이는 조직 내에서 PCI-DSS 컴플라이언스를 성공적으로 준수하는 두 부분으로 구성된 시리즈의 1부입니다. 이 장에서는 AppSec 전문가가 개발자에게 권한을 부여하고 SSDLC를 강화하며 일반 법률에서 특정 결과를 얻기 위해 개발 관리자와 긴밀히 협력할 수 있는 방법을 자세히 설명합니다.
"규정 준수"라는 단어는 그리 흥미롭지 않습니다. 그것은 공식, 건조, 지시문입니다 ... 심지어 그 톤에 조금 제한. 색이 있다면 베이지색이 될 것입니다. 그리고, 음, 그것은 창조적 인 환경이나 혁신의 어떤 종류와 확률에 보인다.
개발자로서, "준수하는 것은 일반적으로 몇 가지 지침을 읽거나 프리젠 테이션을보는 것을 의미 (수직으로), 코딩 기능으로 돌아가고객이 사용하고 사랑 할 소프트웨어를 만드는 데 집중하기 전에. 모든 사람은 현재 할 수 있는 것을 유지하며(항상 옳은 일을 하려고 노력함) 규정 준수 지침( 특히 주변 보안 모범 사례)은 일반적으로 개발자와 함께 타겟 대상으로 작성되지 않으며 필요한 작업은 불분명할 수 있습니다. 이 시나리오에서는 현재 목표를 가지고 작업하는 것이 너무 쉽습니다.
문제는 보안 소프트웨어 개발이 더 이상 어떤 회사에서도 "가지고 있는 것이 좋은 것"이 아닙니다. 그것은 모든 조직에서 (또는해야) 마음의 앞에 ... 그리고 그것은 민감한 고객 정보의 광대 한 금액을 보유하고 있다면, 그 회사는 사이버 공격에 관해서 따기에 대 한 익은. 개발자는 먼저 코드에 대해 실습해야 하며, 따라서 보안 규정 준수 조치에 팀의 나머지 부분과 마찬가지로 참여해야 합니다.
하지만, 기다려... 내 말을 들어. 그렇다고 모든 사람이 경직되고 창의성이 없는 개발 및 소프트웨어 결과의 노예가 되어야 한다는 것을 의미하지는 않습니다. 이는 비즈니스가 더 높은 수준의 코드를 함께 만들 수 있는 기회와 능력을 가지고 있습니다. 지금까지 너무 느리게, 세계는 사실을 따라 잡기, 지금까지, 개발자는 보안을 우선 순위로 만들기 위해 자신의 처분에 정확히 올바른 도구를 가지고 있지 않은 (그리고 사일로 보안 전문가는 혼자 책임을 감당할 수 없습니다). 그러나 업계가 보안을 공유하는 데브세옵스의 미래를 향해 나아가면서 성공을 위해 설정할 때 반복되는 취약점의 흐름을 막을 수 있습니다.
PCI-DSS 지침은 카드 결제 게이트웨이에 대한 온라인 보안 규정 준수를 포함합니다- 우리 대부분이 정기적으로 사용하는 서비스입니다. 이러한 지침은 전 세계적으로 적용 가능하며, 실제로 개발자가 전자 상거래 비즈니스의 여러 측면에 걸쳐 여러 규정 준수 문서와 함께 표준 규정을 유지하기 위해 수행해야 하는 작업을 자세히 설명했습니다.
데이터 유출은 무서운 평판 파괴 위험이 기업이 감당할 수 있는 위험이며 사이버 보안 벤처스가 2021년에 하루에 1일에도달하기 위해 제로 데이 위반을 하는 것으로 나타났습니다.
PCI-DSS 권장 사항과 팀 전체에서 작업할 수 있는 방법을 세분화해 보겠습니다.
이봐, AppSec 및 규정 준수 팀 : 모든 개발자 교육은 동일하게 생성되지 않습니다
대규모(또는 소규모) 조직의 개발자는 실무 수행 에 대한 교육에 많은 입력을 하는 경우는 거의 없습니다. 스타 직원을 유지하기 위해 일부 회사는 포괄적 인 프로그램을 제공하지만, 이들은 여전히 그들이해야보다 덜 일반적이다. 보안 교육의 필요성은 모든 사람을 지루하게 하지 않고 조직 규정 준수를 시작할 뿐만 아니라 개발 팀과의 서리가 내린 관계를 따뜻하게 할 수 있는 좋은 기회를 제공합니다.
PCI 규정 준수 측면에서, 당신은 그들의 지침이 지불 게이트웨이를 실행하는 모든 소프트웨어에서 기대하는 결과에 대한 구체적임을 알 수 있습니다; 다른 목표 들 중, 그들은 응용 프로그램 강화 (악성 코드 주입 또는 변조를 방해 하는 데 중요 한), 최소 권한 제어 및 일반적인 취약점의 본격적인 인식... 최소한. 카드 소지자 데이터로 작업하는 모든 직원은 적절하게 교육을 받아야 하며 개발자의 경우 교육이 프로세스 시작부터 보안 코드를 작성하는 데 성공할 수 있습니다.
PCI-DSS 규정 준수 문서를 유지하기 위한 공식 모범 사례는 보안 인식, 개발자 요구 및 다음과 같은 적절한 교육에 대한 몇 가지 직접적인 개념을 자세히 설명합니다.
저작권 © 2006 - 2020 PCI 보안 표준 위원회,LLC. 모든 권리보유.
이를 통해 개발자를 필요한 기술로 무장시키는 데 필요한 구체적인 심층 교육에 대한 통찰력을 제공하지만, 다른 기술보다 더 효과적인 특정 유형의 교육 솔루션을 가리키지는 않습니다. 개발자를 위한 PCI-DSS 가이드는 OWASP Top 10을 가장 일반적인 취약점과 일부 인증 프로그램을 찾아 해결하는 학습을 위한 하나의 벤치마크로 식별하여 좀 더 직접적으로 가져옵니다.
하지만... 여기에 문지르기입니다. 다양한 작업장 교육 및 규정 준수 이니셔티브에서 알 수 있듯이 품질과 미래의 성공에 따라 크게 달라질 수 있습니다. 그리고 개발자의 경우, 많은 보안 코딩 교육 프로그램은 우리의 요구, 작업 방법 또는 의미 있는 용량의 일상적인 작업을 충족시키지 못하는 것 같습니다. 이 시나리오에서는 모든 교육이 동일하게 만들어지는 것은 아니며 모든 교육이 더 안전한 소프트웨어가 발생하는 것은 아닙니다. 이것은 물론, 원하는 결과의 정반대이며, 자신의 작업의 스트레스를 크게 줄이지 않습니다. 부담을 줄이고 일반적인 취약점이 잠재적 인 재해를 일으키는 것을 막으려면 다리를 만들어야합니다.
보안 기술 격차를 엔지니어링 관리자와 연결
엔지니어링 관리자와 직접 협력하여 목적에 맞는 솔루션을 찾았지만 실제로 이를 수행해야 하는 사람들이 수용하는 것은 긍정적인 보안 결과에 대한 빠른 경로입니다. 그들은 자신의 팀에 대한 더 즉각적인 통찰력을 가질 것이며, 이전에 규정 준수 교육을 어렵게 만든 모든 차단제에게 이야기 할 수 있습니다 (좋은 경험이 아닌 것 이외에, 대부분의 시간).
교실 기반 교육, 주문형 비디오 및 일회성, 체크 더 박스 운동은 현재의 체류를 매우 어렵게 만듭니다. 이러한 솔루션은 끊임없이 변화하는 사이버 보안 산업인 환경에 보조를 맞추 지 못하는 정적 솔루션입니다. 궁극적으로 엔지니어링 관리자는 시간 약정에 대한 가치를 보고 싶어하며, 모든 사람의 공유 목표를 충족하기 위해 작업하는 실행 가능한 옵션인 보다 안전하고 준수하는 코드를 제공하는 것이 중요합니다.
그렇다면 좋은 훈련은 어떤 모습일까요? 정보의 큰, 일회성 조회수를 통해 안전하게 코딩하는 방법을 학습하는 것은 거의 의미가 없습니다. 한입 크기의 점진적 학습 프로세스를 통해 문맥에서 기억하고 적용하는 것이 훨씬 쉬워지며, 매일 사용되는 언어와 프레임워크에 있어야 합니다. 개인적으로, 나는 도전을하고 싶어, 나는 내 노력에 대한 목적을보고 싶어 - 우리는 모두 만큼 충분히 바쁘다, 오른쪽?
선택한 솔루션에 따라 위에서 설명한 PCI-DSS 모범 사례를 준수하기 위해 관리자는 서로 다른 패치워크를 함께 꿰매어야 할 수도 있습니다. courses 비즈니스 전반에 걸쳐 사용되는 모든 언어와 프레임워크를 다루기 위해 AppSec 및 규정 준수 팀이 소프트웨어의 보안 및 취약성 감소에 영향을 미치는 것으로 평가하기가 어렵지 는 않습니다. 빠른 결과를 쫓는 잘못된 옵션으로 돌진하는 대신 올바른 핏을 찾기 위해 함께 노력하십시오. 그렇지 않으면 프랑켄슈타인 교육 솔루션으로 끝날 수 있습니다... 그리고 그것은 매우 무서운 보인다.
이 PCI-DSS 미니 시리즈의 일부를 체크 아웃 주셔서 감사합니다. 마지막 장에서는 CISO와 CTO가 이러한 문화 혁신을 돕고, 팀을 활성화하고, 보안 최전선 "개발자 코호트"가 PCI-DSS 인식 및 규정 준수를 사용할 수 있는 방법에 대해 논의합니다.