : 모든 개발자 교육은 동일하게 생성되지 않습니다

대규모(또는 소규모) 조직의 개발자는 실무 수행 에 대한 교육에 많은 입력을 하는 경우는 거의 없습니다. 스타 직원을 유지하기 위해 일부 회사는 포괄적 인 프로그램을 제공하지만, 이들은 여전히 그들이해야보다 덜 일반적이다. 보안 교육의 필요성은 모든 사람을 지루하게 하지 않고 조직 규정 준수를 시작할 뿐만 아니라 개발 팀과의 서리가 내린 관계를 따뜻하게 할 수 있는 좋은 기회를 제공합니다.

PCI 규정 준수 측면에서, 당신은 그들의 지침이 지불 게이트웨이를 실행하는 모든 소프트웨어에서 기대하는 결과에 대한 구체적임을 알 수 있습니다; 다른 목표 들 중, 그들은 응용 프로그램 강화 (악성 코드 주입 또는 변조를 방해 하는 데 중요 한), 최소 권한 제어 및 일반적인 취약점의 본격적인 인식... 최소한. 카드 소지자 데이터로 작업하는 모든 직원은 적절하게 교육을 받아야 하며 개발자의 경우 교육이 프로세스 시작부터 보안 코드를 작성하는 데 성공할 수 있습니다.

PCI-DSS 규정 준수 문서를 유지하기 위한 공식 모범 사례는 보안 인식, 개발자 요구 및 다음과 같은 적절한 교육에 대한 몇 가지 직접적인 개념을 자세히 설명합니다.

 

저작권 © 2006 - 2020 PCI 보안 표준 위원회,LLC. 모든 권리보유.


이를 통해 개발자를 필요한 기술로 무장시키는 데 필요한 구체적인 심층 교육에 대한 통찰력을 제공하지만, 다른 기술보다 더 효과적인 특정 유형의 교육 솔루션을 가리키지는 않습니다. 개발자를 위한 PCI-DSS 가이드는 OWASP Top 10을 가장 일반적인 취약점과 일부 인증 프로그램을 찾아 해결하는 학습을 위한 하나의 벤치마크로 식별하여 좀 더 직접적으로 가져옵니다.

하지만... 여기에 문지르기입니다. 다양한 작업장 교육 및 규정 준수 이니셔티브에서 알 수 있듯이 품질과 미래의 성공에 따라 크게 달라질 수 있습니다. 그리고 개발자의 경우, 많은 보안 코딩 교육 프로그램은 우리의 요구, 작업 방법 또는 의미 있는 용량의 일상적인 작업을 충족시키지 못하는 것 같습니다. 이 시나리오에서는 모든 교육이 동일하게 만들어지는 것은 아니며 모든 교육이 더 안전한 소프트웨어가 발생하는 것은 아닙니다. 이것은 물론, 원하는 결과의 정반대이며, 자신의 작업의 스트레스를 크게 줄이지 않습니다. 부담을 줄이고 일반적인 취약점이 잠재적 인 재해를 일으키는 것을 막으려면 다리를 만들어야합니다.

보안 기술 격차를 엔지니어링 관리자와 연결

엔지니어링 관리자와 직접 협력하여 목적에 맞는 솔루션을 찾았지만 실제로 이를 수행해야 하는 사람들이 수용하는 것은 긍정적인 보안 결과에 대한 빠른 경로입니다. 그들은 자신의 팀에 대한 더 즉각적인 통찰력을 가질 것이며, 이전에 규정 준수 교육을 어렵게 만든 모든 차단제에게 이야기 할 수 있습니다 (좋은 경험이 아닌 것 이외에, 대부분의 시간).

교실 기반 교육, 주문형 비디오 및 일회성, 체크 더 박스 운동은 현재의 체류를 매우 어렵게 만듭니다. 이러한 솔루션은 끊임없이 변화하는 사이버 보안 산업인 환경에 보조를 맞추 지 못하는 정적 솔루션입니다. 궁극적으로 엔지니어링 관리자는 시간 약정에 대한 가치를 보고 싶어하며, 모든 사람의 공유 목표를 충족하기 위해 작업하는 실행 가능한 옵션인 보다 안전하고 준수하는 코드를 제공하는 것이 중요합니다.

그렇다면 좋은 훈련은 어떤 모습일까요? 정보의 큰, 일회성 조회수를 통해 안전하게 코딩하는 방법을 학습하는 것은 거의 의미가 없습니다. 한입 크기의 점진적 학습 프로세스를 통해 문맥에서 기억하고 적용하는 것이 훨씬 쉬워지며, 매일 사용되는 언어와 프레임워크에 있어야 합니다. 개인적으로, 나는 도전을하고 싶어, 나는 내 노력에 대한 목적을보고 싶어 - 우리는 모두 만큼 충분히 바쁘다, 오른쪽?

선택한 솔루션에 따라 위에서 설명한 PCI-DSS 모범 사례를 준수하기 위해 관리자는 서로 다른 패치워크를 함께 꿰매어야 할 수도 있습니다. courses 비즈니스 전반에 걸쳐 사용되는 모든 언어와 프레임워크를 다루기 위해 AppSec 및 규정 준수 팀이 소프트웨어의 보안 및 취약성 감소에 영향을 미치는 것으로 평가하기가 어렵지 는 않습니다. 빠른 결과를 쫓는 잘못된 옵션으로 돌진하는 대신 올바른 핏을 찾기 위해 함께 노력하십시오. 그렇지 않으면 프랑켄슈타인 교육 솔루션으로 끝날 수 있습니다... 그리고 그것은 매우 무서운 보인다.

이 PCI-DSS 미니 시리즈의 일부를 체크 아웃 주셔서 감사합니다. 마지막 장에서는 CISO와 CTO가 이러한 문화 혁신을 돕고, 팀을 활성화하고, 보안 최전선 "개발자 코호트"가 PCI-DSS 인식 및 규정 준수를 사용할 수 있는 방법에 대해 논의합니다.

시작

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
마티아스 마두, Ph.
게시일: 2020년 4월 16일

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.

"규정 준수"라는 단어는 그리 흥미롭지 않습니다. 그것은 공식, 건조, 지시문입니다 ... 심지어 그 톤에 조금 제한. 색이 있다면 베이지색이 될 것입니다. 그리고, 음, 그것은 창조적 인 환경이나 혁신의 어떤 종류와 확률에 보인다.

개발자로서, "준수하는 것은 일반적으로 몇 가지 지침을 읽거나 프리젠 테이션을보는 것을 의미 (수직으로), 코딩 기능으로 돌아가고객이 사용하고 사랑 할 소프트웨어를 만드는 데 집중하기 전에. 모든 사람은 현재 할 수 있는 것을 유지하며(항상 옳은 일을 하려고 노력함) 규정 준수 지침( 특히 주변 보안 모범 사례)은 일반적으로 개발자와 함께 타겟 대상으로 작성되지 않으며 필요한 작업은 불분명할 수 있습니다. 이 시나리오에서는 현재 목표를 가지고 작업하는 것이 너무 쉽습니다.

문제는 보안 소프트웨어 개발이 더 이상 어떤 회사에서도 "가지고 있는 것이 좋은 것"이 아닙니다. 그것은 모든 조직에서 (또는해야) 마음의 앞에 ... 그리고 그것은 민감한 고객 정보의 광대 한 금액을 보유하고 있다면, 그 회사는 사이버 공격에 관해서 따기에 대 한 익은. 개발자는 먼저 코드에 대해 실습해야 하며, 따라서 보안 규정 준수 조치에 팀의 나머지 부분과 마찬가지로 참여해야 합니다.

하지만, 기다려... 내 말을 들어. 그렇다고 모든 사람이 경직되고 창의성이 없는 개발 및 소프트웨어 결과의 노예가 되어야 한다는 것을 의미하지는 않습니다. 이는 비즈니스가 더 높은 수준의 코드를 함께 만들 수 있는 기회와 능력을 가지고 있습니다. 지금까지 너무 느리게, 세계는 사실을 따라 잡기, 지금까지, 개발자는 보안을 우선 순위로 만들기 위해 자신의 처분에 정확히 올바른 도구를 가지고 있지 않은 (그리고 사일로 보안 전문가는 혼자 책임을 감당할 수 없습니다). 그러나 업계가 보안을 공유하는 데브세옵스의 미래를 향해 나아가면서 성공을 위해 설정할 때 반복되는 취약점의 흐름을 막을 수 있습니다.

PCI-DSS 지침은 카드 결제 게이트웨이에 대한 온라인 보안 규정 준수를 포함합니다- 우리 대부분이 정기적으로 사용하는 서비스입니다. 이러한 지침은 전 세계적으로 적용 가능하며, 실제로 개발자가 전자 상거래 비즈니스의 여러 측면에 걸쳐 여러 규정 준수 문서와 함께 표준 규정을 유지하기 위해 수행해야 하는 작업을 자세히 설명했습니다.

데이터 유출은 무서운 평판 파괴 위험이 기업이 감당할 수 있는 위험이며 사이버 보안 벤처스가 2021년에 하루에 1일에도달하기 위해 제로 데이 위반을 하는 것으로 나타났습니다.

PCI-DSS 권장 사항과 팀 전체에서 작업할 수 있는 방법을 세분화해 보겠습니다.

이봐, AppSec 및 규정 준수 팀 : 모든 개발자 교육은 동일하게 생성되지 않습니다

대규모(또는 소규모) 조직의 개발자는 실무 수행 에 대한 교육에 많은 입력을 하는 경우는 거의 없습니다. 스타 직원을 유지하기 위해 일부 회사는 포괄적 인 프로그램을 제공하지만, 이들은 여전히 그들이해야보다 덜 일반적이다. 보안 교육의 필요성은 모든 사람을 지루하게 하지 않고 조직 규정 준수를 시작할 뿐만 아니라 개발 팀과의 서리가 내린 관계를 따뜻하게 할 수 있는 좋은 기회를 제공합니다.

PCI 규정 준수 측면에서, 당신은 그들의 지침이 지불 게이트웨이를 실행하는 모든 소프트웨어에서 기대하는 결과에 대한 구체적임을 알 수 있습니다; 다른 목표 들 중, 그들은 응용 프로그램 강화 (악성 코드 주입 또는 변조를 방해 하는 데 중요 한), 최소 권한 제어 및 일반적인 취약점의 본격적인 인식... 최소한. 카드 소지자 데이터로 작업하는 모든 직원은 적절하게 교육을 받아야 하며 개발자의 경우 교육이 프로세스 시작부터 보안 코드를 작성하는 데 성공할 수 있습니다.

PCI-DSS 규정 준수 문서를 유지하기 위한 공식 모범 사례는 보안 인식, 개발자 요구 및 다음과 같은 적절한 교육에 대한 몇 가지 직접적인 개념을 자세히 설명합니다.

 

저작권 © 2006 - 2020 PCI 보안 표준 위원회,LLC. 모든 권리보유.


이를 통해 개발자를 필요한 기술로 무장시키는 데 필요한 구체적인 심층 교육에 대한 통찰력을 제공하지만, 다른 기술보다 더 효과적인 특정 유형의 교육 솔루션을 가리키지는 않습니다. 개발자를 위한 PCI-DSS 가이드는 OWASP Top 10을 가장 일반적인 취약점과 일부 인증 프로그램을 찾아 해결하는 학습을 위한 하나의 벤치마크로 식별하여 좀 더 직접적으로 가져옵니다.

하지만... 여기에 문지르기입니다. 다양한 작업장 교육 및 규정 준수 이니셔티브에서 알 수 있듯이 품질과 미래의 성공에 따라 크게 달라질 수 있습니다. 그리고 개발자의 경우, 많은 보안 코딩 교육 프로그램은 우리의 요구, 작업 방법 또는 의미 있는 용량의 일상적인 작업을 충족시키지 못하는 것 같습니다. 이 시나리오에서는 모든 교육이 동일하게 만들어지는 것은 아니며 모든 교육이 더 안전한 소프트웨어가 발생하는 것은 아닙니다. 이것은 물론, 원하는 결과의 정반대이며, 자신의 작업의 스트레스를 크게 줄이지 않습니다. 부담을 줄이고 일반적인 취약점이 잠재적 인 재해를 일으키는 것을 막으려면 다리를 만들어야합니다.

보안 기술 격차를 엔지니어링 관리자와 연결

엔지니어링 관리자와 직접 협력하여 목적에 맞는 솔루션을 찾았지만 실제로 이를 수행해야 하는 사람들이 수용하는 것은 긍정적인 보안 결과에 대한 빠른 경로입니다. 그들은 자신의 팀에 대한 더 즉각적인 통찰력을 가질 것이며, 이전에 규정 준수 교육을 어렵게 만든 모든 차단제에게 이야기 할 수 있습니다 (좋은 경험이 아닌 것 이외에, 대부분의 시간).

교실 기반 교육, 주문형 비디오 및 일회성, 체크 더 박스 운동은 현재의 체류를 매우 어렵게 만듭니다. 이러한 솔루션은 끊임없이 변화하는 사이버 보안 산업인 환경에 보조를 맞추 지 못하는 정적 솔루션입니다. 궁극적으로 엔지니어링 관리자는 시간 약정에 대한 가치를 보고 싶어하며, 모든 사람의 공유 목표를 충족하기 위해 작업하는 실행 가능한 옵션인 보다 안전하고 준수하는 코드를 제공하는 것이 중요합니다.

그렇다면 좋은 훈련은 어떤 모습일까요? 정보의 큰, 일회성 조회수를 통해 안전하게 코딩하는 방법을 학습하는 것은 거의 의미가 없습니다. 한입 크기의 점진적 학습 프로세스를 통해 문맥에서 기억하고 적용하는 것이 훨씬 쉬워지며, 매일 사용되는 언어와 프레임워크에 있어야 합니다. 개인적으로, 나는 도전을하고 싶어, 나는 내 노력에 대한 목적을보고 싶어 - 우리는 모두 만큼 충분히 바쁘다, 오른쪽?

선택한 솔루션에 따라 위에서 설명한 PCI-DSS 모범 사례를 준수하기 위해 관리자는 서로 다른 패치워크를 함께 꿰매어야 할 수도 있습니다. courses 비즈니스 전반에 걸쳐 사용되는 모든 언어와 프레임워크를 다루기 위해 AppSec 및 규정 준수 팀이 소프트웨어의 보안 및 취약성 감소에 영향을 미치는 것으로 평가하기가 어렵지 는 않습니다. 빠른 결과를 쫓는 잘못된 옵션으로 돌진하는 대신 올바른 핏을 찾기 위해 함께 노력하십시오. 그렇지 않으면 프랑켄슈타인 교육 솔루션으로 끝날 수 있습니다... 그리고 그것은 매우 무서운 보인다.

이 PCI-DSS 미니 시리즈의 일부를 체크 아웃 주셔서 감사합니다. 마지막 장에서는 CISO와 CTO가 이러한 문화 혁신을 돕고, 팀을 활성화하고, 보안 최전선 "개발자 코호트"가 PCI-DSS 인식 및 규정 준수를 사용할 수 있는 방법에 대해 논의합니다.

목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물