왼쪽으로 이동하는 것만으로는 충분하지 않습니다: 왼쪽을 시작하는 것이 소프트웨어 보안 우수성의 핵심인 이유

게시일: 2020년 3월 25일
작성자: 피터 댄히외
사례 연구

왼쪽으로 이동하는 것만으로는 충분하지 않습니다: 왼쪽을 시작하는 것이 소프트웨어 보안 우수성의 핵심인 이유

게시일: 2020년 3월 25일
작성자: 피터 댄히외
리소스 보기
리소스 보기

디지털 방식으로 주도하는 세상에서 우리는 데이터 도난의 위험이 계속 증가하고 있습니다. 대규모 조직이 우리의 귀중한 정보의 게이트키퍼 역할을 하고 있기 때문에 많은 사람들이 엄격한 보안 표준을 구현해야 할 필요성을 인식하고 있습니다.

"왼쪽으로 이동"에 대한 이니셔티브의 대부분, 즉, 개발 프로세스의 훨씬 일찍 보안을 도입, 단순히 충분히 바늘을 이동하지 않습니다. 우리는 여전히 프로세스를 잘못된 방식으로 시작하고 궁극적으로 더 안전한 소프트웨어의 결과를 달성하기 위해 백페달링된다는 의미가 있습니다. 우리는 개발 팀에 적극적으로 참여하고 현재 부족한 지식으로 무장하는 문화적 변화를 제정하면서 왼쪽으로 시작해야 합니다. 그러나 모든 교육 및 도구는 동일하지 않습니다.

이 문서에서는 보안 인식 및 개발 관리자와 같은 주요 리더가 개발자 집단에 진정으로 권한을 부여하여 비용이 많이 드는 사이버 공격에 대한 방어 최전선으로 전환할 수 있는 방법을 살펴봅니다.

왼쪽으로 이동 vs. 왼쪽 시작: 중요한 구별.

세계에서 가장 신뢰할 수 있는 일부 조직에 영향을 미치는 빈번한 데이터 유출 시대에 회사 리더들은 보안 업계를 통해 성공적인 공격인 금융, 평판 및 쇼스톱 재해를 방지하는 지침을 제공했습니다.

꽤 잠시 동안, AppSec 전문가 (나 자신을 포함)는 우리가 실제로 "왼쪽으로 이동"해야한다고 조언했다. DevOps 모범 사례와 더 나은 소프트웨어 보안 결과에 따라 많은 사람들이 소프트웨어 빌드의 보안 부분이 소프트웨어 개발 수명 주기(SDLC)에서 더 빨리 제공되어야 한다고 조언했습니다. 소프트웨어 프로젝트가 시작되면 AppSec 팀이 조기에 참여하면서 프로세스시작에 더 가까워야 합니다.

이것은 나쁜 조언이 아니며, 그것은 일을하는 오래된 방법보다 확실히 낫다 (도난당한 데이터의 양과 강도에 사용되는 취약점의 나이가 어쨌든 작동하지 않는 경우). 그러나 실제로 떠나기 시작하면 보안 결과는 훨씬 더 긍정적일 것입니다.

왼쪽으로 이동, 왼쪽 시작 ... 차이점은 뭔가요? 차이점은 개발 팀에 참여하는 방식에 있습니다. 진정으로, 그들은 더 안전한 소프트웨어를 제공 하는 열쇠, 나중에 주기 도구 체인 및 수동 코드 검토 관리할 수 있는 보다 훨씬 저렴. 이상적인 세상에서 소프트웨어를 작성하는 모든 개발자는 처음부터 안전하게 코딩할 수 있는 지식과 도구를 갖게 됩니다. 그들은 잠재적 인 결함을 발견 할 것, 그들은 최선을 다하고 전에 그들을 완화 (그리고 지금까지 잡초를 잡초와 수정하는 데 훨씬 더 비싼). 수십 년 동안 우리가 보았던 보안 버그가 급격히 감소할 것입니다 - 여전히 공격자가 뒷문을 통해 들어오도록 허용할 책임이 있습니다. SQL 주입, 사이트 간 스크립팅 및 깨진 인증 의 형태로 이러한 영업 창이 닫힙을 닫습니다.

그러나, 지금, 단순히 직업 수준에서 보안에 충분히 강조되지 않습니다, 그리고 작업 보안 코딩 교육은 격렬하게 다릅니다. 따라서 개발자는 조직이 왼쪽으로 시작할 수 있도록 하는 데 필요한 것이 거의 없습니다. 리더십 직책에 있는 사람들이 함께 일하고 더 광범위한 보안 인식을 옹호할 때, 직접 지식과 개발자와의 접촉은 작동하는 프로그램을 운전하는 데 필수적입니다. 결국, 개발 관리자는 한 때 자신의 위치에 앉아 있었다, 도구에 및 보안 공간은 시간의 가장 좋은 탐색하기 어려운.

개발자는 보안을 사랑하지 않습니다 (아직)... 하지만 대화를 변경할 수 있습니다.

당신은 어떻게 되는지 알고 있습니다 : 일반적인 개발자에게 "보안"을 언급하고, 당신은 기껏해야 눈롤또는 최악의 경우 당황할 가능성이 높습니다. 일반적으로 전체 보안 문제는 다른 사람의 문제로 간주됩니다.

개발자는 기능적이고 혁신적인 기능으로 가득하며 촉박한 프로젝트 타임라인 내에서 제공되는 소프트웨어를 구축하는 데 있어 주요 책임이 있습니다. 보안은 코딩 수준에서 거의 우선 순위가 없으며 신속한 전달과 창의력을 얻기 위한 지루한 차단기로 볼 수도 있습니다. AppSec은 코드, 펜 테스트 및 나쁜 소식을 꼼꼼하게 검사한 다음 나쁜 소식을 보고하는 임무를 맡고 있습니다: 코드에 보안 취약점이 존재하여 종종 이미 커밋된 코드에 존재하고, 그렇지 않으면 매우 잘 작동합니다. 리소스와 시간을 위해 늘어나는 환경에서는 비용이 많이 드는 프로세스로, 설정은 궁극적으로 동일한 목표를 가지고 있지만 완전히 다른 언어를 말하는 두 팀 간의 균열을 야기할 수밖에 없습니다.

지금, 이 기후에서, 필수 보안 교육에 리셉션은 매우 쌀쌀한 될 가능성이 높습니다. 그러나 모든 개발자의 보안 사고 방식을 촉발할 수 있는 힘은 파이프꿈이 아닙니다. 적절한 종류의 교육과 지원을 통해 소프트웨어에 보안을 적용하고 제어할 수 있는 보안 결과에 대한 책임을 지도록 시작할 수 있습니다. 개발자 가 일반적인 버그를 돌볼 수 있다면, 그것은 진정으로 복잡한 문제를 다듬기 위해 고가의 전문가를 확보합니다. 개발 팀을 관리하는 위치에 있다면 이 격차를 해소하고 팀이 이점을 볼 수 있도록 돕는 데 중요한 역할을 할 수 있습니다.

모든 훈련은 동일하지 않습니다.

새로운 것을 배우는 것에 대해 정말 흥분한 마지막 때는 언제인가요? 당신이 했던 시대에, "필수", "준수" 또는 "비디오의 17 시간"과 같은 단어는 아마 마음에 오지 않을 것입니다.

개발자도 마찬가지입니다. 그들은 영리하고 창의적이며 문제를 해결하는 것을 좋아합니다. 보안 취약점에 대한 끝없는 비디오를 시청하는 것은 참여를 유도하거나, 콘텐츠를 기억에 남게 유지하거나, 일상적인 역할과 책임에 따라 다될 가능성은 거의 없습니다. SANS 강사로 내 시간에, 최고의 훈련은 실습, 참가자가 분석하고 지적 적으로 도전하도록 강요, 자신의 두뇌를 테스트하고 사전 학습에 구축 실제 예제를 사용하여 매우 일찍 명백하게되었다. 게임화와 친근한 경쟁은 또한 응용 분야에서 유용하고 실용적인 유지하면서, 새로운 개념으로 모든 사람을 얻을 수있는 강력한 도구입니다.

또 다른 무서운 요인은 많은 보안 교육이 모니터링되지 않는 다는 것입니다. 아무도 빅 브라더가보고있는 것처럼 느끼는 것을 좋아하지 않지만, 아무도 관련이 있는지 여부를 확인하지 않으면 교육에 시간과 돈 및 노력을 소비하는 요점은 무엇입니까?

올바른 솔루션은 안전한 코딩을 재미있고 관련성이 높고 매력적이며 측정할 수 있도록 만들 수 있습니다. 개발자에게 도전하고, 잘 대우하고, 특별한 이벤트로 만드세요. 게임화된 교육은 뇌의 보상 센터를 밝히고 학습을 계속하고 지식 의 경계를 밀어 붙이며 더 높은 수준의 소프트웨어를 구축하는 인센티브를 제공하는 것은 윈 - 윈입니다.

보안 문화 건강 검사: 당신은 인생 suppor t에있습니까?

보안 문화가 열악한 환경에서 안전한 소프트웨어를 만드는 것은 발목에 연결된 바위가 있는 마라톤에서 승리하는 것과 같습니다: 사실상 불가능하고 불필요하게 어렵습니다.

가시교육, 일대일 훈련 tournaments AppSec 및 개발 팀이 서로의 일상 업무에 대한 훨씬 더 많은 통찰력을 얻으면서 개발자가 보안 성장을 지원함으로써 긍정적인 보안 문화를 이끄는 데 엄청난 도움이 됩니다. 더 나은 관계는 성장하고 번성하고, (종종 제한된) 보안 예산은 같은 작고 성가신 버그시간과 시간의 "Groundhog Day'시나리오를 수정에 불타지 않습니다.

또 다른 강력한 부산물도 있습니다: 당신이 알지 못했던 보안 챔피언의 발굴. 모든 사람이 참여하도록 하는 적절한 교육, 또한 철저한 교육 assessment 보안에 대한 적성을 가지고 있을 뿐만 아니라 적극적으로 열정을 드러내는 사람들을 발견할 수 있습니다. 이 챔피언들은 기세를 유지하고 팀 간의 접촉 지점역할을 하고, 동료를 감독하며 모범 사례 정책을 유지하는 데 매우 중요합니다. 인정과 임원 지원을 포함하는 견고한 챔피언 프로그램을 구현하는 것은 조직의 상한선에 깃털뿐만 아니라 개인의 이력서에 강력한 인상을 보고 미래의 경력을 강화하는 것입니다.

긍정적인 보안 문화에 투입할 때 책임은 공유되며 더 많은 수준의 보안 소프트웨어 우수성을 달성할 수 있습니다. 궁극적으로 소프트웨어 개발 수명 주기의 모든 사람은 보안 소프트웨어가 아닌 경우 좋은 소프트웨어가 아닙니다.

단어를 전파합니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

왼쪽으로 이동하는 것만으로는 충분하지 않습니다: 왼쪽을 시작하는 것이 소프트웨어 보안 우수성의 핵심인 이유

게시일: 2020년 3월 25일
By 피터 댄히외

디지털 방식으로 주도하는 세상에서 우리는 데이터 도난의 위험이 계속 증가하고 있습니다. 대규모 조직이 우리의 귀중한 정보의 게이트키퍼 역할을 하고 있기 때문에 많은 사람들이 엄격한 보안 표준을 구현해야 할 필요성을 인식하고 있습니다.

"왼쪽으로 이동"에 대한 이니셔티브의 대부분, 즉, 개발 프로세스의 훨씬 일찍 보안을 도입, 단순히 충분히 바늘을 이동하지 않습니다. 우리는 여전히 프로세스를 잘못된 방식으로 시작하고 궁극적으로 더 안전한 소프트웨어의 결과를 달성하기 위해 백페달링된다는 의미가 있습니다. 우리는 개발 팀에 적극적으로 참여하고 현재 부족한 지식으로 무장하는 문화적 변화를 제정하면서 왼쪽으로 시작해야 합니다. 그러나 모든 교육 및 도구는 동일하지 않습니다.

이 문서에서는 보안 인식 및 개발 관리자와 같은 주요 리더가 개발자 집단에 진정으로 권한을 부여하여 비용이 많이 드는 사이버 공격에 대한 방어 최전선으로 전환할 수 있는 방법을 살펴봅니다.

왼쪽으로 이동 vs. 왼쪽 시작: 중요한 구별.

세계에서 가장 신뢰할 수 있는 일부 조직에 영향을 미치는 빈번한 데이터 유출 시대에 회사 리더들은 보안 업계를 통해 성공적인 공격인 금융, 평판 및 쇼스톱 재해를 방지하는 지침을 제공했습니다.

꽤 잠시 동안, AppSec 전문가 (나 자신을 포함)는 우리가 실제로 "왼쪽으로 이동"해야한다고 조언했다. DevOps 모범 사례와 더 나은 소프트웨어 보안 결과에 따라 많은 사람들이 소프트웨어 빌드의 보안 부분이 소프트웨어 개발 수명 주기(SDLC)에서 더 빨리 제공되어야 한다고 조언했습니다. 소프트웨어 프로젝트가 시작되면 AppSec 팀이 조기에 참여하면서 프로세스시작에 더 가까워야 합니다.

이것은 나쁜 조언이 아니며, 그것은 일을하는 오래된 방법보다 확실히 낫다 (도난당한 데이터의 양과 강도에 사용되는 취약점의 나이가 어쨌든 작동하지 않는 경우). 그러나 실제로 떠나기 시작하면 보안 결과는 훨씬 더 긍정적일 것입니다.

왼쪽으로 이동, 왼쪽 시작 ... 차이점은 뭔가요? 차이점은 개발 팀에 참여하는 방식에 있습니다. 진정으로, 그들은 더 안전한 소프트웨어를 제공 하는 열쇠, 나중에 주기 도구 체인 및 수동 코드 검토 관리할 수 있는 보다 훨씬 저렴. 이상적인 세상에서 소프트웨어를 작성하는 모든 개발자는 처음부터 안전하게 코딩할 수 있는 지식과 도구를 갖게 됩니다. 그들은 잠재적 인 결함을 발견 할 것, 그들은 최선을 다하고 전에 그들을 완화 (그리고 지금까지 잡초를 잡초와 수정하는 데 훨씬 더 비싼). 수십 년 동안 우리가 보았던 보안 버그가 급격히 감소할 것입니다 - 여전히 공격자가 뒷문을 통해 들어오도록 허용할 책임이 있습니다. SQL 주입, 사이트 간 스크립팅 및 깨진 인증 의 형태로 이러한 영업 창이 닫힙을 닫습니다.

그러나, 지금, 단순히 직업 수준에서 보안에 충분히 강조되지 않습니다, 그리고 작업 보안 코딩 교육은 격렬하게 다릅니다. 따라서 개발자는 조직이 왼쪽으로 시작할 수 있도록 하는 데 필요한 것이 거의 없습니다. 리더십 직책에 있는 사람들이 함께 일하고 더 광범위한 보안 인식을 옹호할 때, 직접 지식과 개발자와의 접촉은 작동하는 프로그램을 운전하는 데 필수적입니다. 결국, 개발 관리자는 한 때 자신의 위치에 앉아 있었다, 도구에 및 보안 공간은 시간의 가장 좋은 탐색하기 어려운.

개발자는 보안을 사랑하지 않습니다 (아직)... 하지만 대화를 변경할 수 있습니다.

당신은 어떻게 되는지 알고 있습니다 : 일반적인 개발자에게 "보안"을 언급하고, 당신은 기껏해야 눈롤또는 최악의 경우 당황할 가능성이 높습니다. 일반적으로 전체 보안 문제는 다른 사람의 문제로 간주됩니다.

개발자는 기능적이고 혁신적인 기능으로 가득하며 촉박한 프로젝트 타임라인 내에서 제공되는 소프트웨어를 구축하는 데 있어 주요 책임이 있습니다. 보안은 코딩 수준에서 거의 우선 순위가 없으며 신속한 전달과 창의력을 얻기 위한 지루한 차단기로 볼 수도 있습니다. AppSec은 코드, 펜 테스트 및 나쁜 소식을 꼼꼼하게 검사한 다음 나쁜 소식을 보고하는 임무를 맡고 있습니다: 코드에 보안 취약점이 존재하여 종종 이미 커밋된 코드에 존재하고, 그렇지 않으면 매우 잘 작동합니다. 리소스와 시간을 위해 늘어나는 환경에서는 비용이 많이 드는 프로세스로, 설정은 궁극적으로 동일한 목표를 가지고 있지만 완전히 다른 언어를 말하는 두 팀 간의 균열을 야기할 수밖에 없습니다.

지금, 이 기후에서, 필수 보안 교육에 리셉션은 매우 쌀쌀한 될 가능성이 높습니다. 그러나 모든 개발자의 보안 사고 방식을 촉발할 수 있는 힘은 파이프꿈이 아닙니다. 적절한 종류의 교육과 지원을 통해 소프트웨어에 보안을 적용하고 제어할 수 있는 보안 결과에 대한 책임을 지도록 시작할 수 있습니다. 개발자 가 일반적인 버그를 돌볼 수 있다면, 그것은 진정으로 복잡한 문제를 다듬기 위해 고가의 전문가를 확보합니다. 개발 팀을 관리하는 위치에 있다면 이 격차를 해소하고 팀이 이점을 볼 수 있도록 돕는 데 중요한 역할을 할 수 있습니다.

모든 훈련은 동일하지 않습니다.

새로운 것을 배우는 것에 대해 정말 흥분한 마지막 때는 언제인가요? 당신이 했던 시대에, "필수", "준수" 또는 "비디오의 17 시간"과 같은 단어는 아마 마음에 오지 않을 것입니다.

개발자도 마찬가지입니다. 그들은 영리하고 창의적이며 문제를 해결하는 것을 좋아합니다. 보안 취약점에 대한 끝없는 비디오를 시청하는 것은 참여를 유도하거나, 콘텐츠를 기억에 남게 유지하거나, 일상적인 역할과 책임에 따라 다될 가능성은 거의 없습니다. SANS 강사로 내 시간에, 최고의 훈련은 실습, 참가자가 분석하고 지적 적으로 도전하도록 강요, 자신의 두뇌를 테스트하고 사전 학습에 구축 실제 예제를 사용하여 매우 일찍 명백하게되었다. 게임화와 친근한 경쟁은 또한 응용 분야에서 유용하고 실용적인 유지하면서, 새로운 개념으로 모든 사람을 얻을 수있는 강력한 도구입니다.

또 다른 무서운 요인은 많은 보안 교육이 모니터링되지 않는 다는 것입니다. 아무도 빅 브라더가보고있는 것처럼 느끼는 것을 좋아하지 않지만, 아무도 관련이 있는지 여부를 확인하지 않으면 교육에 시간과 돈 및 노력을 소비하는 요점은 무엇입니까?

올바른 솔루션은 안전한 코딩을 재미있고 관련성이 높고 매력적이며 측정할 수 있도록 만들 수 있습니다. 개발자에게 도전하고, 잘 대우하고, 특별한 이벤트로 만드세요. 게임화된 교육은 뇌의 보상 센터를 밝히고 학습을 계속하고 지식 의 경계를 밀어 붙이며 더 높은 수준의 소프트웨어를 구축하는 인센티브를 제공하는 것은 윈 - 윈입니다.

보안 문화 건강 검사: 당신은 인생 suppor t에있습니까?

보안 문화가 열악한 환경에서 안전한 소프트웨어를 만드는 것은 발목에 연결된 바위가 있는 마라톤에서 승리하는 것과 같습니다: 사실상 불가능하고 불필요하게 어렵습니다.

가시교육, 일대일 훈련 tournaments AppSec 및 개발 팀이 서로의 일상 업무에 대한 훨씬 더 많은 통찰력을 얻으면서 개발자가 보안 성장을 지원함으로써 긍정적인 보안 문화를 이끄는 데 엄청난 도움이 됩니다. 더 나은 관계는 성장하고 번성하고, (종종 제한된) 보안 예산은 같은 작고 성가신 버그시간과 시간의 "Groundhog Day'시나리오를 수정에 불타지 않습니다.

또 다른 강력한 부산물도 있습니다: 당신이 알지 못했던 보안 챔피언의 발굴. 모든 사람이 참여하도록 하는 적절한 교육, 또한 철저한 교육 assessment 보안에 대한 적성을 가지고 있을 뿐만 아니라 적극적으로 열정을 드러내는 사람들을 발견할 수 있습니다. 이 챔피언들은 기세를 유지하고 팀 간의 접촉 지점역할을 하고, 동료를 감독하며 모범 사례 정책을 유지하는 데 매우 중요합니다. 인정과 임원 지원을 포함하는 견고한 챔피언 프로그램을 구현하는 것은 조직의 상한선에 깃털뿐만 아니라 개인의 이력서에 강력한 인상을 보고 미래의 경력을 강화하는 것입니다.

긍정적인 보안 문화에 투입할 때 책임은 공유되며 더 많은 수준의 보안 소프트웨어 우수성을 달성할 수 있습니다. 궁극적으로 소프트웨어 개발 수명 주기의 모든 사람은 보안 소프트웨어가 아닌 경우 좋은 소프트웨어가 아닙니다.

단어를 전파합니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.