지난 몇 년 동안 네트워크 보안, 민감한 고객 데이터 테라바이트 및 귀중한 브랜드 평판과 같은 속도-시장 간 제단에서 많은 것들이 희생되었습니다. 새로운 기능과 기능의 출시를 가속화해야 한다는 강한 압박으로 인해 복잡한 분산 팀이 신속한 개발에 초점을 맞추고 있으며, 이들이 만들 수 있는 취약점이나 막대한 위험에 대한 인식이 거의 없습니다. 그 어느 때보다도 새로운 작업 방식이 필요합니다. 그래서 2020년, Secure Code Warrior Evans Data Corp.와 협력하여 개발자와 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 관리자의 태도에 대한 기본 연구*를 수행합니다(여기에서 백서 사본을 다운로드하세요).

프로젝트 성공을 위한 성능 지표 – 보안은 어디에 적합합니까? 

개발자와 관리자는 보안 코드가 중요하다고 생각하지만 다른 요소만큼 중요하지는 않습니다. 개발자와 관리자에게 소프트웨어 개발 프로세스에서 가장 중요한 우선 순위에 대해 물었을 때:

• 76% 지명 된 응용 프로그램 성능 
• 62% 고른 기능 및 기능
• 그리고 50% 이상 선택한 보안 코드
  

프로젝트 성공을 위한 다른 성과 지표와 비교하여 보안 코딩은 현재 3분의 1에 달하는 것입니다.

현재 개발자는 프로젝트가 완료된 후에만 코드를 평가하는 성능 지표에서 프로젝트의 성공을 판단합니다. 

그러나 앞으로 어떻게 변할지 묻는 질문에 그림이 머리를 뒤집습니다. 조직이 성공을 위한 지표로 보안에 접근하는 방식은 변화하고 있습니다. 보안 코딩의 우선 순위가 높아지고 있습니다.

향후 프로젝트 성공을 측정하는 가장 중요한 우선 순위에 대해 물었을 때, 조사 대상자의 79%는 보안 코딩의 중요성이 증가할 것이라는 데 동의합니다. 눈에 띄는 점은 더 중요한 비율이 미래에 보안의 중요성을 다른 성능 지표보다 더 많이 증가시키는 것으로 보고 있다는 것입니다.  보안 코딩에 대한 인식이 증가하고 있으며, '왼쪽으로 이동'하는 움직임도 커지고 있습니다. 본질적으로 보안 코딩의 관행은 SDLC에서 훨씬 일찍 보안을 고려하는 것을 의미합니다. 처음부터 나중에 이 것을 남기는 대신 소프트웨어로 보안을 적극적으로 구축하는 것을 의미합니다. 

CIO가 조직을 보다 민첩하게 만들기 위해 노력함에 따라 안전한 코딩 기능이 중요한 혁신 무기가 될 것입니다. CIO와 CIO는 개발 팀이 첫 번째 위험 라인인지 첫 번째 방어선인지에 대해 신중하게 생각해야 합니다. 

이 통찰력은 조직이 개발자를 교육하는 방식에 중요한 영향을 미칩니다. 팀은 최근에 식별된 취약점에 대해 배우고 자신의 언어/프레임워크에서 배워야 합니다. 요컨대, 그들은 매일 작업 하는 컨텍스트에서 코드에서 알려진 된 취약점을 찾고 식별 하 고 수정 하는 방법을 이해 해야 합니다.

보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 개발자가 안전한 코딩 기술을 배우고 구축하는 데 적극적으로 참여하는 인간 주도의 접근 방식을 취합니다. 왼쪽을 시작하고 보안을 손상시키지 않으면서 보안 코드를 더 빠르게 배송하는 팀의 능력에 잠재적 인 영향을 보고 싶다면 지금 데모를 예약하십시오.

‍

* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020

이 문서의 버전은 VMblog에나타났습니다. 여기에 업데이트되고 신디케이트되었습니다.

‍

사이버 보안 인식 개월이 얼마나 많든, 얼마나 많은 엘리트 보안 전문가가 낙하산에 빠졌는지, 블랙홀에 얼마나 많은 돈을 잃어 버리든 빅 데이터 유출 문제는 해마다 더 나빠지는 것으로 보입니다. 그들은 너무 규칙적이어서 요즘 주류 뉴스를 거의 만들지 못하고 치명적입니다. 2020년에는 악의적인 사이버 공격에 360억 개 이상의 기록이 노출되었으며, 2021년에 얼마나 많은 기록이 수확될지 기다려야 했습니다.

위협 행위자는 지속적으로 기회를 스캔하고 있으며 모든 공격이 재앙은 아니지만 평균 39 초마다 발생합니다. 우리는 싸움에서 승리하는 데 가깝지 않으며, 악당들은 우리의 데이터 수비수보다 큰 이점을 가지고 있습니다.

그러나 바이든 행정부가 사이버 보안을 임기 초기에 우선순위로 삼고있으며, 자금 조달에 미화 10B를 추가로 지원하면서 변화가 공중에 떠 있는 것으로 보입니다. 이것은 의심의 여지없이 올바른 방향으로 나아가는 단계이지만, 실제로 빈도와 정교함이 확대되는 사이버 범죄에 흠집을 낼 수 있을까요?

사이버 위협은 해결하기 위해 (글로벌) 마을을 취할 것입니다

점점 더 강력한 사이버 공격에 대한 효과적인 방어는 소수의 국가의 송금이 될 수 없으며, 불행히도, 응집력 있는 전략은 오랫동안 전반적으로 부족했습니다. 그러나 국가 국가 위협이 증가함에 따라 많은 정부가 앉아서 주목하고 있습니다. 

미국 정부에 영향을 미치는 SolarWinds 공격은 가능한 일에 대한 명확한 경고였으며 중요한 인프라가 침해될 경우 잠재적 인 파괴를 나타내는 지표였습니다. 최근 FBI는 플로리다 물 시스템이 공격을 받았다는경고를 발표했으며 위협 배우는 원격으로 물 공급을 오염시킬 수 있었습니다. 심각한 피해가 발생하기 전에 중단되었지만, 더 진보된 공격자는 생명을 위험에 빠뜨릴 엄청난 규모로 파괴를 일으켰을 수 있습니다.

느리지만 확실하게 전 세계 정부는 사이버 방어에 더 많은 투자를 하고 있습니다. 영국은 사이버 보안 부문에 기록적인 투자를 하고 새로운 태스크 포스를 설립했습니다. 호주는 사이버 보안 전략(특히 인프라)을 강화했으며, 이스라엘과 덴마크 와 같은 장소는 사이버 프로그램에 가장 적합한것으로 간주됩니다. 일본은 사이버 방어 부문에서 5위를 차지했습니다. 2018년 당시 사쿠라다 요시타카 사이버보안부 장관이 컴퓨터를 사용한 적이 없다는성명에 따라 환영투표를 했다. 싱가포르 정부의 최근 발표는 미래의 통신 인프라에 AI 및 사이버 보안 연구에 5천만 달러를 투자할 것을 약속했으며, 이는 디지털 안전과 무결성을 공고히 하기 위한 미래 지향적인 움직임입니다.

강력하고 조정된 글로벌 사이버 보안 대응은 미래 기술로 빠르게 발전함에 따라 매우 중요하며, 모든 정부 기관은 이를 핵심 적인 초점으로 조명해야 합니다.

더 많은 돈이 더 적은 문제를 의미하지 않는다

지난 몇 년 동안 정부 주도의 사이버 보안과 전문 지식에 대한 투자를 늘린 미국, 영국, 호주를 예로 들면, 보안이 마침내 우선순위인 것처럼 보일 수 있으며 "좋은 사람"은 전투에서 승리하는 데 필요한 것을 얻고 있습니다. 

그것은 확실히 도움이, 하지만 그것은 단지 더 큰 그림의 일부. 그 자금은 전문가의 슈퍼 팀을 살 수 있습니다 (바이든의 현금 주입과같은), 포괄적 인 버그 현상금 프로그램, 그리고 비참한 위반의 경우에 최고 수준의 사건 대응 및 완화, 우리는 여전히 최소한의 진전을 만들 수 있도록 사이버 방어에이 접근 방식, 아무리 많은 돈이 태스크 포스와 위협 대응에 던져.

모든 정부는 사후 대응적 보안 조치를 넘어 서서히 심각한 노력(및 자금 조달)을 보다 예방적인 전략으로 전환해야 합니다. 처음에 사이버 공격을 막기 위해 노력하는 대신 성공적인 사이버 공격에 대응하는 데 초점을 맞추고 있다면, 그 어떤 돈도 증가하는 위험을 초래하지 않을 것입니다. 진정한 사전 예방적 보안 접근 방식은 인프라 강화에 예산이 할당되고 공격 표면을 처음부터 최대한 줄이는 것을 목표로 효과적인 보안 교육과 업스킬링을 실시합니다.

사이버 보안 기술 격차는 결코 닫히지 않을 수 있지만, 낭비된 잠재력이 있습니다.

고도로 훈련된 전문 보안 요원은 전 세계적으로 엄청난 수요를 받고 있으며, 사이버 전문가의과잉 을 볼 가능성은 거의 없습니다. 그러나 이것은 정부와 조직 모두 창의력을 발휘하기 시작하고 자원을 처분하는 데 더 많은 이유입니다.

사이버 방어에 대한 진정한 예방 접근 방식은 소프트웨어 개발 및 인프라 프로세스에 관련된 모든 사람이 자신의 역할에 대해 가능한 한 보안을 인식하는 것으로 시작됩니다. 특히 개발자는 보안 코딩이 프로세스에 내재될 수 있도록 작업에 적합한 보안 업스킬링 및 적합한 도구가 필요합니다. 이는 일반적인 취약점이 하루의 빛을 보기 전에 해결할 수 있도록 하는 데 는 먼 길을 갑니다. 이 것만으로도 압력을 줄이고 소프트웨어 개발 수명 주기아래로 재작업하는 단계는 물론 저렴합니다. 

우리는 사이버 보안 모범 사례에 대한 인간 주도의 접근 방식을 강화해야 하며, 자동화, 도구 및 이미 내장되고 발견된 문제에 대한 반응보다 더 나은 결과를 얻을 수 있습니다 - 오늘날 일어나는 위반 횟수를 살펴보면 분명히 작동하지 않는 전략입니다.

개발자를 위한 코드 교육을 확보하는 데 있어 교육 적 결과가 많이 필요합니다. 많은 기업들이 실제로 최소한의 수익을 보기 위해 큰 비용을 지출합니다. 그리고 작은 경이로움. 현재 연구*는 개발자가 보안 코드를 학습하는 것이 지루하고 보안 코드를 구현하는 방법을 배우는 것이 어렵다고 믿고 있음을 보여줍니다. 코딩 교육을 확보하기 위한 새로운 접근 방식이 필요하므로 2020년에는 Secure Code Warrior Evans Data Corp.와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 기본 연구를 수행합니다(여기에서 백서 다운로드).

제안에 대한 교육을 비판 할 수있는 기회를 제공했을 때 개발자는 현재보안 코드 교육이 다음과 같은 것이라고 주장하면서 아끼지 않았습니다.  

• 진공 상태에서 가르치다 - 40% 
• 너무 이론적, 자신의 작품과 관련이 없는, 그리고 충분히 '실습'하지 - 40% 
• 종종 드물게, 자신의 작품이나 참여와 관련이 없습니다 - 30 %.
  

이러한 통계는 심각합니다. 그들은 현재의 보안 코드 교육이 개발자가 매일 하는 일과 의미 있는 관계가 없는 상황에 맞는 관련이 없다고 말합니다. 

종종 작업 환경에서 배운 내용을 다시 적용할 수 없습니다. 따라서 많은 보안 교육이 시간과 비용을 낭비하게 됩니다. 

개발자가 원하는 교육을 구축하는 다섯 가지 방법

개발자가 원하는 교육의 종류에 관해서, 다섯 가지는 풍부하게 분명했다. 

1. 개발자의 75%는 구조화된 실무 교육을 선호하여가장 효과적이고 만족스러운 학습 방법을 찾았습니다.
   
   그리고 그 교육이 포함되어야하는 것에 관해서, 개발자는 몇 가지 매우 명확하고 구체적인 질문을 가지고 : 
2. 65%는 언어별 취약점에 대한 교육이 필요하다고 말합니다.
3. 65%는 OWASP 탑 10에서 더 많은 교육을 원합니다.
4. 많은 사람들이 NIST(58%)를 포함한 규정 준수 보안 프레임워크에초점을 맞추기를 원합니다. CIS (52%) 및 PCI DSS (50 %).
5. 78%는 그 훈련의 일환으로 비공식 동료 코칭과 지도를 원합니다.

그러나 무엇보다도 개발자는 실용적이고 일상 업무의 맥락에 뿌리를 둔 안전한 코드 교육을 원합니다. 개발자는 강사의 말을 듣고 앉아서 보고 싶지 않습니다 - 그들은 물건에 손을 얻고 스스로 시도하고 싶어. 그들은 실용적인 응용 프로그램에 초점을 원한다 – 현재 교육 프로그램이 심하게 부족한 무언가. 우리가 조사 한 개발자에 따르면, 좋은 교육의 상위 5 가지 특성은 다음과 같습니다. 

• 실제 작업 시나리오(30%)를 보여주는 보다 실용적인 교육. 
• 특정 코드 또는 취약점(24%)에 초점을 맞춘 안내 활동.
• Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%). 
• 교육을 받는 데 몇 가지 실질적인 이점을 제공합니다. 
• 더 많은 팀 빌딩 연습을 통합합니다.
  

개발자는 기본적인 기술을 전수하는 보안 코딩 교육과 진정한 인정을 원합니다. 고용주들이 보안 코딩 기술을 매우 선호하고 인정하기 때문에 개발자들은 특히 새로운 직장에 지원할 때 다른 동료들과 차별화하려는 열정을 보여 왔습니다. 기술 숙련도나 전문 기술을 입증하고자 하는 개발자는 오랫동안 공식 인증 프로그램을 사용해 왔습니다. 인증을 위한 체계적인 교육 프로그램을 찾고 있느냐는 질문에 70%가 이러한 프로그램을 찾고 있다고 답했습니다. 중요한 동기는 습득한 기술을 공식적으로 인정받고, 업무 효율을 높이고, 회사에 귀중한 존재가 되기 위해서였습니다.

더 나은 교육 결과에 관해서, 개발자 중심의 교육은 열쇠입니다.  구조화 된 보안 코드 교육은 개발자에게 바람직하지만 원하는 것을 제공하는 경우에만 가능합니다. 과제에 도달하고 개발자의 요구에 맞게 보안 코드 교육을 재구성하는 기업은 반복되는 취약점감소, 코드 전송 속도 및 두 가지 모두의 향상된 평판의 이점을 얻을 수 있습니다.

명백한 증거는 개발자가 실제 세계에서 직면하는 사람들을 모방하는 도전과 관련 프로그래밍 언어 및 프레임 워크에서 상황에 맞는 실습 교육을 원한다는 것입니다. 보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 개발자의 요청을 전달하기 위해 인간 주도의 접근 방식을 취합니다. 팀의 보안 코드를 더 빠르게 배송하는 능력에 잠재적 영향을 보고 싶다면 지금 데모를 요청하십시오.

* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020

데이터 유출과 비용이 계속 증가함에 따라 보안 전문가가 단독으로 처리하기에는 너무 큽니다. 기업은 안전한 코딩 기술을 갖춘 개발자가 필요하며 개발자는 경력을 발전시키기 위해 이러한 기술이 필요하다는 것을 알고 있습니다. 그러나 현재 보안 코드 교육은 그들을 실망시키고 있습니다. 그렇다면 개발자는 코드 교육을 보호할 때 무엇을 원할까요? 이 질문에 답하기 위해 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 최근 연구에서 몇 가지 통찰력을 살펴 보겠습니다. Secure Code Warrior 에반스 데이터 코퍼레이션*을 통해 (여기에서 백서 다운로드).

개발자가 원하는 교육의 종류에 관해서, 대답은 명확하다. 개발자의 75%는 구조화된 실무 교육을 선호하여 가장 효과적이고 만족스러운 학습 방법을 찾았습니다. 그리고 그 교육이 포함되어야하는 것에 관해서, 개발자는 몇 가지 매우 명확하고 구체적인 질문을 가지고 : 

• 65%는 언어별 취약점에 대한 교육이 필요하다고 답했습니다.
• 65%는 OWASP 탑 10에서 더 많은 교육을 원합니다.
• 많은 사람들이 NIST(58%), CIS(52%)를 포함한 규정 준수 보안 프레임워크에 초점을 맞추기를 원합니다. 및 PCI DSS (50%)
• 78%는 그 훈련의 일환으로 비공식 동료 코칭과 지도를 원합니다.
  

그러나 개발자는 구조화되지 않은 학습에 대한 구조화 된 과정 과정을 강력하게 선호하지만, 과정제공 방식은 중요합니다. 물론, 이것은 또 다른 중요한 질문을 제기합니다.

개발자는 어떻게 배우는 것을 선호합니까? 

개발자는 강사의 말을 듣고 앉아서 보고 싶지 않습니다 - 그들은 물건에 손을 얻고 스스로 시도하고 싶어. 그들은 실용적인 응용 프로그램에 초점을 원한다 – 뭔가 현재 교육 프로그램은 심하게 부족. 회사에서 제공하는 교육이 어떻게 개선될 수 있는지 를 파악하라는 질문에 응답자의 30%는 실제 응용 프로그램, 특히 진정한 작업 시나리오에 초점을 맞춘 교육을 원한다고 밝혔습니다. 

개발자 교육은 실습 및 언어:프레임워크에 맞는 '게임화된' 코딩 문제를 포함하는 가이드 학습 경로를 제공하는 인간 주도의 접근 방식이 필요합니다. 역할 지정 '게임화된' 교육을 통해 개발자는 특정 취약점에 대한 개발자 학습을 타겟팅할 수 있는 구성 가능한 학습 모듈을 사용하여 개발자의 참여를 유도합니다.

소프트웨어 보안을 개발자가 원하는 교육 방법을 제공하는 구조화된 기술 기반 경로를 통해 개발 프로세스의 본질적인 부분으로 만드는 방법을 알아보십시오.

"대화형 시뮬레이션을 통해 코드의 보안 취약점을 식별하고, 비판적으로 생각하고, 솔루션 또는 여러 솔루션을 찾을 수 있습니다. 나는 새로운 렌즈를 통해 코드를 본 적이, 실습되는 것은 너무 많은 기쁨을 가져왔다!"
소프트웨어 엔지니어, 금융 서비스

‍
* 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴. Secure Code Warrior 및 에반스 데이터 Corp. 2020

지루하고, 지루하고, 지루합니다! 보안 코드 교육이 언급될 때마다 개발자가 듣게 될 주요 응답 중 하나입니다. 에 Secure Code Warrior 우리는 더 나은 방법이 있어야한다고 생각, 그래서 우리는 보안 코딩에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 에반스 Data Corp.와 협력, 보안 코드 관행, 보안 작업 (여기에 백서의 사본을 다운로드).

곧 출시 될 출시 될 반응에서 예방으로 의전환 : 응용 프로그램 보안의 변화하는 얼굴, 개발자는 현재보안코드 교육의 주요 문제에 대해 물었다 – 그리고 대답은 공개했다.

개발자를 다운시키는 교육

설문조사에 참여한 개발자의 40%는 안전한 코딩이 진공 상태에서 진행되었다고 생각했습니다. 또 다른 40%는 훈련이 너무 이론적이라고 생각했으며, 업무와 관련이 없으며 충분히 '실습'이 아니라고 생각했습니다. 30%는 매일 일하는 프레임워크라는 언어교육부족을 확인했습니다. 현재 보안 코드 교육은 문맥적으로 관련이 없으며 개발자가 매일 하는 일과 의미 있는 관계가 없음을 알려주기 때문에 심각합니다. 

많은 개발자에게 그들의 주요 과제는 정신을 마비시키는 동안 깨어 있는 것이지, 효과적이지도 아니하거나 보안을 최전선에 두도록 영감을 주는 것입니다. ‍

진공 교육을 통해 개발자는 실험실과 실제 세계 사이의 인지 연결을 만들지 못하게 됩니다.

개발자가 보안 코드 교육에서 원하는 3가지 사항: 

1. 압도적으로 개발자들은 일상 업무와 더 실용적이고 맥락적으로 관련된 교육을 원한다고 말합니다. 
2. 개발자의 65%는 언어별 취약점과 OWASP Top 10에더 많은 교육이 필요하다고 말합니다. 
3. 설문조사에 참여한 개발자의 75%는 구조화된 실무 교육을 선호합니다. 

개발자를 끌어올리는 교육

실무 교육과 관련하여 개발자는 일정 수준의 경험과 기존 지식을 제공합니다. 이것은 '비계'학습의 필요성을 가리킵니다. 이것은 개발자가 이미 알고 있는 것을 기반으로 구조화되거나 비계로 구성된 교육입니다. 스캐폴드 교육은 한입 크기의 덩어리에 새로운 기술을 계속 구축하는 동안 이전의 경험을 활성화하고 향상시킵니다. 이것은 실무 학습을위한 완벽한 수단입니다.

스틱 기술을 부여

개발자 보안 교육과 관련하여 개발자는 이론 기반 정적 학습의 드루저니에 대한 학습별 방법을 선호한다는 것을 알고 있습니다. 그런 의미에서, 하이퍼 관련성이 있는 상황에 맞는 환경에서 안전하게 코딩하는 법을 배우는 것이 중요합니다. 보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 관련 프로그래밍 언어와 프레임워크에서 상황에 맞는 실습 교육을 제공하며, 이러한 개발자가 실제 세계에서 직면한 문제를 모방합니다. 학습 콘텐츠에는 5,500개 이상의 과제와 missions 모든 중요한 OWASP 탑 10, OWASP 모바일 탑 10, OWASP API 보안 탑 10 및 CWE/SANS Top 25를 포함하여 147개 이상의 다양한 취약점 유형을 포함합니다. 

팀에 미치는 잠재적 영향과 보안 코드를 더 빠르게 전달할 수 있는 기능을 확인하려면 지금 데모를 예약하세요.

보안 코딩에 대해 학습할 때 개발자의 주요 동기는 무엇이며 성공적인 응용 프로그램 보안 프로그램을 설계하고 구현하기 위해 어떻게 활용할 수 있습니까? 2020년, Secure Code Warrior Evans Data Corp.와 협력하여 보안 코딩, 보안 코드 관행 및 보안 운영에 대한 개발자의 태도에 대한 기본 연구를 수행합니다(여기에서 백서 다운로드). ‍

설문조사를 통해 개발자는 보안 코드 교육에서 값을 볼 수 있다고 주장합니다. 또한 개발 관리자의 80%는 안전한 코딩 기술을 갖춘 개발자를 고용할 가능성이 더 높다고 말합니다. 따라서 이러한 수요가 높은 기술로 보안 교육을 받은 개발자가 부족한 이유는 무엇입니까? 

개발자의 부분에 동기 부여의 부족은 핵심 문제가 되지 않는 것 같다. 개발자는 동기부여가 되며 보안 코드 교육을 학습하기위한 동기 부여의 출처에 대해 물었을 때 이것이 바로 그들이 우리에게 말한 것입니다.

• 응답자의 35%가 회사 관련 우려에 의해 주도되었습니다.
• 24%는 개인적인 이유로 동기를 부여받았습니다.
• 41%는 개인 및 회사 동기에 의해 주도되었습니다. 
  

그리고 우리가 조금 더 깊이 파고 때, 우리는 보안 코드 교육을위한 상위 5 개인 동기는 다음과 같습니다 발견 :

1. 생산성 과 효율성 향상
2. 호기심/개인적인 관심사
3. 안전하지 않은 코드로 인한 문제 방지
4. 잠재적 경력 발전
5. 인적 자원의 보다 효율적인 사용

개발자는 회사 중심의 동기를 고려할 때 보안 코드 관행을 학습하면 생산성을 높일 수 있는 방법을 이해합니다. 관리자는 보안 코딩을 연습하면 인적 자원을 보다 효율적으로 사용할 수 있는 방법을 확인할 수 있습니다. 동기부여는 지역마다 다르지만, 글로벌 규모로생산성과 효율성 향상에 대한 욕구는 여전히 일정한 것으로 남아 있습니다.
‍

‍

즉, 개발자는 항상 고용주의 요구와 같은 외부 요인에 의해 보안 코딩에 대해 배울 구동되지 않습니다. 많은 경우에, 결정은 자기 동기부여. 개발자는 개발자가 안전한 코딩을 공부하도록 유도하는 네 가지 이유를 볼 때 와 같이 자신이 만드는 것에 관심을 가지고 있으며 자신의 작품을 자랑스럽게 생각합니다. 개발자의 25%는 회사에 대한 가치를 창출하고 싶다고 말하지만, 동일한 비율은 코드품질을 향상시키고 싶다고 말합니다. 다른 사람들에게는 직장에서의 명예, 가시성 및 인식에 관한 것입니다. 70%는 보안 코드가 작성될 때 회사에서 인정된다고 답했습니다. 또한 앞서 언급했듯이 개발 관리자의 80%는 안전한 코딩 기술을 갖춘 개발자를 고용할 가능성이 높습니다.

개발자는 동기부여가 되므로 왜 더 참여하지 않습니까? 

보안 숙련 된 개발자가 너무 소중히 생각하고 배울 수있는 동기가있다면, 왜 그들은 그렇게 부족한 공급에 있습니까?

우리가 보았듯이, 개발자는 보안 코딩 기술을 증가시킬 명확한 이유가 있지만 현재 보안 교육의 많은 것을 싫어합니다. 거의 그것을 추구. 이 연구에 따르면, 우리는 대답이 상대적으로 간단하다고 믿습니다: 개발자가 처음부터 코딩을 안전하게 보호하는 주요 요소를 완전히 해결하지 못하기 때문에 사용 가능한 현재보안 코딩 교육은 부적절합니다.

이러한 각 요소를 살펴보겠습니다. 

가치와 효율성을 높이고 코드품질을 향상시키는데 있어 개발자는 일상적인 프로세스에 내재된 안전한 코딩을 만드는 교육이 필요합니다. 처음부터 취약점을 식별하고 수정할 수 있는 기술이 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다. 전통적인 교육 접근 방식은 이를 제공하지 않으며 많은 개발자는 매우 지루하고 관련이 없다고 생각합니다.

보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 안전한 코딩은 개발자에게 긍정적이고 매력적인 경험을 제공합니다. 우리는 개발자가 배우고 싶어하는 방식으로 교육을 제공해야한다고 믿습니다. 이를 통해 '실무적이고 상호 작용하며 참가자들이 처음부터 보안 기능을 코드로 구울 수 있도록 영감을 주는 관련 시뮬레이션 및 과제를 해결해야 합니다. 이 고도의 대화형 개발자 중심의 교육 접근 방식은 개발자가 응용 프로그램 보안 프로그램의 핵심에서 배울 동기를 부여합니다. 이 모든 것이 어떻게 합쳐지는지 보고 싶다면 지금 데모를 예약하세요.

‍

‍

이 문서의 버전은 어두운 읽기에나타났다. 여기에 업데이트되고 신디케이트되었습니다.

‍

사이버 보안 업계에서 크리스마스를 망칠 수있는 무언가가 있다면, 그것은 기록에 미국 정부에 영향을 미치는 가장 큰 사이버 스파이 이벤트가될 궤도에 파괴적인 데이터 유출이다.

SolarWinds 공격은 광범위하고 있으며, 위협 행위자는 2019 년 중반에소프트웨어를 처음 위반했습니다. 이 개월 긴 heist는 저명한 사이버 보안 회사, FireEye에침투하는 데 사용 된 후 2020 년 12 월에 발견되었으며, 악몽은 거기에서 해명되었습니다. 위반의 전체 범위는 여전히 조사되고 있지만, 침투의 주요 영역은 미국 국무부, 국토 안보, 상업 및 재무부를 포함, 건강의 국립 연구소 뿐만 아니라.

이 사건은 지속적인 여진을 가질 예정이지만, 그 정교함은 매혹적입니다. 기술적인 수준에서, 그것은 사용자 정의 악성 도구, 백도어 및 은폐 코드와 관련된 다층 침투입니다, 훨씬 더 명백한 오류를 악용 볼 스크립트 키디의 기술을 넘어.

최악의 코드 세탁

CrowdStrike는 악용을 리버스 엔지니어링하고 모든 사람들이 볼 수있는 결과를 자세히 설명하면서 천재적인 작업을 더 많이 수행했습니다. 이제 SolarWinds가 인프라 침해의 피해자였으며, 시스템 업데이트에 악성 코드 주입을 허용하여 적어도 4개의 개별 맬웨어 도구가 위협 행위자를 위한 전례 없는 액세스를 열어주도록 했습니다.

이 방법은 은밀하여 제이슨 본 소설에서 바로 벗어난 전략적 정밀도를 허용했습니다. 그것은 포괄적 인 공급망 공격에서, 그들이 원하는 정확히 때 솔라 윈즈 네트워크 외부 의 주위에 냄새를 맡기 위해 시간을 샀다. 그리고 그것은 모두 완전히 양성 으로 보이는 코드로 수행되었다. 

사이버 공격은 종종 간단하면서도 비용이 많이 드는 오류의 결과입니다. 그리고 일단 발견되면, 실수는 매우 분명하다; 제대로 구성된 네트워크, 일반 텍스트에저장된 암호 또는 알려진 악용에 취약한 패치가 없는 소프트웨어를 생각해 보십시오. 이 경우 코드는 개발자와 보안 엔지니어뿐만 아니라 전혀 눈에 띄지 않았습니다. 비싸고 복잡한 보안 기술의 폭 이도 감지하지 못했습니다.  

보안 모니터링 및 침투 테스트 도구는 사실상 쓸모없게 렌더링되었습니다.

보안 전문가들은 말 배설물을 흔드는 것만큼 드문 경향이 있으므로 비즈니스의 보안 요구에 맞게 사용자 정의 된 기술 스택을 통해 엄청난 양의 회사 데이터, 소프트웨어 및 인프라를 확보하기 위한 노력에 도움을 받습니다. 이는 일반적으로 네트워크 방화벽, 자동화된 침투 테스트, 모니터링 및 스캔 도구와 같은 구성 요소의 형태를 취하며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 할애합니다. 이 툴링은 빠르게 나선형으로 변할 수 있으며 관리하기가 어려워지며 많은 회사에서 300가지 이상의 다양한 제품과 서비스를사용할 수 있습니다.

SolarWinds는 코드에서 보안 버그를 찾고 강조 표시하고, 무단 네트워크 액세스를 시도했으며, 인프라의 모든 부분에서 잠재적 인 타협을 시도하고, 탐지 회피의 징후를 포착할 수있는 도구의 눈길을 끄는 배열을 가질 것입니다. 이러한 위협 행위자는 가장 진보 된 보안 스택에서도 발견되지 않은 악성 코드를 주입 할 수 있었던 것은 전례가 없습니다. 

인프라 강화(특히 액세스 제어)는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회 창을 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 동일한 네트워크가 손상될 수 있습니다. 

이 위반은 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에 만 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다. 코드를 보호하는 것만으로는 충분하지 않습니다. 모든 저장, 실행 및 컴파일은 강화와 동일하게 이루어져야 합니다. 이상적인 상태는 도구와 사람들의 균형이며 잠재적인 공격 표면을 평가하고 줄이는 강력한 전략을 실행합니다.

팀 간 보안 인식으로 위협 모델링 개선

SolarWinds 위반은 이미 특히 정부 차원에서 보안 운영에 큰 영향을 미치기 시작했습니다. 전문가들은 이것이 사이버 보안 관행을 영원히 바꿀 수 있다고선전하고 있습니다.

점점 더 디지털 인프라가 우리의 삶에 힘을 실어주며, 세심하게 관리되지 않으면 공격에 취약할 수 있지만, 우리의 일반적인 전략에결함이 있습니다. 우리는 보안 전문 지식과 관련하여 인력이 부족하지만 격차를 줄이기 위해 많은 일을하지 는 않습니다. 인간 중심의 보안 인식은 반응보다는 예방을 최우선 순위로 삼고 있는 것처럼 사이버 보안의 활용도가 낮은 요소입니다. 

인프라 보안은 많은 움직이는 부품이 있는 복잡한 사업이지만 소프트웨어 생성에 위치하는 방식과 유사하게 개발자는 적절하게 교육되고 보안을 인식하는 경우 구조적 위험을 줄이는 자산이 될 수 있습니다. 

위협 모델링은 공급망 공격을 거의 고려하지 않지만, 이러한 유형의 공격이 2012년 초에 현재 기술로 는 예방하기 어려운 주요 위험으로 강조되고 있으며 많은 기업이 준비되지 않은 상태로 떠납니다. 소프트웨어 개발자는 예방에 절대적으로 역할을 할 수 있으며, 이를 통해 처음부터 코드 무결성을 평가할 수 있습니다. 업데이트 메커니즘을 안전하게 구축했습니까? 소프트웨어가 불필요한 연결로 실행되어 있어 악의적인 손상이 더 쉬워졌습니까?

보안이 소프트웨어 품질과 동의어인 경우 보안 인식 엔지니어가 테이블에 가져올 수 있는 엄청난 가치를 쉽게 확인할 수 있습니다.

사이버 위협의 수가 계속 증가함에 따라 조직은 보안, 실용성 및 속도 간의 일상적인 절충을 통해 그 과정에서 위험에 노출되고 있습니다. 코딩 을 확보하기 위한 새로운 접근 방식이 필요하므로 보안 코드 전사는 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 기본 연구를 수행하기 위해 Evans Data Corp.와 협력했습니다(여기에서 백서 다운로드).

이 보고서에서 밝힌 것은 '구식' 반응적 사고가 여전히 지배하고 있지만, 보다 적극적인 솔루션의 필요성에 대한 인식이 높아짐에 따라 개발자들이 스스로를 첫 번째 방어선으로 전환한다는 것입니다.  

보안 코딩 관행의 채택에 대한 탐구는 구현에 관여하는 인간의 이해, 그것에 대한 인식 및 구현 능력으로 시작해야합니다. 그러면 퍼즐의 가장 중요한 조각으로 이어지며, 어떻게 처음부터 더 안전하게 코딩할 수 있고 품질 코드를 더 빠르게 배송할 수 있을까요? 

보안 코딩 – 현재 어디에 있으며 무엇을 변경해야 합니까? 지금 인포그래픽 '인간 요소'를 다운로드하세요.

현재의 관점 - 반응성 대 사전 대응

개발자와 개발 관리자가 보안 코딩과 연관된 활동에 대해 물었을 때 상위 3가지 응답은 다음과 같은 것입니다.

• 배포된 응용 프로그램에서 검색 도구를 사용합니다.
• 취약점에 대한 코드를 수동으로 검토합니다.
• 취약점으로부터 보호되는 소프트웨어를 작성하는 활성 및 지속적인 관행입니다.

우리가 볼 수 있듯이, 상위 세 응답 중 두 가지는 여전히 반응적 접근 방식에 초점을 맞추고 있습니다 - 툴링 (스캐너)에 대한 첫 번째 의존, 그리고 수동 검사를 수행하는 개발자 (즉, 인간)에 두 번째.

동시에, 지명 된 세 가지 활동 중 두 가지는 인간의 요소에 의존한다. 이는 안보에 대한 인식이 인간의 문제로 커지고 있음을 가리킨다. 그러나 후보에 오른 모든 활동 중 가장 많은 것은 3번으로, 애초에 취약점으로부터 보호되는 소프트웨어를 작성하는인적 요소를 식별합니다. 이는 SDLC가 시작될 때부터 보안을 소프트웨어로 전환하는 사전 예방적 및 예방 적 접근 법인 왼쪽 으로의 전환을 강조합니다. 

보안은 SDLC에 어디에 적합합니까? 

개발자와 개발 관리자가 SDLC에 통합되는 보안 코드 관행을 어디에서 볼 수 있는지 묻는 메시지가 표시되면 의견이 다릅니다. 관리자의 55%는 보안 코딩이 전체 개발 프로세스에 통합되어 있다고 생각하며, 개발자의 43%에 불과합니다. 차이점은 SDLC 내에서 이 두 그룹의 다른 역할을 반영할 수 있습니다. 관리는 일반적으로 코딩의 실제 작업에 덜 관여하고 개발자가 너트와 볼트에 더 관심이있을 수 있습니다 반면, 높은 수준의 보기를 하는 경향이있다.

그러나 전반적인 보안 및 코드 품질 관점에서 볼 때, 놀라운 것은 개발자의 13%와 관리자의 10%만이 SDLC가 시작될 때 보안 코드 관행을 설계 단계 내에 통합해야 한다고 말합니다. 이것은 거대하고 실현되지 않은 기회입니다. IBM 연구에 따르면, 출시 후 코드의 취약점을 발견하고 초기에 수정하는 것보다 30배 더 비싸다.1 이는 개발자가 처음부터 보다 안전하게 코딩할 수 있도록 하는 소프트웨어 보안에 대한 새로운 사전 예방적이고 인간 주도적인 방어를 위한 강력한 인센티브입니다. 소프트웨어 보안은 툴링에만 의존하여 해결할 수 없으며 인간의 요소를 고려해야 합니다. 

인간의 요소는 준비되어 있습니까?

설문조사에 참여한 개발자의 97%는 보안 코딩에 대한 충분한 교육을 받았으며, 95%는 보안 코딩 교육이 경력에 귀중하다는 데 동의했습니다. 그러나 이러한 클레임을 액면가로 수락하기 전에 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? 개발자의 안전한 코드 전문 지식 주장은 인간의 자아의 경우일 뿐입니까? 증거는 확실히이 방향을 가리킵니다. 보다 겸손한 입장에서 조사된 개발자의 88% 이상이 안전한 코딩을 배우기 어렵다는 것을 인정하며, 개발 관리자의 91%는 보안 코딩 관행을 구현하기가 어렵다는 것을 인정합니다. 보안 코드 구현과 관련된 주요 개인 문제를 파악하라는 요청을 받았을 때 개발자의 28%는 학습 프로세스가 까다롭고 24%는 학습 프로세스가 지루하다고 합니다. 이는 개발자 교육이 개선되어야 한다는 사실을 가리킵니다. 

인간의 요소는 무엇을 필요로 합니까? 

'도전' 요인을 극복하기 위해서는가치있는 보안 교육은 개발자가 한 단계씩 안전한 코딩 기술을 구축할 수 있도록 지원하는 '스캐폴딩' 프로세스가 필요합니다. 관련성과 즉각적인 적용가능성을 극대화하기 위해, 그 훈련은 매일 사용하는 특정 언어:프레임워크에서 진행되어야 합니다.

'지루함' 요인을 극복하기 위해서는보안 코드 교육을 실습 방식으로 제공해야 하며, 이는 오래된 교실이나 '이 비디오 보기' 모델보다 개발자에게 훨씬 더 매력적인 것으로 입증되었습니다. 여기에는 개발자가 안전한 환경에서 때로는 위험한 보안 문제를 해결할 수 있는 라이브 시뮬레이션이 포함되어야 합니다. 목표는 개발자가 작동하면서 코드의 취약점을 찾고 수정하는 방법을 가르치고 일상적인 흐름의 안전한 코딩 부분을 만드는 것입니다. 또 다른 주요 인내 활성화 요소는 내부-IDE linting 및 코칭으로, 개발자가 코딩할 때 지속적으로 배우고 업 스킬을 사용할 수 있도록 하여 취약점을 방지하고 제거하는 것입니다.

개발자에게 개발자 중심의 도구와 교육의 새로운 수준을 제공하는 방법을 찾으려면 지금 데모를 예약하세요.

반응에서 예방으로 이동하는 백서의 사본을 다운로드 할 수 있습니다 : 응용 프로그램 보안의 변화하는 얼굴.

‍

사이버 위협이 계속 증가하고 있는 세상에서 코더가 강화되고 있습니까? 보안 코딩의 인간 요소인 모든 중요한 개발자가 연결된 세상을 보호하는 데 자신의 역할을 할 준비가 되어 있습니까? 이 질문에 답하기 위해 보안 코딩, 보안 코드 관행 및 보안 작업에 대한 개발자의 태도에 대한 최근 연구에서 몇 가지 통찰력을 살펴 보겠습니다. Secure Code Warrior 에반스 데이터 코퍼레이션과 함께

개발자의 안전한 코딩 기술 – 인식 대 현실

곧 출시 될 출시 된 변화에 대한 반응에서 예방으로의 이동 : 응용 프로그램 보안의 변화하는 얼굴,설문 조사 개발자의 97 %는 보안 코딩에 충분한 교육을 했다고 생각하고, 95 %는 보안 코딩 교육이 자신의 경력에 가치가 있다고 동의했다. 그러나 이러한 주장을 액면가로 받아들이기 전에 몇 가지 중요한 질문을 반영하고 질문해야 합니다. 코드 취약점이 여전히 널리 퍼진 이유는 무엇입니까? '왜 개발자가 보안 코딩에 대해 잘 훈련된 경우, 동일한 오래된 취약점이 지난 20년 이상 보안 침해의 대부분을 일으키는 동일한 10개의 소프트웨어 취약점을 반복해서 자르는 이유는 무엇입니까?  

정말 무슨 일이야? 

개발자들은 보안 교육을 잘 받았지만 과신할 수 있다고 말합니다. 이 긍정적인 자기- assessment 보안 코딩의 어려움에 대한 개발자의 견해와 모순됩니다. 대부분의 개발자는 귀중하고 충분한 교육을 받았다고 말하지만 대부분의 개발자와 개발 관리자는 여전히 보안 코드 관행을 구현하는 것이 조금 어렵다고 생각합니다. 

• 개발 관리자의 91% 이상이 보안 코드 관행을 구현하는 것은 어렵다고 말합니다. 
• 개발자의 88% 이상이 안전하게 코딩이 어렵다고 합니다. 보안 코딩의 모든 중요한 '인간 요소'로서 개발자는 필요한 보안 코드 교육을 받지 못하고 있으며, 이는 보안이 어떻게 생각하는지에 내재되어 있는 더 나은 보안 코드 교육과 업스킬링의 필요성을 지적합니다. 

보안 코드를 구현하는 것이 왜 그렇게 어려운가요?

개발자와 개발 관리자가 보안 코드를 구현하는 것이 어려운 이유를 이해하기 위해 구현과 관련하여 주요 문제를 식별하도록 요청받았습니다.

이것은 28%가 학습 과정이 어렵다는 것을, 24%는 학습 과정이 그 자체가 지루하다는 것을 것을을 발견했습니다.

이러한 주요 관심사는 관련 영향을 미칩니다. 학습 과정이 어렵기 때문에 더 매력적인 교육이 필요합니다. 또한 학습 프로세스가 지루하기 때문에 개발자와 더 관련성이있는 교육이 필요하며 개발자 중심의 성인 학습의 필요성을 강조합니다.

"저는 무언가를 배우고 싶고, 다른 시나리오에 적절하게 적용할 수 있도록 하고 싶습니다. 그것은 될 것입니다 Secure Code Warrior ."
‍
선임 직원 소프트웨어 엔지니어 @ 포지록

누락된 링크

보안 코딩의 변화의 챔피언으로서, Secure Code Warrior 안전한 코딩 기술을 양성적이고 보람있는 경험으로 만드는 인간 주도의 접근 방식을 취합니다. 개발자는 100% 실습, 재미있고 대화형 교육을 통해 보안 코딩 관행에 완전히 관여하여 코딩할 때 보안 문제를 식별하고 해결할 수 있도록 합니다. 이 모든 것은 내일뉴스가 되기 전에 취약점을 방지하여 출시 비용과 시간을 줄입니다. 

그러나 그것을 위해 우리의 말을하지 마십시오 :

"보안 코드 전사® 포털은 여러 기술 에서 보안 취약점에 대해 배울 수있는 훌륭한 플랫폼입니다. 흥미롭고 인터랙티브한 둘 다입니다."
‍
보안 테스터, 중소기업 소매 회사
TVID: 5AC-3CA-F68

" Secure Code Warrior "게임화의 사용은 우리가 상쾌하게 재미있고 매력적인 방법으로 안전한 코딩의 중요성을 강조하는 데 도움이되었습니다."
‍
소프트웨어 엔지니어, 글로벌 500 금융 서비스 회사
TVID: B0D-73D-BE3

그리고 그 출신이 더 많이 있습니다. 따라서 코드 교육을 가까이에서 개인으로 보호하고 개발자를 진정한 보안 슈퍼 히어로로 바꾸는 방법을 보려면 이 새로운 접근 방식을 보고 싶다면 이를 보여주고 싶습니다.