심층 보안 교육은 교육에 대한 의문을 제기하고 있다.
2015년에 선교 사업을 시작한 이래, 개발자를 위한 재미있고 관련성이 높고 매력적인 보안 코딩 교육을 촉진하는 데 항상 중점을 두어 왔습니다. 우리는 오랫동안 개발자에게 보안 모범 사례를 이해하는 지식과 도구를 제공하는 것의 중요성, 중요한 이유 및 코드가 작성될 때 악성 공격으로부터 소프트웨어를 강화하는 데 어떻게 도움이 되는지 를 인식해 왔습니다.
그러나 보안 교육은 새로운 개념이 아닙니다. 우리는 확실히 이니셔티브와 함께 처음에 도착하지 않았다, 적절한 보안 조치는 오랜 시간 동안 소프트웨어 개발에 고려되었습니다. 물론, 교육의 일부 유형은 다른 사람보다 더 효과적이지만, 일부 보안 교육에 대한 액세스는 특히 오늘, 상대적으로 쉽게 찾을 수 있습니다.
... 그래서 왜 도대체 우리는 너무 많은 데이터 유출을 해야 합니까? 9월 현재 2019년에만 여러 사이버 공격에 40억 개 이상의 기록이 노출되었습니다.
현재 많은 조직이 점점 더 가치 있는 데이터를 안전하게 유지하기 위해 패배하는 싸움을 벌이고 있습니다. 전 세계 CISOs와 CIO에게 "왼쪽으로 이동하는 것"이 여전히 너무 늦었다는 것이 분명해졌습니다. 우리는 SDLC에서 보안왼쪽으로 시작해야하며, 이는 개발자가 코드가 커밋되기 훨씬 전에 결함을 해결하기에 충분한 보안 지식이 있어야합니다.
AppSec 전문가는 보안 지식의 유일한 게이트 키퍼가 될 수 없습니다.
과거에는 소프트웨어 보안이 매우 특별한 영리한 괴짜 무리의 영역이었으며 코드를 작성하는 엔지니어와의 상호 작용이 없었습니다. 안전하지 않은 코드가 하루의 빛을 보는 것을 테스트하고, 깨뜨리고, 중지하는 것이 그들의 임무였습니다. 만약 그들이 교차 경로를 했다면, 그것은 코드의 결함을 지적 하는 보안 전문가의 결과 가능성이 있었다... 뭔가 그 창조를 통해 노예 개발자의 서리가 내린 리셉션과 만날 보장.
오늘로 빨리 감기, 상황은 거의 동일합니다, 지금을 제외하고, 위험에 훨씬 더있다. 우리 삶의 거의 모든 측면은 디지털화됩니다... 소셜 미디어의 사진 앨범, 의료 기록, 은행 및 가장 가치있는 신분증에서 모든 것을 제공합니다. 주로 오프라인, 독립 실행형 소프트웨어 및 운영 체제를 보호하는 것이었습니다. 수십억 줄의 코드에 대한 위협을 방어해야 하는 것은 또 다른 일이며, 수억 명의 사용자가 잠재적으로 위험에 처할 수 있습니다. 한 전문가 그룹이 모든 책임을 짊어지기에는 너무 많은 위험이 있으며, 이것이 우리가 AppSec과 개발 팀 사이의 격차를 해소해야하는 이유입니다. 그들은 함께 일하고, 지식을 공유하고, 하나의 응집력 있는 보안 인식 장치로 작동해야 합니다.
개발자는 의미 있는 방식으로 안전한 코딩 기술을 배울 수 있는 기회를 거의 얻지 못하는 한 가지 문제가 있습니다. 대부분의 고등 교육은 보안 모범 사례에 거의 영향을 하지 않으며, 실무 교육은 품질면에서 격렬하게 다릅니다.
우리가 격일로 엄청난 위반을 보고 있는 것은 놀라운 일이야? AppSec 체크리스트를 다운로드하세요.
"코드 에 대한 라이센스".
우울한 현재의 풍경에도 불구하고, 나는 안보의 미래에 대해 낙관적이다. 공기에 변화가 있고, 나는 지금 심각하게 보안 코딩을 복용 조직의 엄청난 금액에 의해 부표입니다.
개발자가 보안 위험을 완화하기 위해 올바른 도구와 지식에 대한 액세스가 필요하며 데이터 침해와의 싸움에서 보안 인식 문화가 번성하는 것이 중요하다는 것이 점점 더 분명해지고 있습니다. 개발자가 코드가 작성될 때 보안에 대한 책임을 지면 공격자가 간단한 결함을 악용하고 성의 열쇠를 얻는 것은 훨씬 적습니다.
일부 개발자는 다른 개발자보다 보안을 더 잘 알고 있는 경우가 항상 있으며, 이는 조직에 실질적인 도전과제를 제시합니다. 사내 개발 팀은 종종 어느 정도의 교육과 기술 모니터링을 가지고 있지만, 계약자, 프리랜서 및 최근 졸업생을 믹스에 소개할 때 물은 매우 진흙투성이가됩니다. 그들은 보안 사고 방식을 가지고 행동합니까? 수십 년 동안 주변에 있었던 크로스 사이트 스크립팅과 같은 오래된 결함을 성공적으로 피할 수 있습니까? 말하기는 어렵지만 소프트웨어 빌드의 중요한 부분에서 느슨해지는 경우가 많습니다. 저런.
고맙게도, 우리는 개발자를위한 비 협상 표준의 증가를보고있다. 예를 들어 일부 조직에서 사용하고 있습니다. Secure Code Warrior 개발 기술을 평가하고 "코드 에 대한 라이센스"를 발행하는 도구로. 기본적인 보안 코딩 평가를 통과하지 않으면 프로젝트에서 작업할 수 없습니다. 이는 졸업생과 인턴이 보안 기술을 빠르게 유지하면서 동시에 안전하게 코딩하는 데 중요한 의미를 심어주는 데 매우 중요합니다. 결국, 보안은 소프트웨어에 관해서 품질과 동의어가어야합니다.
과외 교육은 대학을 주목하고 있습니다.
보안 코딩에 대한 대화를 변경하는 것은 여기에 기사, 기조 연설보다 더 걸릴 않습니다. 지역 사회 차원의 운동이 되어야 하며, 많은 최상위 조직이 주의를 기울이고 높은 수준의 보안 프로그램을 부러워하는 표준으로 구축하는 것을 보는 것은 대단한 일입니다. 이러한 회사 중 하나는 HSBC입니다, 누구의 강력한 프로그램은 최근 졸업생과 새로운 고용이 가능한 한 빨리 "왼쪽 시작"여행에 보장하고있다. HSBC 인도 기술 아카데미의 머리로, 세카르 바부 타타바르티는 심층 보안 교육필수 를 발견했다 :
"HSBC Technology는개발자 커뮤니티가 은행을 취약점으로부터 보호하기 위해 안전한 코딩의 중요성을 이해하고자 했습니다. 올해 Grads 교육 프로그램에서는 젊은 이들을 사로잡고 각자의 프로젝트에 참여하고 코딩을 시작하기 전에 최고의 보안 코딩 관행을 스스로 배우고 배어 할 수 있는 엄청난 기회라고 생각했습니다.
우리는 Secure Code Warrior 그라드를 위한 훌륭한 게임화 방법을 위한 플랫폼은 우리의 기대를 믿을 수 없었습니다. 우리는 그들 각자가 열정적으로 참여한 것을 기쁘게 생각합니다. tournament 다른 기술로 화이트 벨트 인증을 완료하는 것 외에도"라고 말했다.
HSBC와 같은 더 많은 조직에서는 개발자 수준에서 보안 코딩 기능이 필수적이라고 보고 있습니다. 그리고 이것이 실제로 한 일은 고등 교육 전체에 빛을 비추고 있습니다. CIS와 CIO는 새로 졸업한 엔지니어가 강력한 보안 교육 없이 교육을 완료하는 이유에 대해 의문을 제기하기 시작했습니다.
고등 교육 혁신.
보안 코딩은 고등 차원에서 소프트웨어 엔지니어링의 필수 구성 요소가 되어야 하지만, 일부 대학은 지상에서 부족한 AppSec 전문가의 영역이 아닌 처음부터 개발 프로세스의 일환으로 최고 수준의 교육을 제공하고 보안을 우선 순위를 지정하는 데 앞장서고 있습니다.
호주 퀸즐랜드 대학에서 라이언 코 교수는 사이버 공격의 피할 수없는 공격으로부터 우리를 보호하기 위해 개발자의 다음 물결을 준비하는 데 상당한 진전을 이루고 있습니다.
"대부분의 소프트웨어 취약점은 코딩 단계에서 발생하므로 소스(즉, 프로그래머)에서 이 문제를 해결할 수 있다면 오늘날 CVE 목록에서 반복적으로 발견되는 대부분의 문제를 근절할 수 있을 것입니다. 소프트웨어는 현대 사회 대부분의 삶과 생계에 영향을 미치기 때문에 대학과 교육 기관은 모든 초보 프로그래머에게 안전한 코딩 방법을 가르쳐야 할 도덕적, 사회적 책임이 있습니다."라고 그는 말했습니다.
이것은 표준에서 흥미 진진한 진화입니다 courses , 중요한 보안 인식 및 기술의 방법으로 거의 제공하는 사람들. 그리고, 이것은 하나의 "바이러스"나는 더 확산 상관 없어. 내 기쁨에, 맥쿼리 대학은 또한 보안 우선 사고 방식으로 학생들을 감염, 크리스토프 도체 같은 개인의 노력 덕분에:
"2016년에 시작된 Optus Macquarie 대학 사이버 보안 허브는 호주에서 이러한 종류의 첫 번째 이니셔티브로, 정보 보안, 비즈니스, 범죄학, 정보, 법률 및 심리학 학자들과 업계 및 정부의 사이버 보안 전문가와 연결되었습니다.
우리의 임무는 교육, 연구 및 파트너십을 통해 호주를 사이버 보안 분야의 글로벌 리더로 자리매김하는 것입니다. 이 것의 한 가지 중요한 측면은 2022년에 전 세계적으로 180만 개의 일자리가 채워지지 않을 것이라는 예측과 함께 사이버 보안에서 잘 문서화된 기술 격차를 해결하는 것입니다.
이러한 기술 격차를 해소하려면 기존 인력을 지원하고 재숙련할 뿐만 아니라 차세대 사이버 보안 전문가를 교육하는 다각적인 접근 방식이 필요합니다."
그들의 접근 방식은 부서 간의 격차를 해소하고 번창하는 보안 인식 심장 박동을 만드는 데 도움이되는 높은 참여, 정밀 학습을 제공합니다. 그들은 그들의 전략에 마이크로 러닝을 활용, 보유의 높은 비율로 게임, 한입 크기의 학습 모듈을 제공, 참여 및 반복 플레이. 특히 학생들이 학생들을 창의적으로 참여시킬 수 있게 되어 자랑스럽습니다.
"이 참여의 훌륭한 예는 파트너십입니다. Secure Code warrior . 후 a tournament Secure Code Warrior 2019년 8월 사이버 보안 허브, 우리는 지금 포함을 찾고 있습니다. Secure Code Warrior 특히 보안 응용 프로그램 개발에 대한 새로운 단위에서 커리큘럼에 대한 플랫폼"이라고 크리스토프는 말했다.
맥쿼리 대학교와 퀸즐랜드 대학교와 같은 이니셔티브는 교육 공간에서 보안 코딩을 개척하고 있습니다. AppSec 전문가, 개발자 및 더 넓은 보안 커뮤니티로서의 우리의 목표는 우리가 하는 모든 일로 보안을 구우고 왼쪽을 시작하기 위한 우리의 노력을 계속하는 것입니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
시작할 수 있는 리소스
트러스트 에이전트 기준 Secure Code Warrior
개발자의 보안 코드 지식과 기술을 커밋하는 작업과 연계하여 보안을 강화하도록 설계된 혁신적인 솔루션인 SCW Trust Agent에 대해 알아보세요. 이 솔루션은 조직의 전체 코드 리포지토리에 대한 포괄적인 가시성과 제어 기능을 제공하여 개발자의 보안 코드 프로필과 비교하여 각 커밋을 분석합니다. SCW Trust Agent를 통해 조직은 보안 태세를 강화하고, 개발 수명 주기를 최적화하며, 개발자 중심의 보안을 확장할 수 있습니다.
시작할 수 있는 리소스
.webp)
심층 보안 교육은 교육에 대한 의문을 제기하고 있다.
2015년에 선교 사업을 시작한 이래, 개발자를 위한 재미있고 관련성이 높고 매력적인 보안 코딩 교육을 촉진하는 데 항상 중점을 두어 왔습니다. 우리는 오랫동안 개발자에게 보안 모범 사례를 이해하는 지식과 도구를 제공하는 것의 중요성, 중요한 이유 및 코드가 작성될 때 악성 공격으로부터 소프트웨어를 강화하는 데 어떻게 도움이 되는지 를 인식해 왔습니다.
그러나 보안 교육은 새로운 개념이 아닙니다. 우리는 확실히 이니셔티브와 함께 처음에 도착하지 않았다, 적절한 보안 조치는 오랜 시간 동안 소프트웨어 개발에 고려되었습니다. 물론, 교육의 일부 유형은 다른 사람보다 더 효과적이지만, 일부 보안 교육에 대한 액세스는 특히 오늘, 상대적으로 쉽게 찾을 수 있습니다.
... 그래서 왜 도대체 우리는 너무 많은 데이터 유출을 해야 합니까? 9월 현재 2019년에만 여러 사이버 공격에 40억 개 이상의 기록이 노출되었습니다.
현재 많은 조직이 점점 더 가치 있는 데이터를 안전하게 유지하기 위해 패배하는 싸움을 벌이고 있습니다. 전 세계 CISOs와 CIO에게 "왼쪽으로 이동하는 것"이 여전히 너무 늦었다는 것이 분명해졌습니다. 우리는 SDLC에서 보안왼쪽으로 시작해야하며, 이는 개발자가 코드가 커밋되기 훨씬 전에 결함을 해결하기에 충분한 보안 지식이 있어야합니다.
AppSec 전문가는 보안 지식의 유일한 게이트 키퍼가 될 수 없습니다.
과거에는 소프트웨어 보안이 매우 특별한 영리한 괴짜 무리의 영역이었으며 코드를 작성하는 엔지니어와의 상호 작용이 없었습니다. 안전하지 않은 코드가 하루의 빛을 보는 것을 테스트하고, 깨뜨리고, 중지하는 것이 그들의 임무였습니다. 만약 그들이 교차 경로를 했다면, 그것은 코드의 결함을 지적 하는 보안 전문가의 결과 가능성이 있었다... 뭔가 그 창조를 통해 노예 개발자의 서리가 내린 리셉션과 만날 보장.
오늘로 빨리 감기, 상황은 거의 동일합니다, 지금을 제외하고, 위험에 훨씬 더있다. 우리 삶의 거의 모든 측면은 디지털화됩니다... 소셜 미디어의 사진 앨범, 의료 기록, 은행 및 가장 가치있는 신분증에서 모든 것을 제공합니다. 주로 오프라인, 독립 실행형 소프트웨어 및 운영 체제를 보호하는 것이었습니다. 수십억 줄의 코드에 대한 위협을 방어해야 하는 것은 또 다른 일이며, 수억 명의 사용자가 잠재적으로 위험에 처할 수 있습니다. 한 전문가 그룹이 모든 책임을 짊어지기에는 너무 많은 위험이 있으며, 이것이 우리가 AppSec과 개발 팀 사이의 격차를 해소해야하는 이유입니다. 그들은 함께 일하고, 지식을 공유하고, 하나의 응집력 있는 보안 인식 장치로 작동해야 합니다.
개발자는 의미 있는 방식으로 안전한 코딩 기술을 배울 수 있는 기회를 거의 얻지 못하는 한 가지 문제가 있습니다. 대부분의 고등 교육은 보안 모범 사례에 거의 영향을 하지 않으며, 실무 교육은 품질면에서 격렬하게 다릅니다.
우리가 격일로 엄청난 위반을 보고 있는 것은 놀라운 일이야? AppSec 체크리스트를 다운로드하세요.
"코드 에 대한 라이센스".
우울한 현재의 풍경에도 불구하고, 나는 안보의 미래에 대해 낙관적이다. 공기에 변화가 있고, 나는 지금 심각하게 보안 코딩을 복용 조직의 엄청난 금액에 의해 부표입니다.
개발자가 보안 위험을 완화하기 위해 올바른 도구와 지식에 대한 액세스가 필요하며 데이터 침해와의 싸움에서 보안 인식 문화가 번성하는 것이 중요하다는 것이 점점 더 분명해지고 있습니다. 개발자가 코드가 작성될 때 보안에 대한 책임을 지면 공격자가 간단한 결함을 악용하고 성의 열쇠를 얻는 것은 훨씬 적습니다.
일부 개발자는 다른 개발자보다 보안을 더 잘 알고 있는 경우가 항상 있으며, 이는 조직에 실질적인 도전과제를 제시합니다. 사내 개발 팀은 종종 어느 정도의 교육과 기술 모니터링을 가지고 있지만, 계약자, 프리랜서 및 최근 졸업생을 믹스에 소개할 때 물은 매우 진흙투성이가됩니다. 그들은 보안 사고 방식을 가지고 행동합니까? 수십 년 동안 주변에 있었던 크로스 사이트 스크립팅과 같은 오래된 결함을 성공적으로 피할 수 있습니까? 말하기는 어렵지만 소프트웨어 빌드의 중요한 부분에서 느슨해지는 경우가 많습니다. 저런.
고맙게도, 우리는 개발자를위한 비 협상 표준의 증가를보고있다. 예를 들어 일부 조직에서 사용하고 있습니다. Secure Code Warrior 개발 기술을 평가하고 "코드 에 대한 라이센스"를 발행하는 도구로. 기본적인 보안 코딩 평가를 통과하지 않으면 프로젝트에서 작업할 수 없습니다. 이는 졸업생과 인턴이 보안 기술을 빠르게 유지하면서 동시에 안전하게 코딩하는 데 중요한 의미를 심어주는 데 매우 중요합니다. 결국, 보안은 소프트웨어에 관해서 품질과 동의어가어야합니다.
과외 교육은 대학을 주목하고 있습니다.
보안 코딩에 대한 대화를 변경하는 것은 여기에 기사, 기조 연설보다 더 걸릴 않습니다. 지역 사회 차원의 운동이 되어야 하며, 많은 최상위 조직이 주의를 기울이고 높은 수준의 보안 프로그램을 부러워하는 표준으로 구축하는 것을 보는 것은 대단한 일입니다. 이러한 회사 중 하나는 HSBC입니다, 누구의 강력한 프로그램은 최근 졸업생과 새로운 고용이 가능한 한 빨리 "왼쪽 시작"여행에 보장하고있다. HSBC 인도 기술 아카데미의 머리로, 세카르 바부 타타바르티는 심층 보안 교육필수 를 발견했다 :
"HSBC Technology는개발자 커뮤니티가 은행을 취약점으로부터 보호하기 위해 안전한 코딩의 중요성을 이해하고자 했습니다. 올해 Grads 교육 프로그램에서는 젊은 이들을 사로잡고 각자의 프로젝트에 참여하고 코딩을 시작하기 전에 최고의 보안 코딩 관행을 스스로 배우고 배어 할 수 있는 엄청난 기회라고 생각했습니다.
우리는 Secure Code Warrior 그라드를 위한 훌륭한 게임화 방법을 위한 플랫폼은 우리의 기대를 믿을 수 없었습니다. 우리는 그들 각자가 열정적으로 참여한 것을 기쁘게 생각합니다. tournament 다른 기술로 화이트 벨트 인증을 완료하는 것 외에도"라고 말했다.
HSBC와 같은 더 많은 조직에서는 개발자 수준에서 보안 코딩 기능이 필수적이라고 보고 있습니다. 그리고 이것이 실제로 한 일은 고등 교육 전체에 빛을 비추고 있습니다. CIS와 CIO는 새로 졸업한 엔지니어가 강력한 보안 교육 없이 교육을 완료하는 이유에 대해 의문을 제기하기 시작했습니다.
고등 교육 혁신.
보안 코딩은 고등 차원에서 소프트웨어 엔지니어링의 필수 구성 요소가 되어야 하지만, 일부 대학은 지상에서 부족한 AppSec 전문가의 영역이 아닌 처음부터 개발 프로세스의 일환으로 최고 수준의 교육을 제공하고 보안을 우선 순위를 지정하는 데 앞장서고 있습니다.
호주 퀸즐랜드 대학에서 라이언 코 교수는 사이버 공격의 피할 수없는 공격으로부터 우리를 보호하기 위해 개발자의 다음 물결을 준비하는 데 상당한 진전을 이루고 있습니다.
"대부분의 소프트웨어 취약점은 코딩 단계에서 발생하므로 소스(즉, 프로그래머)에서 이 문제를 해결할 수 있다면 오늘날 CVE 목록에서 반복적으로 발견되는 대부분의 문제를 근절할 수 있을 것입니다. 소프트웨어는 현대 사회 대부분의 삶과 생계에 영향을 미치기 때문에 대학과 교육 기관은 모든 초보 프로그래머에게 안전한 코딩 방법을 가르쳐야 할 도덕적, 사회적 책임이 있습니다."라고 그는 말했습니다.
이것은 표준에서 흥미 진진한 진화입니다 courses , 중요한 보안 인식 및 기술의 방법으로 거의 제공하는 사람들. 그리고, 이것은 하나의 "바이러스"나는 더 확산 상관 없어. 내 기쁨에, 맥쿼리 대학은 또한 보안 우선 사고 방식으로 학생들을 감염, 크리스토프 도체 같은 개인의 노력 덕분에:
"2016년에 시작된 Optus Macquarie 대학 사이버 보안 허브는 호주에서 이러한 종류의 첫 번째 이니셔티브로, 정보 보안, 비즈니스, 범죄학, 정보, 법률 및 심리학 학자들과 업계 및 정부의 사이버 보안 전문가와 연결되었습니다.
우리의 임무는 교육, 연구 및 파트너십을 통해 호주를 사이버 보안 분야의 글로벌 리더로 자리매김하는 것입니다. 이 것의 한 가지 중요한 측면은 2022년에 전 세계적으로 180만 개의 일자리가 채워지지 않을 것이라는 예측과 함께 사이버 보안에서 잘 문서화된 기술 격차를 해결하는 것입니다.
이러한 기술 격차를 해소하려면 기존 인력을 지원하고 재숙련할 뿐만 아니라 차세대 사이버 보안 전문가를 교육하는 다각적인 접근 방식이 필요합니다."
그들의 접근 방식은 부서 간의 격차를 해소하고 번창하는 보안 인식 심장 박동을 만드는 데 도움이되는 높은 참여, 정밀 학습을 제공합니다. 그들은 그들의 전략에 마이크로 러닝을 활용, 보유의 높은 비율로 게임, 한입 크기의 학습 모듈을 제공, 참여 및 반복 플레이. 특히 학생들이 학생들을 창의적으로 참여시킬 수 있게 되어 자랑스럽습니다.
"이 참여의 훌륭한 예는 파트너십입니다. Secure Code warrior . 후 a tournament Secure Code Warrior 2019년 8월 사이버 보안 허브, 우리는 지금 포함을 찾고 있습니다. Secure Code Warrior 특히 보안 응용 프로그램 개발에 대한 새로운 단위에서 커리큘럼에 대한 플랫폼"이라고 크리스토프는 말했다.
맥쿼리 대학교와 퀸즐랜드 대학교와 같은 이니셔티브는 교육 공간에서 보안 코딩을 개척하고 있습니다. AppSec 전문가, 개발자 및 더 넓은 보안 커뮤니티로서의 우리의 목표는 우리가 하는 모든 일로 보안을 구우고 왼쪽을 시작하기 위한 우리의 노력을 계속하는 것입니다.
