AppSec 배드랜드에서 우리가 필요로하는 변화 : 내 2019 예측
2018년은 사이버 보안 전문가를 위한 매머드해왔습니다. 보안을 더욱 심각하게 받아들일 경고에도 불구하고, 더 많은 보안 산업 인재를 양성하고 조직을 사이버 인식으로 만들기 위한 일반적인 시도를 둘러싼 끊임없는 언론, 우리는 수백 건의 사이버 공격으로 남겨진 흡연 분화구를 바라보며, 이는 매우 잘 알려진 일부 가계 이름에 대한 대규모 데이터 유출 및 소비자 불신을 대표합니다. 2018년 상반기에만 945건의 별도 사건에서 45억 건의 데이터 기록이 손상되었습니다.
나는 전에 그것을 여러 번 말했습니다 : 우리는 더 잘 할 수 있습니다. 그러나 우리가 직면하는 실제 전투는 스크립트 어린이, 위험한 조직 사이버 범죄 신디케이트 또는 노트북에 멀리 입력 신비한 후드 입은 인물에 대한 것이 아닙니다 - 싸움은 이러한 위반이 전혀 일어나고 있다는 것을 걱정하는 더 많은 사람들을 얻는 데 있습니다.
GDPR 규정 준수는 좋은 시작이지만 단기적인 효과는 크지 않습니다.
유럽 연합 (EU)의 일반 데이터 보호 규정 (GDPR) 법률이 한창입니다; 데이터 보호를 심각하게 받아들이지 않는 조직에 대한 위협이 커지고 있습니다. 규정을 준수하지 않는 것으로 밝혀진 사람들에게 는 엄청난 벌금이 부과됨에 따라, 이는 기업이 보안 관행을 강화하고, 고객 데이터를 더 존중하며, 사이버 공격을 완화하기 위한 전략을 마련하기 위한 것입니다.
일부 조직은 앞으로 엄청난 벌금의 경고를 하고있다, 하지만 우리는 GDPR을 준수하지 못했기 때문에 진정한 낙진을 볼 아직. 아니 파산 처벌, 우리의 웹 사용자를 통해 클릭 팝업의 단지 전체 많은. 법적 절차가 많은 시간이 걸리기 때문에 부분적으로 는 많은 시간이 걸리며, 항소 할 기회가 많기 때문에 예를 들었던 회사가 몇 달 또는 수년 동안 법적 싸움에 종사할 가능성이 있습니다. 페이스 북에 대한 악몽 의 해를 종료, 그들은 최근 또 다른 데이터 유출을보고 : 1500 무단 응용 프로그램에 680 만 사용자의 개인 사진을 노출 API 버그. 그것은 발견 및 2 주 이내에 패치, 아직 데이터 보호 기관과 대중은 몇 달 후 위반을 인식했다. GDPR 법은 72 시간 위반의 통지를 필요로하므로, 이 법이 실제로 얼마나 영향력있고 효과적인지에 대한 많은 질문을 제기합니다.
물론, 다른 곳에서의 위반은 멈추지 않았습니다 : 11 월의 메리어트 위반은 무려 5 억 개의 데이터 기록이 손상되었으며 공격자가 발견되기 전에 4 년 동안 시스템에 액세스했다는 것을 알 수 있습니다. 그것은 주목해야한다, 그러나, 메리어트는 일부 손상 제어에 종사하는 것 같다 : 그들은 피해자에게 WebWatcher에 무료 12 개월 구독을제공했습니다, 신용 모니터링 도구 ... 그러나 해커가 선별할 수 있는 5억 개의 레코드를 가지고 있기 때문에 1년이 대부분의 사람들에게 의미 있는 것을 모니터링하기에 충분한 시간이 될지는 아직 미지수입니다. 결국 파렴치한 사용을 위해 데이터가 강조 표시되기까지는 몇 년이 지나서야 할 수 있습니다.
GDPR과 같은 장기적인 규제는 시행될 경우 긍정적인 변화를 주도할 것입니다. 기업이 상당한 재정적 처벌 (또는 실제로 데이터가 손상된 고객의 집단 소송)이나 상당한 규모의 이익 침체에 타격을 입을 때, 나는 우리가 대부분의 회사에서 온라인 데이터베이스를 강화하는 데 열광적 인 초점을 볼 것이라고 믿습니다.
금융기관은 단기적인 긍정적인 변화속에서 도래할 것입니다.
세계에서 힘들게 번 현금의 게이트키퍼로서 금융 기관이 가장 엄격한 사이버 보안 모범 사례 정책과 위험을 줄이기 위한 종단 간 프로세스를 가지고 있다는 사실은 그리 놀랄 일이 아닙니다.
이러한 규정 준수의 중요한 원동력은 금융 기관이 모든 분야에서 실행 가능한 보안 정책을 구현하고 지침을 준수하도록 돕는 데 전념하는 PCI 보안 표준 위원회에서비롯됩니다. 그들은 이 수직이 지불 소프트웨어에서 가장 높은 수준의 보안 중 에서 달성하도록 돕는 데 좋은 힘이되었습니다.
그렇다면 금융기관은 다른 기관과 는 다르게 무엇을 하고 있을까요? 내 경험에 따르면, 그들은 일반적으로 더 많은 보안 인식, AppSec 전문가 와 펜 테스터뿐만 아니라 전체적인 교육 프로그램에 자원을 헌신, 뿐만 아니라 그들의 (일반적으로 매우 크고 전 세계적으로 흩어져) 개발 팀. 그들은 최상위 의사 결정자가 보안 프로세스가 "설정되고 잊어 버린"조치가 아니라는 것을 이해하도록 보장합니다. 사용 중인 기술만큼 빠르게 진화하고 가변 위험에 적응해야 합니다.
더 많은 조직이 보안 파이프라인을 혁신할 것입니다.
IT 의 다른 지점에 비해 AppSec은 상대적으로 젊습니다. 그것은 새로운 아이가되는 것은 어렵다 : 당신은 쉽게 오해하고 아직 필요한 주요 관계를 형성하지 않았을 수 있습니다. 그러나, 나는 매년 마다 믿고, AppSec도 변화에 저항하는 가장 오래된 조직에서 그 자리를 찾는 것이 더 쉬워지고 있다.
기업이 보안 준수를 소프트웨어 프로세스의 마지막 막판 단계로 만들 수 없다는 것이 더욱 분명해졌습니다. 데이터 집계와 비즈니스 경영진 수준에 대한 가시성 향상에 더 집중하여 시점부터 지점간 점검 및 조치가 있어야 합니다. 이없이, 보안은 대부분의 마음에 보이지 않는 남아있을 것입니다. 그리고 이 시나리오에서는 위험을 계획하는 데 필요한 리소스를 수집하는 것은 사실상 불가능합니다.
좋은 소식은, 그 어느 때보 다 더 많은 조직이 자신의 사이버 공격을 발견하고 이를 해결하기 위해 노력하고 있다는 것입니다. 나쁜 소식? 이 과정은 평균 85일이 걸리고 있습니다.
펜 테스트 도구와 수동 코드 검토는 기술 분야에서 신속한 혁신과 기능 생산이 필수인 시대에 힘들고 비용이 많이 들며 느립니다. 개발자가 처음에 코드를 작성하는 순간부터 보안 인식은처음부터 수행해야 합니다.
우리 업계는 주요 문제를 인식할 것입니다: 우리는 사람들이 더 신경을 써야 합니다.
여기에 일이있다 : 나는 보수적으로 지난 4 년 동안 어떤 시점에서 메리어트 호텔에 머물렀던 내 네트워크에서 20 명을 계산 할 수 있습니다. 그 기간 동안 5억 건의 레코드가 도난당했기 때문에 데이터가 도난의 일부였을 가능성이 큽습니다. 현재 연락처 정보, 여전히 유효한 신용 카드 번호 및 여권 정보의 모든 것이 어두운 웹에서 지금 판매 될 수 있습니다. 그러나, 그들의 배려 요인은 기본적으로 0이었습니다.
그리고, 음, 이러한 대규모 데이터 heist에서 때 만족하기 쉽습니다, 당신은 본질적으로 건초 더미에 바늘입니다.
진짜 문제, 그래도? 고객의 데이터를 안전하게 지키지 못한 회사는 파급 효과에 거의 영향을 미치지 않습니다. 그들의 주가는 사건 직후 타격을 입었습니까? 당신은 그것을 내기. 대상, 에퀴팩스와 이제 메리어트는 모두 이를 증명할 수 있습니다. 그러나 12개월 간의 개요는 바운스가 정상으로 돌아가는 것이 상당히 빠르다는 것을 보여줍니다. 몇 년 후, 재정적으로 모든 것이 용서받습니다.
심각한 영향이 있을 때까지: 엄청난 벌금, 엄격한 규정 및 비즈니스의 상당한 손실, AppSec지속적으로 회사가 노출되는 성장 사이버 위험의 심각성을 전달하기 위해 싸워야 하는 산업이 될 것입니다.
나는 그것이 나아지기 전에 훨씬 더 악화 될 것이라는 점을 두려워하기 때문에 조직의 기술 팀의 최전선에 보안 인식 개발자와 강력한 보안 문화를 구축하기 위해 노력하는 것이 가장 중요합니다. 이를 미리 염두에 두고 더 높은 수준의 소프트웨어 보안을 위해 계속 노력하십시오.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
AppSec 배드랜드에서 우리가 필요로하는 변화 : 내 2019 예측
2018년은 사이버 보안 전문가를 위한 매머드해왔습니다. 보안을 더욱 심각하게 받아들일 경고에도 불구하고, 더 많은 보안 산업 인재를 양성하고 조직을 사이버 인식으로 만들기 위한 일반적인 시도를 둘러싼 끊임없는 언론, 우리는 수백 건의 사이버 공격으로 남겨진 흡연 분화구를 바라보며, 이는 매우 잘 알려진 일부 가계 이름에 대한 대규모 데이터 유출 및 소비자 불신을 대표합니다. 2018년 상반기에만 945건의 별도 사건에서 45억 건의 데이터 기록이 손상되었습니다.
나는 전에 그것을 여러 번 말했습니다 : 우리는 더 잘 할 수 있습니다. 그러나 우리가 직면하는 실제 전투는 스크립트 어린이, 위험한 조직 사이버 범죄 신디케이트 또는 노트북에 멀리 입력 신비한 후드 입은 인물에 대한 것이 아닙니다 - 싸움은 이러한 위반이 전혀 일어나고 있다는 것을 걱정하는 더 많은 사람들을 얻는 데 있습니다.
GDPR 규정 준수는 좋은 시작이지만 단기적인 효과는 크지 않습니다.
유럽 연합 (EU)의 일반 데이터 보호 규정 (GDPR) 법률이 한창입니다; 데이터 보호를 심각하게 받아들이지 않는 조직에 대한 위협이 커지고 있습니다. 규정을 준수하지 않는 것으로 밝혀진 사람들에게 는 엄청난 벌금이 부과됨에 따라, 이는 기업이 보안 관행을 강화하고, 고객 데이터를 더 존중하며, 사이버 공격을 완화하기 위한 전략을 마련하기 위한 것입니다.
일부 조직은 앞으로 엄청난 벌금의 경고를 하고있다, 하지만 우리는 GDPR을 준수하지 못했기 때문에 진정한 낙진을 볼 아직. 아니 파산 처벌, 우리의 웹 사용자를 통해 클릭 팝업의 단지 전체 많은. 법적 절차가 많은 시간이 걸리기 때문에 부분적으로 는 많은 시간이 걸리며, 항소 할 기회가 많기 때문에 예를 들었던 회사가 몇 달 또는 수년 동안 법적 싸움에 종사할 가능성이 있습니다. 페이스 북에 대한 악몽 의 해를 종료, 그들은 최근 또 다른 데이터 유출을보고 : 1500 무단 응용 프로그램에 680 만 사용자의 개인 사진을 노출 API 버그. 그것은 발견 및 2 주 이내에 패치, 아직 데이터 보호 기관과 대중은 몇 달 후 위반을 인식했다. GDPR 법은 72 시간 위반의 통지를 필요로하므로, 이 법이 실제로 얼마나 영향력있고 효과적인지에 대한 많은 질문을 제기합니다.
물론, 다른 곳에서의 위반은 멈추지 않았습니다 : 11 월의 메리어트 위반은 무려 5 억 개의 데이터 기록이 손상되었으며 공격자가 발견되기 전에 4 년 동안 시스템에 액세스했다는 것을 알 수 있습니다. 그것은 주목해야한다, 그러나, 메리어트는 일부 손상 제어에 종사하는 것 같다 : 그들은 피해자에게 WebWatcher에 무료 12 개월 구독을제공했습니다, 신용 모니터링 도구 ... 그러나 해커가 선별할 수 있는 5억 개의 레코드를 가지고 있기 때문에 1년이 대부분의 사람들에게 의미 있는 것을 모니터링하기에 충분한 시간이 될지는 아직 미지수입니다. 결국 파렴치한 사용을 위해 데이터가 강조 표시되기까지는 몇 년이 지나서야 할 수 있습니다.
GDPR과 같은 장기적인 규제는 시행될 경우 긍정적인 변화를 주도할 것입니다. 기업이 상당한 재정적 처벌 (또는 실제로 데이터가 손상된 고객의 집단 소송)이나 상당한 규모의 이익 침체에 타격을 입을 때, 나는 우리가 대부분의 회사에서 온라인 데이터베이스를 강화하는 데 열광적 인 초점을 볼 것이라고 믿습니다.
금융기관은 단기적인 긍정적인 변화속에서 도래할 것입니다.
세계에서 힘들게 번 현금의 게이트키퍼로서 금융 기관이 가장 엄격한 사이버 보안 모범 사례 정책과 위험을 줄이기 위한 종단 간 프로세스를 가지고 있다는 사실은 그리 놀랄 일이 아닙니다.
이러한 규정 준수의 중요한 원동력은 금융 기관이 모든 분야에서 실행 가능한 보안 정책을 구현하고 지침을 준수하도록 돕는 데 전념하는 PCI 보안 표준 위원회에서비롯됩니다. 그들은 이 수직이 지불 소프트웨어에서 가장 높은 수준의 보안 중 에서 달성하도록 돕는 데 좋은 힘이되었습니다.
그렇다면 금융기관은 다른 기관과 는 다르게 무엇을 하고 있을까요? 내 경험에 따르면, 그들은 일반적으로 더 많은 보안 인식, AppSec 전문가 와 펜 테스터뿐만 아니라 전체적인 교육 프로그램에 자원을 헌신, 뿐만 아니라 그들의 (일반적으로 매우 크고 전 세계적으로 흩어져) 개발 팀. 그들은 최상위 의사 결정자가 보안 프로세스가 "설정되고 잊어 버린"조치가 아니라는 것을 이해하도록 보장합니다. 사용 중인 기술만큼 빠르게 진화하고 가변 위험에 적응해야 합니다.
더 많은 조직이 보안 파이프라인을 혁신할 것입니다.
IT 의 다른 지점에 비해 AppSec은 상대적으로 젊습니다. 그것은 새로운 아이가되는 것은 어렵다 : 당신은 쉽게 오해하고 아직 필요한 주요 관계를 형성하지 않았을 수 있습니다. 그러나, 나는 매년 마다 믿고, AppSec도 변화에 저항하는 가장 오래된 조직에서 그 자리를 찾는 것이 더 쉬워지고 있다.
기업이 보안 준수를 소프트웨어 프로세스의 마지막 막판 단계로 만들 수 없다는 것이 더욱 분명해졌습니다. 데이터 집계와 비즈니스 경영진 수준에 대한 가시성 향상에 더 집중하여 시점부터 지점간 점검 및 조치가 있어야 합니다. 이없이, 보안은 대부분의 마음에 보이지 않는 남아있을 것입니다. 그리고 이 시나리오에서는 위험을 계획하는 데 필요한 리소스를 수집하는 것은 사실상 불가능합니다.
좋은 소식은, 그 어느 때보 다 더 많은 조직이 자신의 사이버 공격을 발견하고 이를 해결하기 위해 노력하고 있다는 것입니다. 나쁜 소식? 이 과정은 평균 85일이 걸리고 있습니다.
펜 테스트 도구와 수동 코드 검토는 기술 분야에서 신속한 혁신과 기능 생산이 필수인 시대에 힘들고 비용이 많이 들며 느립니다. 개발자가 처음에 코드를 작성하는 순간부터 보안 인식은처음부터 수행해야 합니다.
우리 업계는 주요 문제를 인식할 것입니다: 우리는 사람들이 더 신경을 써야 합니다.
여기에 일이있다 : 나는 보수적으로 지난 4 년 동안 어떤 시점에서 메리어트 호텔에 머물렀던 내 네트워크에서 20 명을 계산 할 수 있습니다. 그 기간 동안 5억 건의 레코드가 도난당했기 때문에 데이터가 도난의 일부였을 가능성이 큽습니다. 현재 연락처 정보, 여전히 유효한 신용 카드 번호 및 여권 정보의 모든 것이 어두운 웹에서 지금 판매 될 수 있습니다. 그러나, 그들의 배려 요인은 기본적으로 0이었습니다.
그리고, 음, 이러한 대규모 데이터 heist에서 때 만족하기 쉽습니다, 당신은 본질적으로 건초 더미에 바늘입니다.
진짜 문제, 그래도? 고객의 데이터를 안전하게 지키지 못한 회사는 파급 효과에 거의 영향을 미치지 않습니다. 그들의 주가는 사건 직후 타격을 입었습니까? 당신은 그것을 내기. 대상, 에퀴팩스와 이제 메리어트는 모두 이를 증명할 수 있습니다. 그러나 12개월 간의 개요는 바운스가 정상으로 돌아가는 것이 상당히 빠르다는 것을 보여줍니다. 몇 년 후, 재정적으로 모든 것이 용서받습니다.
심각한 영향이 있을 때까지: 엄청난 벌금, 엄격한 규정 및 비즈니스의 상당한 손실, AppSec지속적으로 회사가 노출되는 성장 사이버 위험의 심각성을 전달하기 위해 싸워야 하는 산업이 될 것입니다.
나는 그것이 나아지기 전에 훨씬 더 악화 될 것이라는 점을 두려워하기 때문에 조직의 기술 팀의 최전선에 보안 인식 개발자와 강력한 보안 문화를 구축하기 위해 노력하는 것이 가장 중요합니다. 이를 미리 염두에 두고 더 높은 수준의 소프트웨어 보안을 위해 계속 노력하십시오.
