정적 대 동적 사이버 보안 교육: 충동적인 규정 준수, 미래의 문제
"사이버 보안 준수"는 세계가 사이버 범죄인 거대한 다중 위협 짐승을 가장 잘 다루어야하는 방법을 논의하는 끝없는 기사, 이니셔티브 및 위원회와 함께 수년 동안 유행해 왔습니다.
문제는, 우리는 그렇게 많은 진전을 하지 않는 것 같습니다. 전 세계적으로 데이터 유출 비용은 꾸준히 증가하고 있으며, 2019년에는 위반당 약 392만 달러에 정착하기 위해 5년 만에 12% 증가했습니다. 인터넷의 사용이 불과 몇 년 만에 폭발적으로 증가함에 따라 많은 회사들은 빠르게 온라인에 접속하여 상점을 세우고 안전하지 않은 소프트웨어, 제한된 AppSec 리소스 및 경우에 따라 고객 신뢰의 오용을 처리하면서 갑옷없이 싸울 수 밖에 없었습니다.
요즘, 우리는 반박 할 수없는 더 성숙합니다. 우리는 위협의 범위를 이해하고 논의하고, 기업은 사이버 공격이 고객 정서, 평판 및 수익에 미칠 수있는 영향을 잘 알고 있으며, 많은 장소가 규정 준수 교육, 숙련 된 고용 및 점점 더 많은 DevSecOps 이니셔티브를 통해 소프트웨어 보안을 개선하기 위해 적극적으로 노력하고 있습니다. 이러한 엄청난 도약에도 불구하고, 우리는 싸움에서 승리하지 않습니다 - 심지어 가까이. 2019년에만 데이터 유출로 최소 40억 건의 기록이 도난당했습니다.
누락된 성분 중 하나는 사이버 보안 표준, 기대 및 위반의 결과에 대한 다소 느린 세류(정부 수준)였습니다. GDPR의 출현은 적어도 유럽에서는 일부 헤드가 굴러가기 시작했지만 많은 정부 기관이 이제 만 따라 잡고 있으며 새로 피린 준수 이니셔티브에 신속하게 준수해야하는 갑작스런 필요성은 미래에 원치 않는 영향을 미칠 수 있습니다.
바보 (잘못된 훈련에) 돌진
NIST의형태로 강력한 지침, 뉴욕 주에 대한 새로운 규정 및 영국 사이버 안전 보장 위원회의 형성은 모두 우리의 데이터를 안전하게 유지하기 위해 좋은 싸움을 싸우는 사람들에게 기념비적 인 승리였습니다. 그들은 현재 소프트웨어 개발의 문제를 인정하고 보안 모범 사례측면에서 윤리적이고 규정을 준수하기 위해 현재 충족해야 하는 표준을 조직에 안내하는 조치를 취합니다.
불행히도, 이 단계에서 가장 중요한 요소 중 일부는 해석에 너무 열려 있습니다. 예를 들어, 영국 사이버 안전 보장 위원회의 법안의 규정 중 하나는 다음과 같은 것입니다.
"인증의 정의 된 목록과 그들이 모두 함께 연결하는 방법과 그들이 전달하는 기능의 이해하기 쉬운 프레임 워크를 만들려면, 이미 수행 경력 경로에 구축".
그들의 이니셔티브는 의심 할 여지없이 개선하고 시간이 지남에 따라 성장할 것이지만, 조직이 이미 공황 버튼을 누르고 지금 훈련에 뛰어 들고 있다면, 그들은 단지 미래를 위해 장비가 제대로 갖추지 못할 수도 있습니다.
조직의 사이버 보안 요구는 빠르게 변화하고 있으며 정적 교육 솔루션이 안전하지 않은 소프트웨어의 흐름을 필요한 속도로 막을 가능성은 거의 없습니다. 풍경은 기존의 코스가 업데이트 할 수있는 것보다 빠르게 변경되며, 일부 장소는 "체크 더 박스"준수 운동 트랩에 빠지는 것을 볼 수 있습니다. 개발자, 계약자 및 기타 보안 전문가는 적절한 교육을받지 못하며, 우리는 다시 오리를 앉히는 것으로 돌아왔습니다.
정적 교육 및 정적 도구는 동일한 문제로 인해 발생합니다.
정적 분석 도구는 SDLC의 필수적인 부분으로, 대부분의 대규모 조직에서 발견되는 부족하고 과로한 AppSec 전문가를 위한 작업마 를 스캔하는 역할을 합니다. 그들은 좋은 일을하지만 결함이있다 : 어떤 "하나의"도구는 거기에 프로그래밍 프레임 워크의 거대한 영역을 지원, 모든 단일 취약점을 스캔 할 수 없습니다. 또한 느린 프로세스이며, 공격자의 문을 열어 두기 위해 균열을 통과하는 보안 버그가 하나만 필요합니다.
정적 교육과 유사한 문제가 있습니다. 개발자가 엄격한 "일대일" 과정으로 보안 교육을 받는 경우 해당 기간 동안 가장 널리 퍼진 보안 문제와 보조를 맞추지 못할 것입니다. 그것은 작성 된 시간의 스냅 샷 역할을하고, 거의 학생이 선호하는 언어와 프레임 워크에서 전달, 충분히 다시 방문하지 않습니다, 도 그들이 자신의 일상 작업에 직면 할 가능성이 취약점에 컨텍스트입니다. 배달 기한을 맞추기 위해 몇 달 전에 시청한 비디오에서 관련 정보 한 조각을 리콜하려고 시도하고 문 밖으로 코드를 롤아웃하려고 한다고 상상해 보십시오... 그것은 일어날 가능성이 높습니다.
전통적인 교육 방법은 많은 산업에서 재평가되고 있지만 개발자를위한 보안 교육과 관련하여 여전히 발생하는 대량의 데이터 유출 (특히 SQL 주입과 같은수십 년 동안 코딩을 피하는 방법을 알고 있는 취약점에 비난 할 수있는 데이터 유출을 볼 필요가 있습니다).
우리는 끊임없이 변화하는 사이버 보안 모범 사례의 요구에 유연하고 적응할 수 있는 단일 선형 과정의 경계를 넘어서는 교육이 필요합니다.
다이나믹 트레이닝: 골드 스탠다드
개발자에게 비즈니스, 개인 기술 수준 및 일반 산업 움직임에 빠르게 형성될 수 있는 동적 교육 솔루션을 제공함으로써 보안을 최전방에 두고 보안 인식 마인드를 유지하면서 안전하게 코딩할 수 있는 최상의 기반을 제공합니다.
한 가지 크기에 맞는 교육, 결코 재검토되지 않고 처음에 참여하지 않는 것은 완전한 시간 낭비가 될 것이며, 불행히도, 이는 규정 준수를 위해 효과가 없는 프로그램을 충동 구매하게 될 수 있음을 의미합니다. 그것은 당신이 그것을 밖으로 출시하기 전에 구식 수 있습니다., 또는 그들의 일상적인 작업의 요구에 거의 공감.
동적 교육은 끊임없이 업데이트되는 살아있는 호흡 도구이며, 일상적인 요구에 따라 상황에 맞는, 비판적 사고와 사용자를 참여시키고 실제로 기술을 배우고 문제를 해결할 수 있도록 합니다.
그렇다면 동적 교육 프로그램은 보안 컨텍스트에서 어떤 모습일까요?
그것은 될 것입니다 :
- 한입 크기: 개발자는 오래 감기 교육 데크 및 비디오보다 훨씬 기억하기 쉬운 관리 가능한 청크에서 기술을 배울 수 있습니다 (그리고 더 중요한 것은 적용).
- 관련: 개발자가 주로 Java에서 코딩할 때 예제가 C#에 있는 일반 보안 교육은 무엇입니까? 모든 교육은 자신의 역할에 직접 적용하여 코딩할 때 무엇을 찾고 수정해야 하는지 확인할 수 있어야 합니다.
- 현재: 이것은 분명해 보이지만 종종 그렇지 않습니다. 사이버 보안 환경은 항상 변화하고 있으며, 더 많은 코드가 더 많은 책임을 집니다. 개발자가 첫 번째 방어 선이 되려면 최신 보안 모범 사례를 최신 상태로 유지하는 교육이 필요합니다.
- 참여: 개발자가 특히 창의적인 흐름을 방해하는 경우 "보안"을 찾을 수 있다는 것은 비밀이 아닙니다. 올바른 교육은 그들에게 막대한 위험으로 변모할 수 있는 일상적인 보안 문제를 해결하는 데 필요한 힘을 보여주고, 책임과 보안 인식의 문화를 구축할 것입니다.
- 재미: 동적 훈련은 거의 지루하지 않습니다; 그것은 적어도 다소 흥미로운 것으로 되어 있습니다. 개발자가 좋아하는 것, 문제 해결, 동료와의 경쟁, 인력, 보상 및 인식에서 우리 중 많은 사람들과 같은 것에 대해 생각해 보십시오. 자신의 강점에 재생하고 최상의 결과를 얻기에 초점을 맞춥니다.
소프트웨어 엔지니어가 되는 것은 흥미진진한 시간입니다. 그들은 디지털 혁신에 필수적인 역할을하고, 놀라운 회사를 만들고, 심지어 자신의 창조물로 세계를 폭풍으로 몰아가기도합니다. 그러나 정부 기관과 대기업이 소프트웨어 보안 표준 설정에 필요한 부분을 실현함에 따라 관료적 인 진드기 운동이 아닌 보안 코딩에 대한 사랑을 키우는 효과적이고 역동적인 교육 솔루션으로 이를 지원하는 것이 중요합니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
정적 대 동적 사이버 보안 교육: 충동적인 규정 준수, 미래의 문제
"사이버 보안 준수"는 세계가 사이버 범죄인 거대한 다중 위협 짐승을 가장 잘 다루어야하는 방법을 논의하는 끝없는 기사, 이니셔티브 및 위원회와 함께 수년 동안 유행해 왔습니다.
문제는, 우리는 그렇게 많은 진전을 하지 않는 것 같습니다. 전 세계적으로 데이터 유출 비용은 꾸준히 증가하고 있으며, 2019년에는 위반당 약 392만 달러에 정착하기 위해 5년 만에 12% 증가했습니다. 인터넷의 사용이 불과 몇 년 만에 폭발적으로 증가함에 따라 많은 회사들은 빠르게 온라인에 접속하여 상점을 세우고 안전하지 않은 소프트웨어, 제한된 AppSec 리소스 및 경우에 따라 고객 신뢰의 오용을 처리하면서 갑옷없이 싸울 수 밖에 없었습니다.
요즘, 우리는 반박 할 수없는 더 성숙합니다. 우리는 위협의 범위를 이해하고 논의하고, 기업은 사이버 공격이 고객 정서, 평판 및 수익에 미칠 수있는 영향을 잘 알고 있으며, 많은 장소가 규정 준수 교육, 숙련 된 고용 및 점점 더 많은 DevSecOps 이니셔티브를 통해 소프트웨어 보안을 개선하기 위해 적극적으로 노력하고 있습니다. 이러한 엄청난 도약에도 불구하고, 우리는 싸움에서 승리하지 않습니다 - 심지어 가까이. 2019년에만 데이터 유출로 최소 40억 건의 기록이 도난당했습니다.
누락된 성분 중 하나는 사이버 보안 표준, 기대 및 위반의 결과에 대한 다소 느린 세류(정부 수준)였습니다. GDPR의 출현은 적어도 유럽에서는 일부 헤드가 굴러가기 시작했지만 많은 정부 기관이 이제 만 따라 잡고 있으며 새로 피린 준수 이니셔티브에 신속하게 준수해야하는 갑작스런 필요성은 미래에 원치 않는 영향을 미칠 수 있습니다.
바보 (잘못된 훈련에) 돌진
NIST의형태로 강력한 지침, 뉴욕 주에 대한 새로운 규정 및 영국 사이버 안전 보장 위원회의 형성은 모두 우리의 데이터를 안전하게 유지하기 위해 좋은 싸움을 싸우는 사람들에게 기념비적 인 승리였습니다. 그들은 현재 소프트웨어 개발의 문제를 인정하고 보안 모범 사례측면에서 윤리적이고 규정을 준수하기 위해 현재 충족해야 하는 표준을 조직에 안내하는 조치를 취합니다.
불행히도, 이 단계에서 가장 중요한 요소 중 일부는 해석에 너무 열려 있습니다. 예를 들어, 영국 사이버 안전 보장 위원회의 법안의 규정 중 하나는 다음과 같은 것입니다.
"인증의 정의 된 목록과 그들이 모두 함께 연결하는 방법과 그들이 전달하는 기능의 이해하기 쉬운 프레임 워크를 만들려면, 이미 수행 경력 경로에 구축".
그들의 이니셔티브는 의심 할 여지없이 개선하고 시간이 지남에 따라 성장할 것이지만, 조직이 이미 공황 버튼을 누르고 지금 훈련에 뛰어 들고 있다면, 그들은 단지 미래를 위해 장비가 제대로 갖추지 못할 수도 있습니다.
조직의 사이버 보안 요구는 빠르게 변화하고 있으며 정적 교육 솔루션이 안전하지 않은 소프트웨어의 흐름을 필요한 속도로 막을 가능성은 거의 없습니다. 풍경은 기존의 코스가 업데이트 할 수있는 것보다 빠르게 변경되며, 일부 장소는 "체크 더 박스"준수 운동 트랩에 빠지는 것을 볼 수 있습니다. 개발자, 계약자 및 기타 보안 전문가는 적절한 교육을받지 못하며, 우리는 다시 오리를 앉히는 것으로 돌아왔습니다.
정적 교육 및 정적 도구는 동일한 문제로 인해 발생합니다.
정적 분석 도구는 SDLC의 필수적인 부분으로, 대부분의 대규모 조직에서 발견되는 부족하고 과로한 AppSec 전문가를 위한 작업마 를 스캔하는 역할을 합니다. 그들은 좋은 일을하지만 결함이있다 : 어떤 "하나의"도구는 거기에 프로그래밍 프레임 워크의 거대한 영역을 지원, 모든 단일 취약점을 스캔 할 수 없습니다. 또한 느린 프로세스이며, 공격자의 문을 열어 두기 위해 균열을 통과하는 보안 버그가 하나만 필요합니다.
정적 교육과 유사한 문제가 있습니다. 개발자가 엄격한 "일대일" 과정으로 보안 교육을 받는 경우 해당 기간 동안 가장 널리 퍼진 보안 문제와 보조를 맞추지 못할 것입니다. 그것은 작성 된 시간의 스냅 샷 역할을하고, 거의 학생이 선호하는 언어와 프레임 워크에서 전달, 충분히 다시 방문하지 않습니다, 도 그들이 자신의 일상 작업에 직면 할 가능성이 취약점에 컨텍스트입니다. 배달 기한을 맞추기 위해 몇 달 전에 시청한 비디오에서 관련 정보 한 조각을 리콜하려고 시도하고 문 밖으로 코드를 롤아웃하려고 한다고 상상해 보십시오... 그것은 일어날 가능성이 높습니다.
전통적인 교육 방법은 많은 산업에서 재평가되고 있지만 개발자를위한 보안 교육과 관련하여 여전히 발생하는 대량의 데이터 유출 (특히 SQL 주입과 같은수십 년 동안 코딩을 피하는 방법을 알고 있는 취약점에 비난 할 수있는 데이터 유출을 볼 필요가 있습니다).
우리는 끊임없이 변화하는 사이버 보안 모범 사례의 요구에 유연하고 적응할 수 있는 단일 선형 과정의 경계를 넘어서는 교육이 필요합니다.
다이나믹 트레이닝: 골드 스탠다드
개발자에게 비즈니스, 개인 기술 수준 및 일반 산업 움직임에 빠르게 형성될 수 있는 동적 교육 솔루션을 제공함으로써 보안을 최전방에 두고 보안 인식 마인드를 유지하면서 안전하게 코딩할 수 있는 최상의 기반을 제공합니다.
한 가지 크기에 맞는 교육, 결코 재검토되지 않고 처음에 참여하지 않는 것은 완전한 시간 낭비가 될 것이며, 불행히도, 이는 규정 준수를 위해 효과가 없는 프로그램을 충동 구매하게 될 수 있음을 의미합니다. 그것은 당신이 그것을 밖으로 출시하기 전에 구식 수 있습니다., 또는 그들의 일상적인 작업의 요구에 거의 공감.
동적 교육은 끊임없이 업데이트되는 살아있는 호흡 도구이며, 일상적인 요구에 따라 상황에 맞는, 비판적 사고와 사용자를 참여시키고 실제로 기술을 배우고 문제를 해결할 수 있도록 합니다.
그렇다면 동적 교육 프로그램은 보안 컨텍스트에서 어떤 모습일까요?
그것은 될 것입니다 :
- 한입 크기: 개발자는 오래 감기 교육 데크 및 비디오보다 훨씬 기억하기 쉬운 관리 가능한 청크에서 기술을 배울 수 있습니다 (그리고 더 중요한 것은 적용).
- 관련: 개발자가 주로 Java에서 코딩할 때 예제가 C#에 있는 일반 보안 교육은 무엇입니까? 모든 교육은 자신의 역할에 직접 적용하여 코딩할 때 무엇을 찾고 수정해야 하는지 확인할 수 있어야 합니다.
- 현재: 이것은 분명해 보이지만 종종 그렇지 않습니다. 사이버 보안 환경은 항상 변화하고 있으며, 더 많은 코드가 더 많은 책임을 집니다. 개발자가 첫 번째 방어 선이 되려면 최신 보안 모범 사례를 최신 상태로 유지하는 교육이 필요합니다.
- 참여: 개발자가 특히 창의적인 흐름을 방해하는 경우 "보안"을 찾을 수 있다는 것은 비밀이 아닙니다. 올바른 교육은 그들에게 막대한 위험으로 변모할 수 있는 일상적인 보안 문제를 해결하는 데 필요한 힘을 보여주고, 책임과 보안 인식의 문화를 구축할 것입니다.
- 재미: 동적 훈련은 거의 지루하지 않습니다; 그것은 적어도 다소 흥미로운 것으로 되어 있습니다. 개발자가 좋아하는 것, 문제 해결, 동료와의 경쟁, 인력, 보상 및 인식에서 우리 중 많은 사람들과 같은 것에 대해 생각해 보십시오. 자신의 강점에 재생하고 최상의 결과를 얻기에 초점을 맞춥니다.
소프트웨어 엔지니어가 되는 것은 흥미진진한 시간입니다. 그들은 디지털 혁신에 필수적인 역할을하고, 놀라운 회사를 만들고, 심지어 자신의 창조물로 세계를 폭풍으로 몰아가기도합니다. 그러나 정부 기관과 대기업이 소프트웨어 보안 표준 설정에 필요한 부분을 실현함에 따라 관료적 인 진드기 운동이 아닌 보안 코딩에 대한 사랑을 키우는 효과적이고 역동적인 교육 솔루션으로 이를 지원하는 것이 중요합니다.
