사이버 보안의 인적 요소를 간과해서는 안 되는 이유

게시일: 7월 22일, 2021
으로 Secure Code Warrior
사례 연구

사이버 보안의 인적 요소를 간과해서는 안 되는 이유

게시일: 7월 22일, 2021
으로 Secure Code Warrior
리소스 보기
리소스 보기

우리는 최근에 우리의 회장이자 CEO인 피터 단히유(Pieter Danhieux)가 처음으로 포브스 기술 위원회 직책을 맡고 있는 것을 보게 되어 매우 기뻤습니다. 이 게시물은 개발자가 보다 안전한 코드를 만드는 것이 사이버 공격 및 데이터 침해를 방지하는 열쇠인 방법을 자세히 설명했습니다. 뿐만 아니라, 이러한 보안 인식 개발자가 많은 IT 부서가 실현하는 것보다 더 빠르고 더 안전한 코드를 제공하는 데 어떻게 도움이 될 수 있는지 를 밝혔습니다. 이 접근 방식에 대한 필요성은 확실히 매력적입니다. 최근 연구에 따르면 사이버 공격은 이제 39초마다 발생하며,식민지 파이프라인에대한 하나의 성공적인 랜섬웨어 공격으로 인한 혼란을 모두 보았으며, 더 큰 계획에서는 SolarWinds 해킹만큼파괴적이지 않았습니다. 


가난한 코딩 패턴을 보다 안전하고 안전한 방식으로 수행하는 더 나은 방법으로 가난한 코딩 패턴을 대체하는 방법을 개발자에게 보여주지 않아많은 일반적인 취약점이 계속 존재합니다. 또한 개발 후반에 소프트웨어를 수정하는 데 미치는 영향은 소요 시간 및 배포 지연 측면에서 매우 비용이 많이 듭니다. 특히 공격자가 이전에 알려지지 않은 취약점을 악용한 후 코드를 배포한 후 코드를 수정하면 수백만 달러의 비용이 들 수 있습니다. 그리고 이는 중대한 위반 으로 인해 회사의 명성에 대한 손해를 고려하지 않습니다.


보안 교육을 받은 개발자는 자연스럽게 더 나은 코더가 됩니다. 물론 CISSo는 곧 보안 툴링을 중단해서는 안되지만, 위에서 포괄적이고 예방적인 보안 접근 방식을 이끈 CIS는 특히 소프트웨어 개발 수명 주기의 초기부터 코딩을 확보할 때 회사의 가장 큰 리소스인 인적 요인을 활용할 수 있습니다.


이를 위해, 여기에 염두에 두어야 할 상위 3 가지 높은 수준의 전략이 있습니다.


1. 사후 대응하지 말고 사전 대응해야 합니다.

예를 들어, 기업은 고유한 비전을 개발하고 추구하는 대신 경쟁이 하는 일에 대응하는 등 반응의 함정에 빠지는 경우가 많습니다. 또한 코드의 보안 취약점과 관련하여 이 접근 방식을 기본으로 설정하여 성공적인 위반으로 인해 강제로 사이버 보안을 심각하게 고려합니다. 불행히도, 그때까지 벌금이 부과되고, 회수 비용, 고객 감소 및 브랜드 복원이 모두 수익을 가져다 줍니다. 작업 대신 반응의 또 다른 형태는 처음에 보안 코드를 만드는 데 초점을 맞추는 대신 기존 코드에서 취약점을 찾기 위해 자동 또는 수동 코드 검색에 의존하는 것입니다. 안타깝게도 코드 검색은 완벽한 솔루션이 아니기 때문에 코드에 취약점이 많을수록 일부가 미끄러질 가능성이 높아집니다. 


사전 예방적 접근 방식을 취하고 개발자와 협력하여 처음부터 보안 코드를 만들 수 있도록 해야만 소프트웨어 개발 수명 주기를 설정하여 사용자에게 코딩 취약점이 해제될 가능성을 크게 줄일 수 있습니다.


2. 업스킬, 과잉 처치하지 마세요

개발자에게 보안 코드를 만드는 데 필요한 지식을 제공하기로 결정한 후 현명하게 접근 방식을 선택합니다. 코딩을 중단시키는 사내 교육 워크샵은 개발자와 관리자 모두에게 좌절합니다. 오프사이트 courses 저녁이나 주말 출석이 필요한 것은 인기가 적습니다. 가장 좋은 방법은 코딩 기술을 점진적으로 구축하여 코딩 프로세스 중에 관련 정보를 단계별로 제공하는 것입니다. 


3. 인센티브, 가정하지 마십시오

개발자는 보안 업스킬링을 처벌이나 총체적인 드루거로 간주해서는 안 됩니다. 관리자는 보안 코드가 회사의 성공에 중요한 역할을 전달하는 방식으로 개발자에게 영감을 주어야 합니다. 안전한 코더가 회사에 더 귀중하며 향후 확장된 경력 기회를 누릴 수 있음을 전달하는 것도 중요합니다.


바이든 행정부의 환영 행정 명령은 사이버 보안에 초점을 맞추고 "개발자와 공급 업체 자체의 보안 관행을 평가하는 기준을 포함하고 보안 관행에 부합하는 혁신적인 도구 또는 방법을 식별"할 필요성을 증폭시켰습니다. 그러나 툴링은 필수적이지만 충분하지 않습니다. 어떤 도구도 어떻게 든 무시, 오해, 남용 또는 그렇지 않으면 장소에 배치 된 시스템과 도구를 둘러 볼 수있는 개인의 능력을 완전히 제거하지 않습니다. CIS는 회사의 보안을 극대화하기 위해 인적 요인을 활용하고 개발자가 기꺼이 보안 지지자 및 실무자가 되도록 장려해야 합니다.

리소스 보기
리소스 보기

저자

Secure Code Warrior

Secure Code Warrior 는 개발자에게 안전하게 코딩할 수 있는 기술을 제공하여 보안 중심의 개발자 문화를 구축합니다. Atlassian의 대표적인 애자일( Learning Platform )은 관련 기술 기반 경로, 실습( missions) 및 상황에 맞는 도구를 제공하여 개발자가 빠르게 기술을 배우고, 구축하고, 적용하여 보안 코드를 빠르게 작성할 수 있도록 지원합니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

사이버 보안의 인적 요소를 간과해서는 안 되는 이유

게시일: 7월 22일, 2021
으로 Secure Code Warrior

우리는 최근에 우리의 회장이자 CEO인 피터 단히유(Pieter Danhieux)가 처음으로 포브스 기술 위원회 직책을 맡고 있는 것을 보게 되어 매우 기뻤습니다. 이 게시물은 개발자가 보다 안전한 코드를 만드는 것이 사이버 공격 및 데이터 침해를 방지하는 열쇠인 방법을 자세히 설명했습니다. 뿐만 아니라, 이러한 보안 인식 개발자가 많은 IT 부서가 실현하는 것보다 더 빠르고 더 안전한 코드를 제공하는 데 어떻게 도움이 될 수 있는지 를 밝혔습니다. 이 접근 방식에 대한 필요성은 확실히 매력적입니다. 최근 연구에 따르면 사이버 공격은 이제 39초마다 발생하며,식민지 파이프라인에대한 하나의 성공적인 랜섬웨어 공격으로 인한 혼란을 모두 보았으며, 더 큰 계획에서는 SolarWinds 해킹만큼파괴적이지 않았습니다. 


가난한 코딩 패턴을 보다 안전하고 안전한 방식으로 수행하는 더 나은 방법으로 가난한 코딩 패턴을 대체하는 방법을 개발자에게 보여주지 않아많은 일반적인 취약점이 계속 존재합니다. 또한 개발 후반에 소프트웨어를 수정하는 데 미치는 영향은 소요 시간 및 배포 지연 측면에서 매우 비용이 많이 듭니다. 특히 공격자가 이전에 알려지지 않은 취약점을 악용한 후 코드를 배포한 후 코드를 수정하면 수백만 달러의 비용이 들 수 있습니다. 그리고 이는 중대한 위반 으로 인해 회사의 명성에 대한 손해를 고려하지 않습니다.


보안 교육을 받은 개발자는 자연스럽게 더 나은 코더가 됩니다. 물론 CISSo는 곧 보안 툴링을 중단해서는 안되지만, 위에서 포괄적이고 예방적인 보안 접근 방식을 이끈 CIS는 특히 소프트웨어 개발 수명 주기의 초기부터 코딩을 확보할 때 회사의 가장 큰 리소스인 인적 요인을 활용할 수 있습니다.


이를 위해, 여기에 염두에 두어야 할 상위 3 가지 높은 수준의 전략이 있습니다.


1. 사후 대응하지 말고 사전 대응해야 합니다.

예를 들어, 기업은 고유한 비전을 개발하고 추구하는 대신 경쟁이 하는 일에 대응하는 등 반응의 함정에 빠지는 경우가 많습니다. 또한 코드의 보안 취약점과 관련하여 이 접근 방식을 기본으로 설정하여 성공적인 위반으로 인해 강제로 사이버 보안을 심각하게 고려합니다. 불행히도, 그때까지 벌금이 부과되고, 회수 비용, 고객 감소 및 브랜드 복원이 모두 수익을 가져다 줍니다. 작업 대신 반응의 또 다른 형태는 처음에 보안 코드를 만드는 데 초점을 맞추는 대신 기존 코드에서 취약점을 찾기 위해 자동 또는 수동 코드 검색에 의존하는 것입니다. 안타깝게도 코드 검색은 완벽한 솔루션이 아니기 때문에 코드에 취약점이 많을수록 일부가 미끄러질 가능성이 높아집니다. 


사전 예방적 접근 방식을 취하고 개발자와 협력하여 처음부터 보안 코드를 만들 수 있도록 해야만 소프트웨어 개발 수명 주기를 설정하여 사용자에게 코딩 취약점이 해제될 가능성을 크게 줄일 수 있습니다.


2. 업스킬, 과잉 처치하지 마세요

개발자에게 보안 코드를 만드는 데 필요한 지식을 제공하기로 결정한 후 현명하게 접근 방식을 선택합니다. 코딩을 중단시키는 사내 교육 워크샵은 개발자와 관리자 모두에게 좌절합니다. 오프사이트 courses 저녁이나 주말 출석이 필요한 것은 인기가 적습니다. 가장 좋은 방법은 코딩 기술을 점진적으로 구축하여 코딩 프로세스 중에 관련 정보를 단계별로 제공하는 것입니다. 


3. 인센티브, 가정하지 마십시오

개발자는 보안 업스킬링을 처벌이나 총체적인 드루거로 간주해서는 안 됩니다. 관리자는 보안 코드가 회사의 성공에 중요한 역할을 전달하는 방식으로 개발자에게 영감을 주어야 합니다. 안전한 코더가 회사에 더 귀중하며 향후 확장된 경력 기회를 누릴 수 있음을 전달하는 것도 중요합니다.


바이든 행정부의 환영 행정 명령은 사이버 보안에 초점을 맞추고 "개발자와 공급 업체 자체의 보안 관행을 평가하는 기준을 포함하고 보안 관행에 부합하는 혁신적인 도구 또는 방법을 식별"할 필요성을 증폭시켰습니다. 그러나 툴링은 필수적이지만 충분하지 않습니다. 어떤 도구도 어떻게 든 무시, 오해, 남용 또는 그렇지 않으면 장소에 배치 된 시스템과 도구를 둘러 볼 수있는 개인의 능력을 완전히 제거하지 않습니다. CIS는 회사의 보안을 극대화하기 위해 인적 요인을 활용하고 개발자가 기꺼이 보안 지지자 및 실무자가 되도록 장려해야 합니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.