조직의 보안 성숙도를 과대평가한 적이 있습니까?
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
전 세계 소프트웨어 요구 사항을 충족하기 위해 작성되는 코드의 홍수와 맞물려 지속적인 기술 부족으로 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.이제 우리의 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈 앞에 펼쳐진 실행 가능한 빠른 성과를 평가할 때입니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
