사이버 보안 모범 사례는 전 세계 대부분의 지역에서 정부 차원에서 자주 논의된 10년 이상 핫 버튼 문제였습니다. 사이버 공격은 본질적으로 일상적인 현실이며, 귀중한 개인 데이터를 온라인에 저장하는 모든 엔터티는 잠재적인 목표입니다. 독일에서만 연방 교육부는 모든 중소기업의 96%가 이미 IT 보안 사고를 경험한 것으로 추산하고 있다. 같은 보고서는 사이버 보안 연구, 입법 및 인식에 대한 긴급한 필요성을 강조하며 컴퓨터 과학 및 IT 관련 분야에서 보다 강력한 보안 교육을 포함시키는 것에 대한 확실한 소집을 합니다.
GDPR의 출현과 독일 연방 정부의 서버 등 많은 공인의 민감한 데이터를 노출시킨 다단계 공격 이후 개정된 전략으로, 사이버 보안 인식과 행동이 DACH 지역의 지도자들에게 는 최후의 마음임을 알 수 있습니다. 늦은 2018 해킹은 상대적으로 낮은 기술의 20 세 학생에 의해 실행되었다, 단순히 암호를 추측하여 가능하게 매우 민감한 정보에 대한 자신의 주요 액세스 포인트와. 이것은 인증 악용에 관한 매우 중요한 것이었지만 정부, 비즈니스 및 사회 수준에서 훨씬 더 나은 보안 인식의 필요성을 강조했습니다. 2019년 보고서는 독일이 주요 전술로 입법에 의존하는 사이버 보안 방어 이니셔티브측면에서 뒤쳐지고 있다고 강조했다. 그러나 DevSecOps가 이상적인 개발 방법론으로 등장함에 따라 많은 기업들이 실무 교육, 보안 별 소프트웨어 생성 및 전사적 보안 인식 프로그램의 필요성을 인식하고 있습니다.
DACH의 소프트웨어 보안 심장 박동 OWASP 및 MITRE와 같은 조직은 가장 자주 발생하는 취약점의 데이터 검증 순위를 게시합니다. 모든 언어에서 SQL 주입은 1위를 차지하며 수십 년 이내임에도 불구하고 일반적인 결함이며 종종 비참한 결과로 악용됩니다.
스위스 BPC 뱅킹 소프트웨어인 SmartVista는 SwissCERT에 의해 SQLi 취약점에 대한 경고를 받았지만 신용 카드 번호를 포함한 민감한 고객 데이터를 노출할 수 있음에도 불구하고 몇 달 동안 패치를 받지 못했습니다. SQL 주입은 2017년 미국과 영국의 여러 정부 부처 및 대학의 위반과 마찬가지로 위험한 위반으로 이어질 수 있으며 위험합니다. 이러한 인시던트의 대부분은 느슨한 입력 유효성 검사 프로세스로 인해 발생하므로 공격자가 응용 프로그램의 프런트 엔드에서 악성 코드를 삽입할 수 있습니다. 또 다른 일반적인 취약점 소스는 보안 버그에 대해 확인되지 않은 안전하지 않은 공급업체 코드를 사용하는 것이며, 따라서 결함이 이전에 스캔되고 지워진 프로덕션 환경에 도입됩니다. 이러한 액세스 포인트 는 DACH 지역에 만지작스로, 오히려 세계가 더 많은 코드를 생성함에 따라 계속할 수 없는 열악한 보안 관행의 글로벌 예입니다.
문제가 발견되자마자 패치해야 하며, SmartVista의 발을 끌어들이기로 한 결정은 재앙이 었을 수 있습니다. DACH는 위반의 점유율을 가지고 있지만, 보안 인식 및 교육에 더 초점을 맞춘 지침과 지원은 조직에서 잠재적 인 문제를 방지 할 수 있습니다, 이것은 개발자를위한 평가 교육을 운전에 훨씬 더 구체적인 법률이 필요합니다.
모든 보안 코드 교육이 동일하게 만들어지는 것은 아닙니다. 전 세계의 많은 사이버 보안 지침은 더욱 포괄적으로 변하고 있지만 효과적인 보안 교육을 요약할 때 는 다소 비특이적입니다. EU의 국정원 지침은 국가 차원에서 '인식 제고, 교육 및 교육'에 대한 요구 사항을 포함하지만, 교육 솔루션으로 돌진하는 것은 개발자와 조직 적 변화를 유도하는 핵심 요소가 없는 경우 가시적 위험 감소의 바람직한 결과가 없을 수 있습니다.
교육 솔루션은 다양하며 교육은 개발자의 일상 업무(선호하는 언어 및 프레임워크에서 학습할 수 있는 기능 포함)에 만전을 기할 뿐만 아니라 시간이 지남에 따라 매력적이고 측정가능한 상태를 유지해야 합니다.
정적 교육 솔루션, 이러한 컴퓨터 기반 비디오 교육은 종종 너무 일반적이며, 거의 인식과 기술이 기록되는 대로 코드입력 취약점을 중지하는 인식과 기술을 구동의 성공에 대한 재검토 또는 평가. 그러나 동적 교육은 비즈니스 완화 프로세스에 영향을 주는 메트릭을 제공하는 것 외에도 컨텍스트 예제를 사용하여 개발자를 업스킬링하는 데 매우 중요합니다. 자주 업데이트되고, 높은 수준의 지식 보존을 촉진하며, 직장에서 긍정적인 보안 문화에 기여하는 보안 인식 개발자를 구축하는 일환입니다.
Secure Code Warrior DACH 조종사의 데이터 포인트: Secure Code Warrior 'S Ema Rimeike, 사이버 보안의 MSc) DACH 지역의 조직과 긴밀하게 협력하고 있으며 개발자가 개발자 간의 사내 보안 코딩 역량, 보안 모범 사례와의 참여, 비즈니스의 전반적인 보안 문화를 측정하기 위한 파일럿 프로그램을 운영하고 있습니다. 게임화되고 역동적인 보안 코드 교육을 활용하여 개발자가 SDLC 시작부터 성공적인 취약성 감소를 촉진하는 지식과 도구를 제공받을 때 그녀의 주요 연구 결과는 밝은 미래를 보여줍니다.
파일럿 프로그램 중, 그녀는 통계를 기반으로 집계 사용자당 평균 90분이 소요됩니다. Secure Code Warrior (SCW) 플랫폼은 15개의 안전한 코딩 챌린지(한입 크기, 게임화 및 자가 진행 레슨)를 연주했습니다.
숫자로 DACH 조종사 사용자는 한 가지 과제를 완료하는 데 평균 5.5분, 다른 글로벌 SCW 파일럿의 경우 평균 3분 동안 시간을 보냈습니다.
정확도 대. 신뢰도: DACH 조종사는 도전에 대한 답변에 대한 확신을 위해 평균 88~92%의 비율을 등록했지만, 이러한 답변의 정확성은 53~66%에 해당합니다. 설문조사 대상 참가자의 75% 이상이 컴퓨터 기반 교육(CBT)과 같은 정적 접근 방식과 는 달리 게임화된 또는 동적 교육 방법을 선호합니다. 가장 자주 본 취약점 중, 우리는 사출 결함, 보안 오수, 교차 사이트 스크립팅 (XSS), 부적절한 플랫폼 사용, 액세스 제어, 인증, 메모리 손상, 교차 사이트 요청 위조, 불충분한 전송 계층 보호 및 검증되지 않은 리디렉션 및 전달을 보았다 일반적으로 DACH 지역의 많은 사람들이 강력한 업무 윤리와 정밀도에 초점을 맞추는 것은 비밀이 없으며 파일럿 프로그램을 시도하는 개발자도 예외는 아닙니다. 이러한 데이터 포인트는 이러한 유형의 교육에 익숙하지 만 계속 플레이하고 점수를 향상시키고 사용 가능한 "힌트"기능을 사용하지 않으려는 욕구를 말합니다. 배우고 개선하려는 그들의 열망은 분명하지만 조직 자체 내에서 효과적인 교육과 인식을 구현하기 위해 더 많은 작업을 수행해야 한다는 것을 보여줍니다.
위험을 줄이고 취약점을 차단하는 훌륭한 교육은 일회성 운동이 아니며 규정 준수 이상입니다. 관리자와 AppSec 담당자가 핵심 보안 목표를 반영하고 장기적으로 유지하려는 전략과 지원을 통해 보안 인식 프로그램을 출시하기 위해 노력해야 합니다. 이는 사실상 보안 인식 개발자와의 성공적인 DevSecOps 프로세스의 중추입니다.
파일럿 프로그램은 조직에 무엇을 공개합니까? Secure Code Warrior '파일럿 프로그램은 기업에게 현재 의 보안 상태(보통 65-75년 사이)와 즉각적인 개선을 위한 영역을 제공하는 데 매우 유용한 도구입니다. 그들은 다음과 같은 사실을 밝힙시다.
취약점을 우선 적으로 해결해야 하는 명확성뿐만 아니라 특정 팀, 사업부 또는 프로그래밍 언어에 이 방향을 적용해야 하는지 여부 소프트웨어 개발의 인적 요인을 포괄하는 SDLC 내의 사이버 보안 위험 요소에 대한 정확하고 광범위한 인텔리전스 범위입니다. 조직은 SCW 플랫폼을 활용하여 펜 테스트의 잠재적 결과를 예측하고 이러한 위험을 사전에 완화하여 특정 프로젝트에 할당되기 전에 팀을 준비할 수 있습니다. 포괄적이고 효과적인 보안 프로그램을 출시하기 시작한 조직에서는 일반적으로 전문 개발의 주당 1-1.5시간이 관리 수준에서 승인되어 개발자가 안전한 코딩 지식을 향상시킬 수 있도록 지원합니다. 그러나 우리는 조직이 "플랫폼에 집중하는 데 소요되는 시간에서 "어떤 소프트웨어 개발 팀이 비즈니스에 가장 높고 가장 낮은 위험을 초래하고 있는지"에서 벗어나고 있음을 알아차리고 있습니다. 이는 공식화된 인증/벨트, 보안 챔피언 의 발견 및 최상의 결과를 위한 멘토링 프로그램과 밀접한 관련이 있습니다. 시간 할당, 건설적이고 긍정적 인 assessment 보안뿐만 아니라 비즈니스 위험을 측정 가능하게 줄이는 보안 인식 개발자를 만드는 데 절대적으로 중요합니다.
조직은 이미 사용하는 방법 Secure Code Warrior ? 여러 비즈니스가 이미 사용하고 있습니다. Secure Code Warrior 인식을 높이고 개발자의 기술을 구축하고 긍정적인 보안 문화를 확장합니다.
예를 들어, 한 사용 사례에서 플랫폼에서 팀 교육을 통해 SCW를 사용하여 보안 강점과 약점을 드러냅니다.
개발자 작업: 개발자는 자신의 결과를 볼 수 있었고, 자신에게 집중하고 권한을 부여해야 하는 영역을 보여주고, 향후 소프트웨어 빌드에 도움이 될 특정 취약점이나 지식 격차를 완화하기 위한 교육을 가속화할 수 있었습니다.
관리 작업: 그들은 팀 수준에서 전반적인 강점과 약점을 분석하고 특정 관심사 영역을 해결하는 게임화 된 접근 방식을 처방 할 수있었습니다. 이를 통해 관련 지식을 신속하게 구축하는 양방향 교육 경로를 만들었습니다.
결과: 팀 수준에서 펜테스트를 수행하면 취약점이 표시되고 이전 결과를 비교하면 교육이 일반적인 보안 버그를 줄이는 데 효과적인지 쉽게 확인할 수 있습니다.
이는 소프트웨어 개발의 초기 단계로 거슬러 이어지므로 지속적인 개선과 보안 모범 사례를 도입하는 사전 교육 팀 목표가 효과적이고 출시하기 쉬우며 전체 개발 범위에 걸쳐 시간을 절약할 수 있습니다.
데브세옵스 프로젝트 팀 이상적인 DevSecOps 환경에서는 여러 사업부가 프로젝트 팀에 대표되어 핵심 결과를 결정하고 전달하는데, 그 중 하나는 보안 모범 사례입니다. 프로젝트 전 연구 및 계획 측면에서 SCW 플랫폼은 작업을 시작하기 전에 제안된 개발 팀의 보안 기술을 평가하고 최종 테스트 결과를 예측하고 SDLC의 보안 관련 지연을 적절하게 준비할 수 있는 충분한 시간을 할애할 수 있습니다. 프로젝트 코드 및 구조에 대한 교육을 작성하여 팀이 작업할 수 있도록 assessment /전반적인 보안 인식 기술을 검증하는 인증 프로세스는 프로젝트 결과물에 무료로 설정되기 전에 사전 설정된 패스 마크가 필요합니다.
이를 통해 취약성 해결, 보안 위험 완화, 펜테스트 시간 절약, 고가의 현상금 프로그램 비용 절감, 중앙 집중적이고 지속 가능하며 확장 가능하며 통일된 방식으로 개발 코호트를 업스킬링하는 데 있어 막대한 비즈니스 가치 접근 방식을 제공합니다.
결론: 기업이 보안의 우선 순위를 정하고, 데이터를 안전하게 유지하고, 전 세계적으로 점점 더 엄격해지는 규정을 준수해야 한다는 압력이 증가하고 있지만, 특히 엄격한 GDPR 지침에 따라 EU에서 거래하는 조직에 대한 압박이 증가하고 있습니다.
DACH 지역의 기업의 경우, 교육 노력과 결과를 위험 방지와 관련된 실제 활동에 연결하여 실행 가능한 보안 경로를 만들고 있음이 분명합니다. 생성하는 코드의 일반적인 취약점 감소를 포함합니다.
보안 예산 증대, 인식 및 전반적인 규정 준수를 위한 진정으로 정량화 가능한 비즈니스 사례를 구축하려면 개발자에게 일관되고 적응가능하며 측정가능한 교육을 제공해야 합니다. 올바른 교육을 조정할 수 있는 현재 단계를 추적하고, 보안 챔피언을 발굴하고, 시간이 지남에 따라 팀 성과를 측정하는 것은 모두 중요한 이니셔티브이며, DACH 전역의 많은 미래 지향적 기업은 포괄적인 SCW 파일럿에 이어 이점을 실현하고 있습니다.
많은 기업들이 너무 일반적인 보안 성능 메트릭으로 어려움을 겪고 있습니다. SCW 플랫폼을 장기적으로 일관되게 사용하면 기업은 정밀 평가를 활용할 수 있습니다. courses 다음을 검색할 관리 메트릭:
시간이 지남에 따라 취약성 감소 시간이 지남에 따라 취약점을 해결하기 위한 비용 절감 시간이 지남에 따라 개인 및 팀 기술 개발 펜테스트 단계의 비용 및 시간 감소 조직에서 현재 추적되는 메트릭은 무엇이며, 얼마나 자주 다시 측정되며 시간이 지남에 따라 현저한 개선 사항을 보여 주나요? 기존 개발자 워크플로우 측면에서 교육 이니셔티브는 어떻게 통합되어 있습니까?
SCW의 역동적이고 게임화되고 포괄적인 접근 방식은 보안 소프트웨어 개발 수명 주기 워크플로우의 중요한 부분으로 간주됩니다. 기업은 개발자에게 올바른 도구와 교육을 제공하고 SSDLC 워크플로우의 일부로 SCW를 포함시키고 있습니다.