소프트웨어 보안은 와일드 웨스트에 있습니다 (그리고 그것은 우리를 죽일 거야)
원래 CSO 온라인에 게시
(반 은퇴) 윤리적 해커로, 보안 전문가 및 만능 컴퓨터 괴짜로, 당신은 내가 기술에 대해 많이 관심 말할 수 있습니다. 나는 그것이 어떻게 만들어졌는지, 그것이 무엇을하는지, 그리고 우리 삶의 어떤 측면을 더 좋거나 효율적으로 만들 수 있는지에 대해 걱정합니다. 나는 "항상 장치의 후드 아래'를 보고, 거기 밖으로 코드의 최고의 (그리고 최악의) 예제의 일부를 보고. 최근에, 나는 내 에어컨 시스템이 안드로이드 응용 프로그램과 원격으로 제어 할 수있는 방법을 보았다 (나는 WiFi 네트워크에있는 사람이 어떤 인증없이 그 일을 제어 할 수 있다는 것을 발견했을 때 내 놀라움을 상상).
소프트웨어 보안은 디지털, 개인 정보 공유 라이프스타일에 의해 야기되는 매우 현실적인 위험과 마찬가지로 항상 저에게 는 최우선입니다. 결국, 우리는 크게 규제되지 않은, 감독되지 않고 행복하게 무시 된 영토에 있습니다. 우리는 와일드 웨스트에 있습니다.
집단 사회로서, 우리는 우리가 매일 사용하는 기술의 후드 아래를 찾고 있지 않습니다. 미스터 로봇과 같은 인기 있고 높은 평가를 받은 TV 시리즈는 일반적인 인식에 도움이 되지만, 우리는 보안에 신경쓰지 않습니다... 사실, 우리 대부분은 소프트웨어가 우리가 구입하고 사용하는 응용 프로그램, 서비스 및 점점 더 연결된 것들의 무수한 내에 얼마나 안전한지 전혀 모른다. 우리가 본질적으로 그들을 신뢰하는 것도 아닙니다 - 우리는 단순히 그것에 대해 전혀 생각하지 않습니다.
소니 플레이스테이션 네트워크(PSN), 티켓마스터, 야후, 페이스북, 타겟 등 널리 사용되는 이 기업들은 모두 데이터 유출 사고의 피해자였습니다. 소프트웨어 취약점이 악용되어 수백만 명의 고객 기록이 노출되었습니다. 이러한 사례는 지난 10년간 발생한 전 세계 침해 사고의 일부에 불과합니다. 이러한 침해 사고는 소프트웨어 보안이 취약하여 해커들이 우리의 소중한 정보를 훔쳐갈 수 있도록 허용한 값비싼 결과입니다.
대부분의 사람들이 데이터 유출을 고려할 때, 그들은 정보 보안 위반에 대해 생각할 때, 그들은 회사가 위반하고 개인 정보가 영향을받은 사람들에게 불편한 사람들에게 악몽으로 이해되지만 심각하게, 큰 문제는 무엇입니까? 보안이 계속 무시된다면 그 결과는 정말 그렇게 큰것입니까? 지금까지 중요한 일이 없었던 것은 데이터 유출이 그들을 담당하는 회사에 심각한 영향을 미치지만, 그들의 문제입니다. 그들은 사업을 잃고, 소비자 신뢰를 잃게됩니다. 그것은 궁극적으로 그것을 밖으로 정렬 하 고 피해에 대 한 지불 그들의 일.
소프트웨어 보안은 모든 조직의 우선 순위가 되어야 합니다.
소프트웨어 보안이 개발 팀과 함께 모든 조직에 가장 큰 문제가 되지 않는 이유에 대해서는 매우 간단한 이유가 있습니다: 아직 목숨을 잃은 사람은 충분하지 않으며 위험에 대한 지식이 충분하지 않습니다.
병 적인? 아마. 그러나 그것은 정직한 진실입니다. 규제, 표준 구축 및 법률 변경 주의는 실제 인적 비용이있을때 (예 : 정부 기관)에서 지불됩니다.
예를 들어 다리를 가져 가라. 토목 엔지니어(수백 년 된 작업 라인)는 안전을 교량 건설의 핵심 부분으로 간주합니다. 그들의 접근 방식은 미학과 기본 기능을 훨씬 뛰어 넘습니다. 건설된 모든 교량은 엄격한 안전 규정을 준수할 것으로 예상되며, 토목 직업과 사회 전체가 시간이 지남에 따라 높은 수준의 안전을 기대할 수 있습니다. 오늘날 안전 요구 사항을 충족하지 않는 다리는 위험하고 사용할 수없는 것으로 간주됩니다. 이것은 여전히 소프트웨어 엔지니어링 내에서 우리가 얻을 필요가 진화입니다.
좀 더 현대적인 예를 들어 장난감 산업을 살펴보겠습니다. 1950년대는 전후 베이비 붐으로 장난감 생산과 판매가 크게 급증했습니다. 흥미롭게도, 장난감 관련 사건과 관련된 응급실 방문의 양도이 시간 동안 증가한 것으로 보고되었습니다. 장난감 화살은 눈 부상을 일으키고 있었고, 작은 장난감 (그리고 큰 장난감에서 분리 할 수있는 조각)이 섭취되고 있었고, 어린 소녀에게 판매되는 장난감 오븐은 일반 가정용 오븐보다 더 높은 온도로 가열 할 수있었습니다.
그것은 다소 "와일드 웨스트 아웃', 몇 가지 고립 된 금지 및 가장 무서운 상황에서 제품 리콜을 제외 하 고 작은 규제. 장난감 제조업체는 본질적으로 그들이 원하는 장난감을 자유롭게 생산할 수 있었으며, 여러 건의 보고 된 사건이 이미 발생한 후 안전에 대한 우려가 일반적으로 표시되었습니다. 리처드 닉슨의 1969 년 장난감 안전 법과 같은 법안이 법안으로 통과될 때까지는 미국과 전 세계에서 유해 장난감의 테스트 및 후속 금지가 표준이되었습니다. 사고는 여전히 일어날 것이지만, 오늘날 장난감 제조의 일반적인 과정은 "안전 우선"정책을 채택하고, 우리의 아이들은 훨씬 덜 잠재적 인 위험에 있습니다.
소프트웨어 보안에서 지금, 우리는 와일드 웨스트에있어. 개인 정보 보호와 관련된 명백한 법률 및 규정 (특히 최근 GDPR)과 고객 데이터의 보호및 일부 국가에서 필수 위반 보고 법규를 제외하고는 주류 비즈니스 또는 지역 사회에서 소프트웨어에 내장 된 보안 수준에 대해 거의 말하고 수행되지 않습니다. 이러한 법률조차도 규제되는 실제 소프트웨어보다 회사의 책임에 더 관련이 있거나 의무적인 보안 표준을 충족해야 합니다.
우리는 거기에 도착할 것이지만, 먼저 파괴의 경로가 필요할 수 있습니다.
Gartner는 2020년까지 84억 개의 인터넷 연결 장치가 사용될 것으로 예상합니다. 2016년 이후 31% 증가한 수치입니다. 여기에는 가전 제품뿐만 아니라 의료 기기 및 산업별 장비와 같은 것들이 포함됩니다. 그것은 해커에게 많은 기회의 지옥입니다.
누군가의 페이스 메이커를 실행하는 소프트웨어가 안전하지 않은 다고 상상해보십시오. 해커가 침입하여 잠재적으로 피해자의 마음을 멈출 수 있습니다 (말도 안된다고 생각하십니까? 의사는 해킹을 통해 잠재적 인 암살을 저지하기 위해 딕 체니의 맥박 조정기에서 와이파이를 비활성화). 연결된 전자레인지 나 주전자는 원격으로 날려 버릴 수 있습니다 (우리가 가정에서 즐기는 모든 종류의 사물 인터넷 장치와 함께), 또는 연결된 전기 자동차가 브레이크를 비활성화 할 수 있습니다. 이것은 멀리 가져온 할리우드 액션 영화처럼 들릴 지 모르지만, 연결된 기술의 이러한 고급 조각 중 하나라도 침해 될 수 있다면, 우리는 석유 및 가스 산업에서 사이버 공격의 폭발적인 파급 효과로이미 덮여있는 위협과 마찬가지로 우리 손에 잠재적 인 재앙을 초래할 수 있습니다.
우리는 우리의 삶이 점점 더 디지털 의존이됨에 따라 악의적 인 해킹의 끔찍한 결과를 선점 할 수 있습니다. 이 모든 것은 개발자가 보안 코딩에 대해 더 흥분하고 개발 팀에서 강력한 보안 사고 방식과 문화를 성장시키는 데 있어 시작됩니다.
소프트웨어 혁명은 여기에서 시작됩니다. 은행 업계는 기존의 (읽기 : 지루한) 교육을 머리에 돌리는 진정으로 혁신적인 접근 방식으로 나쁜 코드와의 싸움에서 게임 교육을 수용하는 데 앞장서고 있습니다. 사실, 호주의 상위 6개 은행은 현재 개발자들에게 이런 식으로 참여하여 보안 마인드를 불태우고 있습니다. 고객, IAG 그룹이 고객과 함께 한 일을 확인하십시오. 다음 단계 tournament .
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
소프트웨어 보안은 와일드 웨스트에 있습니다 (그리고 그것은 우리를 죽일 거야)
원래 CSO 온라인에 게시
(반 은퇴) 윤리적 해커로, 보안 전문가 및 만능 컴퓨터 괴짜로, 당신은 내가 기술에 대해 많이 관심 말할 수 있습니다. 나는 그것이 어떻게 만들어졌는지, 그것이 무엇을하는지, 그리고 우리 삶의 어떤 측면을 더 좋거나 효율적으로 만들 수 있는지에 대해 걱정합니다. 나는 "항상 장치의 후드 아래'를 보고, 거기 밖으로 코드의 최고의 (그리고 최악의) 예제의 일부를 보고. 최근에, 나는 내 에어컨 시스템이 안드로이드 응용 프로그램과 원격으로 제어 할 수있는 방법을 보았다 (나는 WiFi 네트워크에있는 사람이 어떤 인증없이 그 일을 제어 할 수 있다는 것을 발견했을 때 내 놀라움을 상상).
소프트웨어 보안은 디지털, 개인 정보 공유 라이프스타일에 의해 야기되는 매우 현실적인 위험과 마찬가지로 항상 저에게 는 최우선입니다. 결국, 우리는 크게 규제되지 않은, 감독되지 않고 행복하게 무시 된 영토에 있습니다. 우리는 와일드 웨스트에 있습니다.
집단 사회로서, 우리는 우리가 매일 사용하는 기술의 후드 아래를 찾고 있지 않습니다. 미스터 로봇과 같은 인기 있고 높은 평가를 받은 TV 시리즈는 일반적인 인식에 도움이 되지만, 우리는 보안에 신경쓰지 않습니다... 사실, 우리 대부분은 소프트웨어가 우리가 구입하고 사용하는 응용 프로그램, 서비스 및 점점 더 연결된 것들의 무수한 내에 얼마나 안전한지 전혀 모른다. 우리가 본질적으로 그들을 신뢰하는 것도 아닙니다 - 우리는 단순히 그것에 대해 전혀 생각하지 않습니다.
소니 플레이스테이션 네트워크(PSN), 티켓마스터, 야후, 페이스북, 타겟 등 널리 사용되는 이 기업들은 모두 데이터 유출 사고의 피해자였습니다. 소프트웨어 취약점이 악용되어 수백만 명의 고객 기록이 노출되었습니다. 이러한 사례는 지난 10년간 발생한 전 세계 침해 사고의 일부에 불과합니다. 이러한 침해 사고는 소프트웨어 보안이 취약하여 해커들이 우리의 소중한 정보를 훔쳐갈 수 있도록 허용한 값비싼 결과입니다.
대부분의 사람들이 데이터 유출을 고려할 때, 그들은 정보 보안 위반에 대해 생각할 때, 그들은 회사가 위반하고 개인 정보가 영향을받은 사람들에게 불편한 사람들에게 악몽으로 이해되지만 심각하게, 큰 문제는 무엇입니까? 보안이 계속 무시된다면 그 결과는 정말 그렇게 큰것입니까? 지금까지 중요한 일이 없었던 것은 데이터 유출이 그들을 담당하는 회사에 심각한 영향을 미치지만, 그들의 문제입니다. 그들은 사업을 잃고, 소비자 신뢰를 잃게됩니다. 그것은 궁극적으로 그것을 밖으로 정렬 하 고 피해에 대 한 지불 그들의 일.
소프트웨어 보안은 모든 조직의 우선 순위가 되어야 합니다.
소프트웨어 보안이 개발 팀과 함께 모든 조직에 가장 큰 문제가 되지 않는 이유에 대해서는 매우 간단한 이유가 있습니다: 아직 목숨을 잃은 사람은 충분하지 않으며 위험에 대한 지식이 충분하지 않습니다.
병 적인? 아마. 그러나 그것은 정직한 진실입니다. 규제, 표준 구축 및 법률 변경 주의는 실제 인적 비용이있을때 (예 : 정부 기관)에서 지불됩니다.
예를 들어 다리를 가져 가라. 토목 엔지니어(수백 년 된 작업 라인)는 안전을 교량 건설의 핵심 부분으로 간주합니다. 그들의 접근 방식은 미학과 기본 기능을 훨씬 뛰어 넘습니다. 건설된 모든 교량은 엄격한 안전 규정을 준수할 것으로 예상되며, 토목 직업과 사회 전체가 시간이 지남에 따라 높은 수준의 안전을 기대할 수 있습니다. 오늘날 안전 요구 사항을 충족하지 않는 다리는 위험하고 사용할 수없는 것으로 간주됩니다. 이것은 여전히 소프트웨어 엔지니어링 내에서 우리가 얻을 필요가 진화입니다.
좀 더 현대적인 예를 들어 장난감 산업을 살펴보겠습니다. 1950년대는 전후 베이비 붐으로 장난감 생산과 판매가 크게 급증했습니다. 흥미롭게도, 장난감 관련 사건과 관련된 응급실 방문의 양도이 시간 동안 증가한 것으로 보고되었습니다. 장난감 화살은 눈 부상을 일으키고 있었고, 작은 장난감 (그리고 큰 장난감에서 분리 할 수있는 조각)이 섭취되고 있었고, 어린 소녀에게 판매되는 장난감 오븐은 일반 가정용 오븐보다 더 높은 온도로 가열 할 수있었습니다.
그것은 다소 "와일드 웨스트 아웃', 몇 가지 고립 된 금지 및 가장 무서운 상황에서 제품 리콜을 제외 하 고 작은 규제. 장난감 제조업체는 본질적으로 그들이 원하는 장난감을 자유롭게 생산할 수 있었으며, 여러 건의 보고 된 사건이 이미 발생한 후 안전에 대한 우려가 일반적으로 표시되었습니다. 리처드 닉슨의 1969 년 장난감 안전 법과 같은 법안이 법안으로 통과될 때까지는 미국과 전 세계에서 유해 장난감의 테스트 및 후속 금지가 표준이되었습니다. 사고는 여전히 일어날 것이지만, 오늘날 장난감 제조의 일반적인 과정은 "안전 우선"정책을 채택하고, 우리의 아이들은 훨씬 덜 잠재적 인 위험에 있습니다.
소프트웨어 보안에서 지금, 우리는 와일드 웨스트에있어. 개인 정보 보호와 관련된 명백한 법률 및 규정 (특히 최근 GDPR)과 고객 데이터의 보호및 일부 국가에서 필수 위반 보고 법규를 제외하고는 주류 비즈니스 또는 지역 사회에서 소프트웨어에 내장 된 보안 수준에 대해 거의 말하고 수행되지 않습니다. 이러한 법률조차도 규제되는 실제 소프트웨어보다 회사의 책임에 더 관련이 있거나 의무적인 보안 표준을 충족해야 합니다.
우리는 거기에 도착할 것이지만, 먼저 파괴의 경로가 필요할 수 있습니다.
Gartner는 2020년까지 84억 개의 인터넷 연결 장치가 사용될 것으로 예상합니다. 2016년 이후 31% 증가한 수치입니다. 여기에는 가전 제품뿐만 아니라 의료 기기 및 산업별 장비와 같은 것들이 포함됩니다. 그것은 해커에게 많은 기회의 지옥입니다.
누군가의 페이스 메이커를 실행하는 소프트웨어가 안전하지 않은 다고 상상해보십시오. 해커가 침입하여 잠재적으로 피해자의 마음을 멈출 수 있습니다 (말도 안된다고 생각하십니까? 의사는 해킹을 통해 잠재적 인 암살을 저지하기 위해 딕 체니의 맥박 조정기에서 와이파이를 비활성화). 연결된 전자레인지 나 주전자는 원격으로 날려 버릴 수 있습니다 (우리가 가정에서 즐기는 모든 종류의 사물 인터넷 장치와 함께), 또는 연결된 전기 자동차가 브레이크를 비활성화 할 수 있습니다. 이것은 멀리 가져온 할리우드 액션 영화처럼 들릴 지 모르지만, 연결된 기술의 이러한 고급 조각 중 하나라도 침해 될 수 있다면, 우리는 석유 및 가스 산업에서 사이버 공격의 폭발적인 파급 효과로이미 덮여있는 위협과 마찬가지로 우리 손에 잠재적 인 재앙을 초래할 수 있습니다.
우리는 우리의 삶이 점점 더 디지털 의존이됨에 따라 악의적 인 해킹의 끔찍한 결과를 선점 할 수 있습니다. 이 모든 것은 개발자가 보안 코딩에 대해 더 흥분하고 개발 팀에서 강력한 보안 사고 방식과 문화를 성장시키는 데 있어 시작됩니다.
소프트웨어 혁명은 여기에서 시작됩니다. 은행 업계는 기존의 (읽기 : 지루한) 교육을 머리에 돌리는 진정으로 혁신적인 접근 방식으로 나쁜 코드와의 싸움에서 게임 교육을 수용하는 데 앞장서고 있습니다. 사실, 호주의 상위 6개 은행은 현재 개발자들에게 이런 식으로 참여하여 보안 마인드를 불태우고 있습니다. 고객, IAG 그룹이 고객과 함께 한 일을 확인하십시오. 다음 단계 tournament .
