일부 CIS는 보안 기술 부족을 기회로 바꾸고 있습니다.
이번 주 샌프란시스코에서 RSA에 참석하면서 CISOs와 많은 논의를 준비하고 있습니다. 그것은 당신을 놀라게 할 수 있습니다,하지만 요즘 많은 CISOs와의 대화는 행복한 일이 아니다.
보안 위험이 증가하고 있다는 것을 알고 있지만, 많은 사람들이 보안 개선의 기회를 볼 수 없으며, 대신 조직이 데이터 유출 이나 사이버 보안 공격의 피해를 받을 가능성이 더 높다고 믿습니다.
정기적인 CISO 대화에서 가장 일반적인 주제 중 하나는 사이버 보안 기술의 문제가 부족한 것에 대한 우려를 포함합니다.
"우리의 보안 팀은 엔지니어링 팀이나 회사의 규모에 충분하지 않습니다."
"우리의 보안 팀은 특별한 급여 패키지와 다른 대륙을 탐험 할 수있는 기회를 제공하는 해외 회사에 의해 밀렵되고 있습니다."
"우리의 보안 전문가들은 기술 개발을 유지하기 위해 화재와 싸우기에는 너무 바쁩니다."
이 주제는 2018 년 "유능한 사내 직원의 부족"이 CISO 사이버 보안 문제의 다른 모든 형태를 차지 한 2017 Ponemon 연구소 설문 조사를 포함하여 여러 연구 보고서에 의해 뒷받침됩니다.
이 중요한 보안 기술 격차는 곧 사라질 것 같지 않습니다, 특히 밝은 재능이 종종 역외 및 이민 법을 이동 호주와 같은 시장에서 는 국가에 외국 보안 전문가를 데려 점점 더 도전하게.
호주 의 기술 부족에 대한 흥미로운 점 중 하나는 숙련 된 전문가를 모집 할 수있는 능력의 부족이 국가 안보 기술 구축에 긍정적 인 초점을 주도하고있다는 것입니다. 벤자민 프랭클린이 말했듯이, "역경에서 기회가 온다." 호주 정부, 교육 기관, 기업 및 신생 기업은 현지에서 다양한 보안 기술을 구축하기 위한 프로그램을 개발하고 있습니다.
보안 기술 역경이 확실히 기회로 이어진 한 가지 영역은 내부 및 아웃소싱 개발 팀 내에서 안전한 코딩 기술을 개발하고 있습니다. 세계의 대부분의 주요 보안 위반코딩 오류와 평균 위반 비용 $US 360만 $US 감안할 때 소프트웨어 보안은 확실히 보안 문제의 중요한 부분입니다. 응용 프로그램 보안 예산 내에서 가장 큰 (그리고 증가하는) 지출 중 하나는 사후 응용 프로그램 보안 식별 및 수정에 있으며, 종종 매년 동일한 오래된 버그가 발생합니다.
개발자가 처음부터 보안 코드를 작성할 수 있도록 지원하는 것은 CIS가 보안 곤경에 서능적으로 통제할 수 있는 기회이며 보안 및 개발 팀 모두에게 빠르고 쉽고 측정 가능한 개선이 가능한 기회입니다.
보안 전문가를 개발자로 대체하는 것은 아니지만 보안 문제에 대한 개발자의 참여를 유도하고 일상적인 사고 방식의 보안 부분을 만들고 재미있고 효과적이며 효율적인 방식으로 안전하게 코딩하도록 가르치는 것을 의미합니다. 그 결과, 보안 전문 지식이 부족한 것은 동일한 오래된 취약점을 다루기보다는 정말 어렵고 복잡한 버그를 찾고 해결하는 데 더 잘 사용될 수 있습니다.
일부 CISOs에, 이 모든 사실이 너무 좋은 소리 수 있습니다., 또는 구현 하기 너무 어려운, 하지만 진실은 그 것 들 중 어느 쪽도. 에 Secure Code Warrior 우리는 점점 더 많은 CISSo가 이 기회를 수용하고 그 과정에서 보안 및 개발 팀의 근무 생활을 변화시키는 것을 보았습니다.
소프트웨어 개발자들 사이에서 강력한 보안 사고 방식과 기술을 개발하기 위해 전 세계적으로 책임을 맡은 CIS의 한 그룹은 호주 은행입니다. 호주 은행은 2016년과 2017년에 이 접근법의 얼리 어답터였습니다. 이 나라의 상위 6개 은행은 현재 온라인, 자율 주행, 게임화된 학습 환경을 통해 안전한 코딩 기술을 구축하기 위해 개발자 팀을 적극적으로 장려하고 참여시다. 은행은 또한 정기적으로 실시간 메트릭을 검토하고 보고하여 개발자와 팀의 강점과 약점을 확인하고 있습니다.
일반적인 취약점 발생 감소, 개발자 보안 인식 강화, 보안 및 개발 팀 간의 관계 개선 등 접근 방식에서 실질적이고 긍정적인 결과가 유입되고 있습니다. 개발자에게 안전하게 코딩할 수 있도록 가르치는 데 투자하는 기업은 기존 보안 인재에 대한 압박을 줄이고 소프트웨어 불안을 통해 노출을 줄일 수 있습니다.
조직 내 보안 상황에 대해 우울하다고 느끼는 CISO(또는 아는 사람)인 경우 긍정적이고 실질적인 보안 개선 지점을 획득하는 간단한 방법을 생각해 보시기 좋습니다. 개발자가 관련성 있고 긍정적이며 재미있는 방식으로 안전하게 코딩하는 법을 배울 수 있도록 지원합니다. 보안 및 개발 팀은 감사할 것이며 제품 혁신 및 개발로 인해 비용과 지연을 제거할 것입니다. 내 내기는 많은 긍정적 인 보안 대화를위한 길을 열 것입니다 _....
개발자가 처음부터 보안 코드를 작성할 수 있도록 지원하는 것은 CIS가 보안 곤경에 서능적으로 통제할 수 있는 기회이며 보안 및 개발 팀 모두에게 빠르고 쉽고 측정 가능한 개선이 가능한 기회입니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
일부 CIS는 보안 기술 부족을 기회로 바꾸고 있습니다.
이번 주 샌프란시스코에서 RSA에 참석하면서 CISOs와 많은 논의를 준비하고 있습니다. 그것은 당신을 놀라게 할 수 있습니다,하지만 요즘 많은 CISOs와의 대화는 행복한 일이 아니다.
보안 위험이 증가하고 있다는 것을 알고 있지만, 많은 사람들이 보안 개선의 기회를 볼 수 없으며, 대신 조직이 데이터 유출 이나 사이버 보안 공격의 피해를 받을 가능성이 더 높다고 믿습니다.
정기적인 CISO 대화에서 가장 일반적인 주제 중 하나는 사이버 보안 기술의 문제가 부족한 것에 대한 우려를 포함합니다.
"우리의 보안 팀은 엔지니어링 팀이나 회사의 규모에 충분하지 않습니다."
"우리의 보안 팀은 특별한 급여 패키지와 다른 대륙을 탐험 할 수있는 기회를 제공하는 해외 회사에 의해 밀렵되고 있습니다."
"우리의 보안 전문가들은 기술 개발을 유지하기 위해 화재와 싸우기에는 너무 바쁩니다."
이 주제는 2018 년 "유능한 사내 직원의 부족"이 CISO 사이버 보안 문제의 다른 모든 형태를 차지 한 2017 Ponemon 연구소 설문 조사를 포함하여 여러 연구 보고서에 의해 뒷받침됩니다.
이 중요한 보안 기술 격차는 곧 사라질 것 같지 않습니다, 특히 밝은 재능이 종종 역외 및 이민 법을 이동 호주와 같은 시장에서 는 국가에 외국 보안 전문가를 데려 점점 더 도전하게.
호주 의 기술 부족에 대한 흥미로운 점 중 하나는 숙련 된 전문가를 모집 할 수있는 능력의 부족이 국가 안보 기술 구축에 긍정적 인 초점을 주도하고있다는 것입니다. 벤자민 프랭클린이 말했듯이, "역경에서 기회가 온다." 호주 정부, 교육 기관, 기업 및 신생 기업은 현지에서 다양한 보안 기술을 구축하기 위한 프로그램을 개발하고 있습니다.
보안 기술 역경이 확실히 기회로 이어진 한 가지 영역은 내부 및 아웃소싱 개발 팀 내에서 안전한 코딩 기술을 개발하고 있습니다. 세계의 대부분의 주요 보안 위반코딩 오류와 평균 위반 비용 $US 360만 $US 감안할 때 소프트웨어 보안은 확실히 보안 문제의 중요한 부분입니다. 응용 프로그램 보안 예산 내에서 가장 큰 (그리고 증가하는) 지출 중 하나는 사후 응용 프로그램 보안 식별 및 수정에 있으며, 종종 매년 동일한 오래된 버그가 발생합니다.
개발자가 처음부터 보안 코드를 작성할 수 있도록 지원하는 것은 CIS가 보안 곤경에 서능적으로 통제할 수 있는 기회이며 보안 및 개발 팀 모두에게 빠르고 쉽고 측정 가능한 개선이 가능한 기회입니다.
보안 전문가를 개발자로 대체하는 것은 아니지만 보안 문제에 대한 개발자의 참여를 유도하고 일상적인 사고 방식의 보안 부분을 만들고 재미있고 효과적이며 효율적인 방식으로 안전하게 코딩하도록 가르치는 것을 의미합니다. 그 결과, 보안 전문 지식이 부족한 것은 동일한 오래된 취약점을 다루기보다는 정말 어렵고 복잡한 버그를 찾고 해결하는 데 더 잘 사용될 수 있습니다.
일부 CISOs에, 이 모든 사실이 너무 좋은 소리 수 있습니다., 또는 구현 하기 너무 어려운, 하지만 진실은 그 것 들 중 어느 쪽도. 에 Secure Code Warrior 우리는 점점 더 많은 CISSo가 이 기회를 수용하고 그 과정에서 보안 및 개발 팀의 근무 생활을 변화시키는 것을 보았습니다.
소프트웨어 개발자들 사이에서 강력한 보안 사고 방식과 기술을 개발하기 위해 전 세계적으로 책임을 맡은 CIS의 한 그룹은 호주 은행입니다. 호주 은행은 2016년과 2017년에 이 접근법의 얼리 어답터였습니다. 이 나라의 상위 6개 은행은 현재 온라인, 자율 주행, 게임화된 학습 환경을 통해 안전한 코딩 기술을 구축하기 위해 개발자 팀을 적극적으로 장려하고 참여시다. 은행은 또한 정기적으로 실시간 메트릭을 검토하고 보고하여 개발자와 팀의 강점과 약점을 확인하고 있습니다.
일반적인 취약점 발생 감소, 개발자 보안 인식 강화, 보안 및 개발 팀 간의 관계 개선 등 접근 방식에서 실질적이고 긍정적인 결과가 유입되고 있습니다. 개발자에게 안전하게 코딩할 수 있도록 가르치는 데 투자하는 기업은 기존 보안 인재에 대한 압박을 줄이고 소프트웨어 불안을 통해 노출을 줄일 수 있습니다.
조직 내 보안 상황에 대해 우울하다고 느끼는 CISO(또는 아는 사람)인 경우 긍정적이고 실질적인 보안 개선 지점을 획득하는 간단한 방법을 생각해 보시기 좋습니다. 개발자가 관련성 있고 긍정적이며 재미있는 방식으로 안전하게 코딩하는 법을 배울 수 있도록 지원합니다. 보안 및 개발 팀은 감사할 것이며 제품 혁신 및 개발로 인해 비용과 지연을 제거할 것입니다. 내 내기는 많은 긍정적 인 보안 대화를위한 길을 열 것입니다 _....
개발자가 처음부터 보안 코드를 작성할 수 있도록 지원하는 것은 CIS가 보안 곤경에 서능적으로 통제할 수 있는 기회이며 보안 및 개발 팀 모두에게 빠르고 쉽고 측정 가능한 개선이 가능한 기회입니다.
