상황에 맞는 실습 학습: 보안을 위해 뇌를 훈련하는 과급된 방법
죄송합니다, 나쁜 소식을 전달해야 해요.
전통적인 훈련은 죽었다.
글쎄, 좋아, 그것은 아니에요 ... 그러나 그것은 아마해야한다. 몇 번이고, 연구에 따르면 교실에 있는 많은 사람들이 새로운 것을 배우고, 규정 준수 작업을 시작하거나, 재교육을 받는 것은 사람들이 교육을 받는 가장 비효율적인 방법 중 하나입니다. 그리고 기업 교육에 관해서, 그 통계는 개선되지 않습니다. 하버드 비즈니스 리뷰는 대기업의 신입 사원을 위한 교실 교육의 효과에 대한 연구를 발표했으며, 이 학습 방법은 신입 사원을 최고 속도와 생산성을 높이기 위해 평균 8~12개월이 걸렸다는 것을 발견했습니다. 그것은 완전히 사람의 기술을 활용하는 매우 긴 시간입니다 (그리고 당신이 새로운 고용인 경우, 편안하게 하기 위해 오랜 시간). 요즘, 대부분의 장소는 그런 종류의 시간이 없습니다; 필연적으로, 모서리가 잘려, 사람들은 그들이 필요로하는 교육을받지 못하고 회사는 훨씬 더 빨리 달성 할 수있는 많은 가치를 잃는다.
많은 장소가 여전히 교실, 마른 교과서 및 마음을 마비시키는 비디오 교육에 의존하여 회사 모범 사례 또는 새로운 이니셔티브로 최고의 밝은 비디오 교육을 받는데, 특히 문맥 교육이 훨씬 더 좋고 매력적이며 더 가치있는 방법이 있을 때 더욱 이면에는 마음이 뒤흔들립니다. 알고 보니, 우리는 새로운 아이디어와 프로세스를 실습할 때 정보를 유지하는 데 더 잘 어울립니다.
지금, 그것은 개발자에 관해서 ... 우리는 특별한 무리입니다. 개발자로서의 경험에서 전통적인 교육은 제 세계를 정확히 불붙지 않습니다. Devs는 교실에서 강의하는 것보다 도구를 사용하는 창의적이고 수완이 풍부한 문제 해결사이거나 새로운 정보를 배우려고 할 때 말하는 머리의 끝없는 비디오 앞에 앉아있는 경향이 있습니다. 특히 보안 교육을 보면 개발자가 코드의 일반적인 취약점을 해결하지 못하고 있으며 AppSec 전문가가 동일한 쉽게 수정된 문제에 직면할 때 머리카락을 찢어 버리는 등 현재 환경에서 명확한 연결이 끊어지는 것으로 보입니다. 이러한 팀 간의 관계는 긴장되고 개발자는 안전한 개발 모범 사례에 계속 참여할 수 있는 적절한 도구와 교육을 받지 않습니다. 그들의 주요 목적은 기능 구축이지만 모든 회사에서 사이버 위험이 급속히 증가함에 따라 보안 지식을 더 이상 무시하고 우선 순위를 바울 여유가 없습니다.
그리고 가장 좋은 부분은? 개발자가 보안 에 대해 알고 있는 경우 이러한 일반적인 취약점이 사라지기 시작합니다. 위험은 후반 단계 버그를 해결하는 비용과 함께 감소됩니다 (그리고 AppSec은 소수에 의해 머리를 잃는 것을 멈춥니다).
그렇다면 상황에 맞는 교육을 통해 개발자를 참여시키는 것은 정확히 어떤 모습일까요?
실제 예는 터무니없이 강력합니다.
우리 모두가 YouTube에서 동영상을 보면서 운전하는 법을 배워야했다고 상상해보십시오. 자동차가 어떻게 작동하는지에 대한 일반적인 아이디어와 도로를 따라 움직이기 시작한 일련의 이벤트에 대한 일반적인 아이디어를 얻을 수 있지만, 자동차를 타고 직접 시도할 때까지 운전을 잘 배우는 것은 사실상 불가능할 것입니다.
문맥 교육은 학생이 가르치는 모든 것을 운전석에 앉히기 때문에 매우 중요합니다. 무언가에 대한 실제 맥락이 있을 때, 학습은 훨씬 더 매력적이고 의미있게 만듭니다.
보안 코딩을 살펴보면 누구나 비디오를 통해 앉아서 SQL 주입의 기본을 이해할 수 있지만 기한이 다가오고 기능 배달이 우선적으로 수행될 때 실제로 문제를 해결하는 핵심은 쉽게 잊어버릴 수 있습니다. 그러나 실제 코드 예제를 검토하고 주입을 식별하고 교육 연습의 일부로 수정할 수 있는 경우 단방향 정보를 유지하려는 것보다 개발자의 일업무에 훨씬 더 적용됩니다. 또한 개발자가 일반적으로 쓰는 것과 유사한 코드를 볼 경우 일어서서 주의를 기울이는 것이 개발자에게도 더 공감할 수 있습니다.
에 Secure Code Warrior 플랫폼은 보안 코드 교육을 통해 여러 언어와 프레임워크에서 다양한 문제를 해결했습니다. 이 시스템은 반복 플레이를 장려하고 가장 중요한 것은, 즉시 진정한 상황 학습에 적합한 환경을 제공하기 위해 사용자 정의 할 수 있습니다.
가장 유용할 때 지식 제공
문맥 학습 이론에 따르면, 효과적인 학습은 학생들이 자신의 개별 참조 프레임 내에서 자신에게 의미가 있는 방식으로 새로운 정보 나 지식을 처리 할 때만 발생합니다.
개발자가 버그 현상금 프로그램, SAST 도구 또는 버그 추적 소프트웨어에서 보안 취약점 목록을 수신한다고 가정해 보십시오. 그들은 당황 할 수 있습니다 - 심지어 압도 - 그들은 전에 이러한 취약점을 건너 본 적이없는 경우. 더 나쁜 것은 대부분의 보고서는 개발자가 아닌 응용 프로그램 보안 전문가를 위해 설계되었습니다. 보고서의 정보는 구문 분석하기 어렵고 개발자에게 직접 적용되지 않는 일반적인 조언을 포함하는 경우가 많습니다.
최근에는 버그 현상금 프로그램, SAST 도구, 버그 추적 소프트웨어 및 침투 테스트 보고서의 취약점에 대한 실습 교육에 직접 딥 링크 기능을 추가했습니다. 개발자는 기본 사항을 즉시 이해하고 특정 프레임워크에 적합한 코딩 레시피를 배울 수 있습니다.
이러한 방식으로 학습하면 개발자가 가장 관련성이 있을 때 개념에 대한 지식과 교육을 받고 있으며 장기적으로 해당 정보를 보유할 가능성이 훨씬 높습니다.
더 빠른 결과, 적은 혼란, 행복한 야영자.
모든 교육을 통해 일상 활동과 즉각적인 맥락은 작업에 일반적인 것을 적용하려는 것보다 훨씬 더 강력할 것입니다. 당신은 "학습 모드"에 적은 시간을 보내고, 또는 더 나쁜 - 당신이 뭔가에 대한 대답이 필요할 때 이미 "배운"일을 통해 돌아갈 필요.
문맥 교육의 원리 중 하나는 교육의 각 구성 요소가 이전 구성 요소에 추가되도록 지식을 구축 할 수있는 능력입니다, 참가자에게 숙달의 경로를 제공하는 단계별 프로세스를 허용. 다시 말하지만, 이것은 가라데 도장에서 찾을 수있는 것과 유사한 벨트 시스템으로 플랫폼에서 지원하는 것입니다. 모두가 탐낼 검은 벨트로 진행하기 전에, 흰색 벨트를 시작, 또는, "보안 챔피언" 훈련의 필요한 시간에 넣어 후 수준 tournament 참여. 그것은 실제 가치와 실용적인 응용 프로그램과 재미있는 접근 방식입니다.
최고의 인재를 유지하고 보안을 유지하려면? 그들에게 성공할 수있는 도구를 제공합니다.
그것은 불행한 현실, 지금, 보안 인식 개발자와 AppSec 전문가 부족 (아직 중요 한) 리소스. 그들은 또한 악명 높은 개최 하기 어렵다.
Cybrary는 2018년에 3,100명의 IT 및 보안 전문가를 대상으로 설문조사를 실시하여 귀중한 직원을 유지하는 데 핵심적인 요소가 교육에 투자하는 것이라고 밝혔습니다. 그들의 연구 결과에 따르면 사내 보안 기술을 육성하기 위한 도구와 교육을 제공하는 기업은 보안 프로를 그렇지 않은 사람보다 60% 더 많이 유지할 수 있었으며, 응답자의 무려 65%가 교육을 실습하는 것을 선호했습니다. 꽤 깔끔한, 응?
그러나, 설문 조사 결과는 다소 놀라운 계시를 제공: 응답자의 80%는 사이버 위협에 대 한 그들의 조직을 방어 하는 적절 한 준비가 느끼지 않는다. 이러한 위협은 사라지지 않으며, 비용이 많이 드는 데이터 유출 및 공격의 증가하는 위험에 대처하기 위한 올바른 교육이 그 어느 때보다 도처에 필요합니다. 그리고, 글쎄, 나는 편견이있을 수 있지만, Secure Code Warrior '의 플랫폼은 긍정적 인 보안 문화를 촉발하는 데 필요한 도구가 될 수 있습니다, 업 스킬과 그들이 사랑하는 컨텍스트 교육개발자를 지원하고 악당으로부터 조직을 보호. 데모를 요청하면 더 많은 데모를 보여 드리겠습니다.
야프 카란 싱
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
상황에 맞는 실습 학습: 보안을 위해 뇌를 훈련하는 과급된 방법
죄송합니다, 나쁜 소식을 전달해야 해요.
전통적인 훈련은 죽었다.
글쎄, 좋아, 그것은 아니에요 ... 그러나 그것은 아마해야한다. 몇 번이고, 연구에 따르면 교실에 있는 많은 사람들이 새로운 것을 배우고, 규정 준수 작업을 시작하거나, 재교육을 받는 것은 사람들이 교육을 받는 가장 비효율적인 방법 중 하나입니다. 그리고 기업 교육에 관해서, 그 통계는 개선되지 않습니다. 하버드 비즈니스 리뷰는 대기업의 신입 사원을 위한 교실 교육의 효과에 대한 연구를 발표했으며, 이 학습 방법은 신입 사원을 최고 속도와 생산성을 높이기 위해 평균 8~12개월이 걸렸다는 것을 발견했습니다. 그것은 완전히 사람의 기술을 활용하는 매우 긴 시간입니다 (그리고 당신이 새로운 고용인 경우, 편안하게 하기 위해 오랜 시간). 요즘, 대부분의 장소는 그런 종류의 시간이 없습니다; 필연적으로, 모서리가 잘려, 사람들은 그들이 필요로하는 교육을받지 못하고 회사는 훨씬 더 빨리 달성 할 수있는 많은 가치를 잃는다.
많은 장소가 여전히 교실, 마른 교과서 및 마음을 마비시키는 비디오 교육에 의존하여 회사 모범 사례 또는 새로운 이니셔티브로 최고의 밝은 비디오 교육을 받는데, 특히 문맥 교육이 훨씬 더 좋고 매력적이며 더 가치있는 방법이 있을 때 더욱 이면에는 마음이 뒤흔들립니다. 알고 보니, 우리는 새로운 아이디어와 프로세스를 실습할 때 정보를 유지하는 데 더 잘 어울립니다.
지금, 그것은 개발자에 관해서 ... 우리는 특별한 무리입니다. 개발자로서의 경험에서 전통적인 교육은 제 세계를 정확히 불붙지 않습니다. Devs는 교실에서 강의하는 것보다 도구를 사용하는 창의적이고 수완이 풍부한 문제 해결사이거나 새로운 정보를 배우려고 할 때 말하는 머리의 끝없는 비디오 앞에 앉아있는 경향이 있습니다. 특히 보안 교육을 보면 개발자가 코드의 일반적인 취약점을 해결하지 못하고 있으며 AppSec 전문가가 동일한 쉽게 수정된 문제에 직면할 때 머리카락을 찢어 버리는 등 현재 환경에서 명확한 연결이 끊어지는 것으로 보입니다. 이러한 팀 간의 관계는 긴장되고 개발자는 안전한 개발 모범 사례에 계속 참여할 수 있는 적절한 도구와 교육을 받지 않습니다. 그들의 주요 목적은 기능 구축이지만 모든 회사에서 사이버 위험이 급속히 증가함에 따라 보안 지식을 더 이상 무시하고 우선 순위를 바울 여유가 없습니다.
그리고 가장 좋은 부분은? 개발자가 보안 에 대해 알고 있는 경우 이러한 일반적인 취약점이 사라지기 시작합니다. 위험은 후반 단계 버그를 해결하는 비용과 함께 감소됩니다 (그리고 AppSec은 소수에 의해 머리를 잃는 것을 멈춥니다).
그렇다면 상황에 맞는 교육을 통해 개발자를 참여시키는 것은 정확히 어떤 모습일까요?
실제 예는 터무니없이 강력합니다.
우리 모두가 YouTube에서 동영상을 보면서 운전하는 법을 배워야했다고 상상해보십시오. 자동차가 어떻게 작동하는지에 대한 일반적인 아이디어와 도로를 따라 움직이기 시작한 일련의 이벤트에 대한 일반적인 아이디어를 얻을 수 있지만, 자동차를 타고 직접 시도할 때까지 운전을 잘 배우는 것은 사실상 불가능할 것입니다.
문맥 교육은 학생이 가르치는 모든 것을 운전석에 앉히기 때문에 매우 중요합니다. 무언가에 대한 실제 맥락이 있을 때, 학습은 훨씬 더 매력적이고 의미있게 만듭니다.
보안 코딩을 살펴보면 누구나 비디오를 통해 앉아서 SQL 주입의 기본을 이해할 수 있지만 기한이 다가오고 기능 배달이 우선적으로 수행될 때 실제로 문제를 해결하는 핵심은 쉽게 잊어버릴 수 있습니다. 그러나 실제 코드 예제를 검토하고 주입을 식별하고 교육 연습의 일부로 수정할 수 있는 경우 단방향 정보를 유지하려는 것보다 개발자의 일업무에 훨씬 더 적용됩니다. 또한 개발자가 일반적으로 쓰는 것과 유사한 코드를 볼 경우 일어서서 주의를 기울이는 것이 개발자에게도 더 공감할 수 있습니다.
에 Secure Code Warrior 플랫폼은 보안 코드 교육을 통해 여러 언어와 프레임워크에서 다양한 문제를 해결했습니다. 이 시스템은 반복 플레이를 장려하고 가장 중요한 것은, 즉시 진정한 상황 학습에 적합한 환경을 제공하기 위해 사용자 정의 할 수 있습니다.
가장 유용할 때 지식 제공
문맥 학습 이론에 따르면, 효과적인 학습은 학생들이 자신의 개별 참조 프레임 내에서 자신에게 의미가 있는 방식으로 새로운 정보 나 지식을 처리 할 때만 발생합니다.
개발자가 버그 현상금 프로그램, SAST 도구 또는 버그 추적 소프트웨어에서 보안 취약점 목록을 수신한다고 가정해 보십시오. 그들은 당황 할 수 있습니다 - 심지어 압도 - 그들은 전에 이러한 취약점을 건너 본 적이없는 경우. 더 나쁜 것은 대부분의 보고서는 개발자가 아닌 응용 프로그램 보안 전문가를 위해 설계되었습니다. 보고서의 정보는 구문 분석하기 어렵고 개발자에게 직접 적용되지 않는 일반적인 조언을 포함하는 경우가 많습니다.
최근에는 버그 현상금 프로그램, SAST 도구, 버그 추적 소프트웨어 및 침투 테스트 보고서의 취약점에 대한 실습 교육에 직접 딥 링크 기능을 추가했습니다. 개발자는 기본 사항을 즉시 이해하고 특정 프레임워크에 적합한 코딩 레시피를 배울 수 있습니다.
이러한 방식으로 학습하면 개발자가 가장 관련성이 있을 때 개념에 대한 지식과 교육을 받고 있으며 장기적으로 해당 정보를 보유할 가능성이 훨씬 높습니다.
더 빠른 결과, 적은 혼란, 행복한 야영자.
모든 교육을 통해 일상 활동과 즉각적인 맥락은 작업에 일반적인 것을 적용하려는 것보다 훨씬 더 강력할 것입니다. 당신은 "학습 모드"에 적은 시간을 보내고, 또는 더 나쁜 - 당신이 뭔가에 대한 대답이 필요할 때 이미 "배운"일을 통해 돌아갈 필요.
문맥 교육의 원리 중 하나는 교육의 각 구성 요소가 이전 구성 요소에 추가되도록 지식을 구축 할 수있는 능력입니다, 참가자에게 숙달의 경로를 제공하는 단계별 프로세스를 허용. 다시 말하지만, 이것은 가라데 도장에서 찾을 수있는 것과 유사한 벨트 시스템으로 플랫폼에서 지원하는 것입니다. 모두가 탐낼 검은 벨트로 진행하기 전에, 흰색 벨트를 시작, 또는, "보안 챔피언" 훈련의 필요한 시간에 넣어 후 수준 tournament 참여. 그것은 실제 가치와 실용적인 응용 프로그램과 재미있는 접근 방식입니다.
최고의 인재를 유지하고 보안을 유지하려면? 그들에게 성공할 수있는 도구를 제공합니다.
그것은 불행한 현실, 지금, 보안 인식 개발자와 AppSec 전문가 부족 (아직 중요 한) 리소스. 그들은 또한 악명 높은 개최 하기 어렵다.
Cybrary는 2018년에 3,100명의 IT 및 보안 전문가를 대상으로 설문조사를 실시하여 귀중한 직원을 유지하는 데 핵심적인 요소가 교육에 투자하는 것이라고 밝혔습니다. 그들의 연구 결과에 따르면 사내 보안 기술을 육성하기 위한 도구와 교육을 제공하는 기업은 보안 프로를 그렇지 않은 사람보다 60% 더 많이 유지할 수 있었으며, 응답자의 무려 65%가 교육을 실습하는 것을 선호했습니다. 꽤 깔끔한, 응?
그러나, 설문 조사 결과는 다소 놀라운 계시를 제공: 응답자의 80%는 사이버 위협에 대 한 그들의 조직을 방어 하는 적절 한 준비가 느끼지 않는다. 이러한 위협은 사라지지 않으며, 비용이 많이 드는 데이터 유출 및 공격의 증가하는 위험에 대처하기 위한 올바른 교육이 그 어느 때보다 도처에 필요합니다. 그리고, 글쎄, 나는 편견이있을 수 있지만, Secure Code Warrior '의 플랫폼은 긍정적 인 보안 문화를 촉발하는 데 필요한 도구가 될 수 있습니다, 업 스킬과 그들이 사랑하는 컨텍스트 교육개발자를 지원하고 악당으로부터 조직을 보호. 데모를 요청하면 더 많은 데모를 보여 드리겠습니다.
