보안 기술 벤치마킹이 개발자를 위한 이점
사이버 위협이 점점 더 널리 퍼지고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 집중되고 있습니다.백악관의 국가 사이버 보안 전략 및 사이버 보안 및 인프라 보안 기관 (CISA) 보안을 고려한 설계 이 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 맡깁니다.한때 있으면 좋다고 여겨졌던 SDLC (Software Development Lifeycle, SDLC) 초반에 보안을 보장하기 위해 왼쪽으로, 더 정확히 말하면 왼쪽으로 이동하는 것은 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제 여파를 방지하는 데 필수적입니다.
보안 코딩 관행을 보장하는 핵심은 개발자 교육에 있습니다.소프트웨어 엔지니어는 일반적으로 다음과 같은 혜택을 받습니다. 사이버 보안 교육이 거의 또는 전혀 없음.특히 오늘날의 가속화된 DevOps 환경에서 이들의 임무는 빠르게 작동하는 제너레이티브 AI 모델의 도움을 받아 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리 출시하고 보안 팀이 SDLC에서 나중에 어느 시점에 사이버 보안 문제를 해결할 수 있도록 하는 것이었습니다.이는 코드가 너무 많이 생성되어 종종 소프트웨어 취약점이 생태계에 누출되는 과정에서 발생하는 수많은 결함을 해결하는 데 비효율적인 방법입니다.
개발자는 처음부터 보안 코드를 작성하도록 교육을 받아야 하며 AI에서 생성되거나 자신이 사용하는 오픈 소스 및 기타 타사 소프트웨어에 있는 경우 해당 코드가 안전하지 않은 코드를 포착할 수 있어야 합니다.많은 개발팀과 조직에서 이 곳은 흔적을 받지 않은 영역입니다.개발자들이 필요한 교육을 받고 있다는 것을 어떻게 알 수 있을까요?그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사에서는 개발자가 명확하게 정의된 벤치마크를 기준으로 습득하고 진행 상황을 측정할 수 있도록 기본 기술 세트를 설정하는 것이 유용하다는 것을 알게 되었습니다.이러한 노력을 돕기 위해 Secure Code Warrior는 개발자의 보안 교육 진행 상황을 정확하게 측정하도록 설계된 벤치마크를 출시했습니다. SCW 트러스트 스코어 조직에서 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자 및 엔지니어링 팀이 협업할 수 있도록 합니다.
이는 개선이 필요한 영역을 파악하는 동시에 보안 코드 교육이 제대로 진행되고 있다는 증거를 볼 수 있는 방법입니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 초기에 SDLC에 보안을 도입해야 할 충분한 이유가 있습니다.애플리케이션 및 서비스에 대한 수요 증가와 AI가 개발 프로세스에 제공하는 속도는 유용한 것으로 입증되었습니다 제너레이티브 AI를 빠르게 도입한 개발자들에게 말이죠. 하지만 그 결과 필연적으로 버기 소프트웨어 파이프라인에 릴리스되고 있습니다.코드가 많이 생성될수록 결함도 많아지고 최근 연구 애플리케이션 중 거의 4분의 3이 (어떻게 만들어졌는지에 관계없이) 하나 이상의 보안 결함을 포함하고 있으며, 그 중 거의 20% 가 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반부에 취약점을 찾아내려면 엄청난 시간과 비용이 소모되고 있습니다.국립 표준 기술 연구소 (NIST) 을 (를) 찾았습니다 테스트 중에 결함을 수정하는 데 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리며, 배포/유지 관리 단계에서 결함을 수정하는 데 30~100배 더 오래 걸릴 수 있습니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 보여줍니다. 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적인 방법임이 입증되었습니다.개발자는 보안 팀이 별도의 개체로 기능하도록 하기보다는 보안 팀과 협력하는 것이 SDLC의 시작 부분에 보안을 도입하기에 가장 좋은 위치에 있습니다.또한 보안 모범 사례에 대한 교육을 받은 개발자들은 취약점을 효과적으로 줄일 수 있었습니다.문제는 이들 중 교육을 받은 사람이 거의 없다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로에는 보안 기술의 기준을 설정하고, 교육을 제공하고, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 확인하는 것이 포함됩니다.이는 모든 경제 부문의 많은 조직에서 어려움을 겪고 있는 것으로 입증되었지만 반드시 그럴 필요는 없습니다.
보안 리더가 꼽는 문제 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 것입니다.그러나 SCW의 연구에 따르면 조직, 특히 개발자 수가 많은 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있습니다.소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 큰 차이를 보이는 경향이 있습니다.하지만 이들 기업 역시 신뢰 점수를 포함하는 접근 방식을 통해 이점을 얻을 수 있으며 개선 사항을 더 빨리 보여줄 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 집계하여 전체 팀의 성과를 평가하고, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다.이는 교육을 추적할 뿐만 아니라 개발자들이 매일 새로운 기술을 얼마나 잘 적용하고 있는지를 보여줍니다.또한 개선이 필요한 영역을 강조하여 조직이 교육/기술 향상 프로그램을 최적화할 수 있도록 합니다.
CISA 전반에 걸쳐 중요 인프라 부문 어떤 데이터를 사용할 수 있었는지, 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 같은 수준에 있습니다.금융 서비스 및 방위 산업 기반에서 의료, IT 및 주요 제조에 이르는 다양한 부문의 신뢰 점수도 같은 범위로 떨어졌습니다. 1,000점 척도에서 300점을 약간 상회했습니다.규제가 가장 심한 산업인 금융 서비스가 가장 앞서갈 것이라는 일반적인 통념에도 불구하고 어떤 산업도 다른 산업을 능가하지 못합니다.
화학, 에너지 및 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 주요 인프라 부문은 일반적으로 자체 소프트웨어를 만들지 않고 다른 부문, 특히 IT에 의존합니다.그러나 이러한 부문에서 보안 시스템을 유지하는 것이 중요하다는 사실 (아무도 원자력 발전소가 손상되는 것을 보고 싶어하지 않음) 은 애초에 사용하는 소프트웨어를 보호하는 것이 얼마나 중요한지를 보여줍니다.
결론
규제 압력의 증대와 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하려는 조직에서는 Secure By-Design 접근 방식이 필수가 되었습니다.보안 소프트웨어를 만드는 것은 대부분 개발자의 손에 달려 있지만 개발자에게는 필요한 교육을 제공하고 개발 방식이 어떻게 적용되고 있는지를 보여주는 철저한 기술 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
Trust Score와 같은 도구를 기반으로 하는 벤치마크를 포함하는 프로그램은 개발팀의 주요 진행 상황을 명확하게 파악할 수 있습니다.개발자와 함께 일하는 회사 모두 새로운 Secure by-Design 요구 사항을 충족하는 동시에 보안 소프트웨어 개발 기술을 지속적으로 개선해야 하는 매우 새로운 접근 방식입니다.
보안 코드 및 Secure by Design 원칙에 대한 관심이 높아짐에 따라 개발자는 SDLC 시작 단계부터 사이버 보안에 대한 교육을 받아야 하며, Secure Code Warrior의 신뢰 점수와 같은 도구를 사용하여 진행 상황을 측정하고 개선해야 합니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
사이버 위협이 점점 더 널리 퍼지고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 집중되고 있습니다.백악관의 국가 사이버 보안 전략 및 사이버 보안 및 인프라 보안 기관 (CISA) 보안을 고려한 설계 이 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 맡깁니다.한때 있으면 좋다고 여겨졌던 SDLC (Software Development Lifeycle, SDLC) 초반에 보안을 보장하기 위해 왼쪽으로, 더 정확히 말하면 왼쪽으로 이동하는 것은 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제 여파를 방지하는 데 필수적입니다.
보안 코딩 관행을 보장하는 핵심은 개발자 교육에 있습니다.소프트웨어 엔지니어는 일반적으로 다음과 같은 혜택을 받습니다. 사이버 보안 교육이 거의 또는 전혀 없음.특히 오늘날의 가속화된 DevOps 환경에서 이들의 임무는 빠르게 작동하는 제너레이티브 AI 모델의 도움을 받아 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리 출시하고 보안 팀이 SDLC에서 나중에 어느 시점에 사이버 보안 문제를 해결할 수 있도록 하는 것이었습니다.이는 코드가 너무 많이 생성되어 종종 소프트웨어 취약점이 생태계에 누출되는 과정에서 발생하는 수많은 결함을 해결하는 데 비효율적인 방법입니다.
개발자는 처음부터 보안 코드를 작성하도록 교육을 받아야 하며 AI에서 생성되거나 자신이 사용하는 오픈 소스 및 기타 타사 소프트웨어에 있는 경우 해당 코드가 안전하지 않은 코드를 포착할 수 있어야 합니다.많은 개발팀과 조직에서 이 곳은 흔적을 받지 않은 영역입니다.개발자들이 필요한 교육을 받고 있다는 것을 어떻게 알 수 있을까요?그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사에서는 개발자가 명확하게 정의된 벤치마크를 기준으로 습득하고 진행 상황을 측정할 수 있도록 기본 기술 세트를 설정하는 것이 유용하다는 것을 알게 되었습니다.이러한 노력을 돕기 위해 Secure Code Warrior는 개발자의 보안 교육 진행 상황을 정확하게 측정하도록 설계된 벤치마크를 출시했습니다. SCW 트러스트 스코어 조직에서 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자 및 엔지니어링 팀이 협업할 수 있도록 합니다.
이는 개선이 필요한 영역을 파악하는 동시에 보안 코드 교육이 제대로 진행되고 있다는 증거를 볼 수 있는 방법입니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 초기에 SDLC에 보안을 도입해야 할 충분한 이유가 있습니다.애플리케이션 및 서비스에 대한 수요 증가와 AI가 개발 프로세스에 제공하는 속도는 유용한 것으로 입증되었습니다 제너레이티브 AI를 빠르게 도입한 개발자들에게 말이죠. 하지만 그 결과 필연적으로 버기 소프트웨어 파이프라인에 릴리스되고 있습니다.코드가 많이 생성될수록 결함도 많아지고 최근 연구 애플리케이션 중 거의 4분의 3이 (어떻게 만들어졌는지에 관계없이) 하나 이상의 보안 결함을 포함하고 있으며, 그 중 거의 20% 가 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반부에 취약점을 찾아내려면 엄청난 시간과 비용이 소모되고 있습니다.국립 표준 기술 연구소 (NIST) 을 (를) 찾았습니다 테스트 중에 결함을 수정하는 데 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리며, 배포/유지 관리 단계에서 결함을 수정하는 데 30~100배 더 오래 걸릴 수 있습니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 보여줍니다. 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적인 방법임이 입증되었습니다.개발자는 보안 팀이 별도의 개체로 기능하도록 하기보다는 보안 팀과 협력하는 것이 SDLC의 시작 부분에 보안을 도입하기에 가장 좋은 위치에 있습니다.또한 보안 모범 사례에 대한 교육을 받은 개발자들은 취약점을 효과적으로 줄일 수 있었습니다.문제는 이들 중 교육을 받은 사람이 거의 없다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로에는 보안 기술의 기준을 설정하고, 교육을 제공하고, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 확인하는 것이 포함됩니다.이는 모든 경제 부문의 많은 조직에서 어려움을 겪고 있는 것으로 입증되었지만 반드시 그럴 필요는 없습니다.
보안 리더가 꼽는 문제 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 것입니다.그러나 SCW의 연구에 따르면 조직, 특히 개발자 수가 많은 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있습니다.소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 큰 차이를 보이는 경향이 있습니다.하지만 이들 기업 역시 신뢰 점수를 포함하는 접근 방식을 통해 이점을 얻을 수 있으며 개선 사항을 더 빨리 보여줄 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 집계하여 전체 팀의 성과를 평가하고, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다.이는 교육을 추적할 뿐만 아니라 개발자들이 매일 새로운 기술을 얼마나 잘 적용하고 있는지를 보여줍니다.또한 개선이 필요한 영역을 강조하여 조직이 교육/기술 향상 프로그램을 최적화할 수 있도록 합니다.
CISA 전반에 걸쳐 중요 인프라 부문 어떤 데이터를 사용할 수 있었는지, 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 같은 수준에 있습니다.금융 서비스 및 방위 산업 기반에서 의료, IT 및 주요 제조에 이르는 다양한 부문의 신뢰 점수도 같은 범위로 떨어졌습니다. 1,000점 척도에서 300점을 약간 상회했습니다.규제가 가장 심한 산업인 금융 서비스가 가장 앞서갈 것이라는 일반적인 통념에도 불구하고 어떤 산업도 다른 산업을 능가하지 못합니다.
화학, 에너지 및 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 주요 인프라 부문은 일반적으로 자체 소프트웨어를 만들지 않고 다른 부문, 특히 IT에 의존합니다.그러나 이러한 부문에서 보안 시스템을 유지하는 것이 중요하다는 사실 (아무도 원자력 발전소가 손상되는 것을 보고 싶어하지 않음) 은 애초에 사용하는 소프트웨어를 보호하는 것이 얼마나 중요한지를 보여줍니다.
결론
규제 압력의 증대와 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하려는 조직에서는 Secure By-Design 접근 방식이 필수가 되었습니다.보안 소프트웨어를 만드는 것은 대부분 개발자의 손에 달려 있지만 개발자에게는 필요한 교육을 제공하고 개발 방식이 어떻게 적용되고 있는지를 보여주는 철저한 기술 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
Trust Score와 같은 도구를 기반으로 하는 벤치마크를 포함하는 프로그램은 개발팀의 주요 진행 상황을 명확하게 파악할 수 있습니다.개발자와 함께 일하는 회사 모두 새로운 Secure by-Design 요구 사항을 충족하는 동시에 보안 소프트웨어 개발 기술을 지속적으로 개선해야 하는 매우 새로운 접근 방식입니다.
사이버 위협이 점점 더 널리 퍼지고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 집중되고 있습니다.백악관의 국가 사이버 보안 전략 및 사이버 보안 및 인프라 보안 기관 (CISA) 보안을 고려한 설계 이 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 맡깁니다.한때 있으면 좋다고 여겨졌던 SDLC (Software Development Lifeycle, SDLC) 초반에 보안을 보장하기 위해 왼쪽으로, 더 정확히 말하면 왼쪽으로 이동하는 것은 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제 여파를 방지하는 데 필수적입니다.
보안 코딩 관행을 보장하는 핵심은 개발자 교육에 있습니다.소프트웨어 엔지니어는 일반적으로 다음과 같은 혜택을 받습니다. 사이버 보안 교육이 거의 또는 전혀 없음.특히 오늘날의 가속화된 DevOps 환경에서 이들의 임무는 빠르게 작동하는 제너레이티브 AI 모델의 도움을 받아 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리 출시하고 보안 팀이 SDLC에서 나중에 어느 시점에 사이버 보안 문제를 해결할 수 있도록 하는 것이었습니다.이는 코드가 너무 많이 생성되어 종종 소프트웨어 취약점이 생태계에 누출되는 과정에서 발생하는 수많은 결함을 해결하는 데 비효율적인 방법입니다.
개발자는 처음부터 보안 코드를 작성하도록 교육을 받아야 하며 AI에서 생성되거나 자신이 사용하는 오픈 소스 및 기타 타사 소프트웨어에 있는 경우 해당 코드가 안전하지 않은 코드를 포착할 수 있어야 합니다.많은 개발팀과 조직에서 이 곳은 흔적을 받지 않은 영역입니다.개발자들이 필요한 교육을 받고 있다는 것을 어떻게 알 수 있을까요?그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사에서는 개발자가 명확하게 정의된 벤치마크를 기준으로 습득하고 진행 상황을 측정할 수 있도록 기본 기술 세트를 설정하는 것이 유용하다는 것을 알게 되었습니다.이러한 노력을 돕기 위해 Secure Code Warrior는 개발자의 보안 교육 진행 상황을 정확하게 측정하도록 설계된 벤치마크를 출시했습니다. SCW 트러스트 스코어 조직에서 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자 및 엔지니어링 팀이 협업할 수 있도록 합니다.
이는 개선이 필요한 영역을 파악하는 동시에 보안 코드 교육이 제대로 진행되고 있다는 증거를 볼 수 있는 방법입니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 초기에 SDLC에 보안을 도입해야 할 충분한 이유가 있습니다.애플리케이션 및 서비스에 대한 수요 증가와 AI가 개발 프로세스에 제공하는 속도는 유용한 것으로 입증되었습니다 제너레이티브 AI를 빠르게 도입한 개발자들에게 말이죠. 하지만 그 결과 필연적으로 버기 소프트웨어 파이프라인에 릴리스되고 있습니다.코드가 많이 생성될수록 결함도 많아지고 최근 연구 애플리케이션 중 거의 4분의 3이 (어떻게 만들어졌는지에 관계없이) 하나 이상의 보안 결함을 포함하고 있으며, 그 중 거의 20% 가 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반부에 취약점을 찾아내려면 엄청난 시간과 비용이 소모되고 있습니다.국립 표준 기술 연구소 (NIST) 을 (를) 찾았습니다 테스트 중에 결함을 수정하는 데 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리며, 배포/유지 관리 단계에서 결함을 수정하는 데 30~100배 더 오래 걸릴 수 있습니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 보여줍니다. 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적인 방법임이 입증되었습니다.개발자는 보안 팀이 별도의 개체로 기능하도록 하기보다는 보안 팀과 협력하는 것이 SDLC의 시작 부분에 보안을 도입하기에 가장 좋은 위치에 있습니다.또한 보안 모범 사례에 대한 교육을 받은 개발자들은 취약점을 효과적으로 줄일 수 있었습니다.문제는 이들 중 교육을 받은 사람이 거의 없다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로에는 보안 기술의 기준을 설정하고, 교육을 제공하고, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 확인하는 것이 포함됩니다.이는 모든 경제 부문의 많은 조직에서 어려움을 겪고 있는 것으로 입증되었지만 반드시 그럴 필요는 없습니다.
보안 리더가 꼽는 문제 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 것입니다.그러나 SCW의 연구에 따르면 조직, 특히 개발자 수가 많은 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있습니다.소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 큰 차이를 보이는 경향이 있습니다.하지만 이들 기업 역시 신뢰 점수를 포함하는 접근 방식을 통해 이점을 얻을 수 있으며 개선 사항을 더 빨리 보여줄 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 집계하여 전체 팀의 성과를 평가하고, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다.이는 교육을 추적할 뿐만 아니라 개발자들이 매일 새로운 기술을 얼마나 잘 적용하고 있는지를 보여줍니다.또한 개선이 필요한 영역을 강조하여 조직이 교육/기술 향상 프로그램을 최적화할 수 있도록 합니다.
CISA 전반에 걸쳐 중요 인프라 부문 어떤 데이터를 사용할 수 있었는지, 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 같은 수준에 있습니다.금융 서비스 및 방위 산업 기반에서 의료, IT 및 주요 제조에 이르는 다양한 부문의 신뢰 점수도 같은 범위로 떨어졌습니다. 1,000점 척도에서 300점을 약간 상회했습니다.규제가 가장 심한 산업인 금융 서비스가 가장 앞서갈 것이라는 일반적인 통념에도 불구하고 어떤 산업도 다른 산업을 능가하지 못합니다.
화학, 에너지 및 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 주요 인프라 부문은 일반적으로 자체 소프트웨어를 만들지 않고 다른 부문, 특히 IT에 의존합니다.그러나 이러한 부문에서 보안 시스템을 유지하는 것이 중요하다는 사실 (아무도 원자력 발전소가 손상되는 것을 보고 싶어하지 않음) 은 애초에 사용하는 소프트웨어를 보호하는 것이 얼마나 중요한지를 보여줍니다.
결론
규제 압력의 증대와 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하려는 조직에서는 Secure By-Design 접근 방식이 필수가 되었습니다.보안 소프트웨어를 만드는 것은 대부분 개발자의 손에 달려 있지만 개발자에게는 필요한 교육을 제공하고 개발 방식이 어떻게 적용되고 있는지를 보여주는 철저한 기술 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
Trust Score와 같은 도구를 기반으로 하는 벤치마크를 포함하는 프로그램은 개발팀의 주요 진행 상황을 명확하게 파악할 수 있습니다.개발자와 함께 일하는 회사 모두 새로운 Secure by-Design 요구 사항을 충족하는 동시에 보안 소프트웨어 개발 기술을 지속적으로 개선해야 하는 매우 새로운 접근 방식입니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
사이버 위협이 점점 더 널리 퍼지고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 집중되고 있습니다.백악관의 국가 사이버 보안 전략 및 사이버 보안 및 인프라 보안 기관 (CISA) 보안을 고려한 설계 이 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 맡깁니다.한때 있으면 좋다고 여겨졌던 SDLC (Software Development Lifeycle, SDLC) 초반에 보안을 보장하기 위해 왼쪽으로, 더 정확히 말하면 왼쪽으로 이동하는 것은 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제 여파를 방지하는 데 필수적입니다.
보안 코딩 관행을 보장하는 핵심은 개발자 교육에 있습니다.소프트웨어 엔지니어는 일반적으로 다음과 같은 혜택을 받습니다. 사이버 보안 교육이 거의 또는 전혀 없음.특히 오늘날의 가속화된 DevOps 환경에서 이들의 임무는 빠르게 작동하는 제너레이티브 AI 모델의 도움을 받아 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리 출시하고 보안 팀이 SDLC에서 나중에 어느 시점에 사이버 보안 문제를 해결할 수 있도록 하는 것이었습니다.이는 코드가 너무 많이 생성되어 종종 소프트웨어 취약점이 생태계에 누출되는 과정에서 발생하는 수많은 결함을 해결하는 데 비효율적인 방법입니다.
개발자는 처음부터 보안 코드를 작성하도록 교육을 받아야 하며 AI에서 생성되거나 자신이 사용하는 오픈 소스 및 기타 타사 소프트웨어에 있는 경우 해당 코드가 안전하지 않은 코드를 포착할 수 있어야 합니다.많은 개발팀과 조직에서 이 곳은 흔적을 받지 않은 영역입니다.개발자들이 필요한 교육을 받고 있다는 것을 어떻게 알 수 있을까요?그리고 그 교육이 정기적으로 적용되고 있나요?
개발자 교육을 추구하는 일부 회사에서는 개발자가 명확하게 정의된 벤치마크를 기준으로 습득하고 진행 상황을 측정할 수 있도록 기본 기술 세트를 설정하는 것이 유용하다는 것을 알게 되었습니다.이러한 노력을 돕기 위해 Secure Code Warrior는 개발자의 보안 교육 진행 상황을 정확하게 측정하도록 설계된 벤치마크를 출시했습니다. SCW 트러스트 스코어 조직에서 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자 및 엔지니어링 팀이 협업할 수 있도록 합니다.
이는 개선이 필요한 영역을 파악하는 동시에 보안 코드 교육이 제대로 진행되고 있다는 증거를 볼 수 있는 방법입니다.
안전한 설계를 위한 사례
소프트웨어 제작자는 프로세스 초기에 SDLC에 보안을 도입해야 할 충분한 이유가 있습니다.애플리케이션 및 서비스에 대한 수요 증가와 AI가 개발 프로세스에 제공하는 속도는 유용한 것으로 입증되었습니다 제너레이티브 AI를 빠르게 도입한 개발자들에게 말이죠. 하지만 그 결과 필연적으로 버기 소프트웨어 파이프라인에 릴리스되고 있습니다.코드가 많이 생성될수록 결함도 많아지고 최근 연구 애플리케이션 중 거의 4분의 3이 (어떻게 만들어졌는지에 관계없이) 하나 이상의 보안 결함을 포함하고 있으며, 그 중 거의 20% 가 심각한 것으로 간주되는 것으로 나타났습니다.
SDLC 후반부에 취약점을 찾아내려면 엄청난 시간과 비용이 소모되고 있습니다.국립 표준 기술 연구소 (NIST) 을 (를) 찾았습니다 테스트 중에 결함을 수정하는 데 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리며, 배포/유지 관리 단계에서 결함을 수정하는 데 30~100배 더 오래 걸릴 수 있습니다.
이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 보여줍니다. 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적인 방법임이 입증되었습니다.개발자는 보안 팀이 별도의 개체로 기능하도록 하기보다는 보안 팀과 협력하는 것이 SDLC의 시작 부분에 보안을 도입하기에 가장 좋은 위치에 있습니다.또한 보안 모범 사례에 대한 교육을 받은 개발자들은 취약점을 효과적으로 줄일 수 있었습니다.문제는 이들 중 교육을 받은 사람이 거의 없다는 것입니다.
벤치마크의 아름다움
기업의 기본 경로에는 보안 기술의 기준을 설정하고, 교육을 제공하고, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 확인하는 것이 포함됩니다.이는 모든 경제 부문의 많은 조직에서 어려움을 겪고 있는 것으로 입증되었지만 반드시 그럴 필요는 없습니다.
보안 리더가 꼽는 문제 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 것입니다.그러나 SCW의 연구에 따르면 조직, 특히 개발자 수가 많은 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있습니다.소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 큰 차이를 보이는 경향이 있습니다.하지만 이들 기업 역시 신뢰 점수를 포함하는 접근 방식을 통해 이점을 얻을 수 있으며 개선 사항을 더 빨리 보여줄 가능성이 높습니다.
신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 집계하여 전체 팀의 성과를 평가하고, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다.이는 교육을 추적할 뿐만 아니라 개발자들이 매일 새로운 기술을 얼마나 잘 적용하고 있는지를 보여줍니다.또한 개선이 필요한 영역을 강조하여 조직이 교육/기술 향상 프로그램을 최적화할 수 있도록 합니다.
CISA 전반에 걸쳐 중요 인프라 부문 어떤 데이터를 사용할 수 있었는지, 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 같은 수준에 있습니다.금융 서비스 및 방위 산업 기반에서 의료, IT 및 주요 제조에 이르는 다양한 부문의 신뢰 점수도 같은 범위로 떨어졌습니다. 1,000점 척도에서 300점을 약간 상회했습니다.규제가 가장 심한 산업인 금융 서비스가 가장 앞서갈 것이라는 일반적인 통념에도 불구하고 어떤 산업도 다른 산업을 능가하지 못합니다.
화학, 에너지 및 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 주요 인프라 부문은 일반적으로 자체 소프트웨어를 만들지 않고 다른 부문, 특히 IT에 의존합니다.그러나 이러한 부문에서 보안 시스템을 유지하는 것이 중요하다는 사실 (아무도 원자력 발전소가 손상되는 것을 보고 싶어하지 않음) 은 애초에 사용하는 소프트웨어를 보호하는 것이 얼마나 중요한지를 보여줍니다.
결론
규제 압력의 증대와 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하려는 조직에서는 Secure By-Design 접근 방식이 필수가 되었습니다.보안 소프트웨어를 만드는 것은 대부분 개발자의 손에 달려 있지만 개발자에게는 필요한 교육을 제공하고 개발 방식이 어떻게 적용되고 있는지를 보여주는 철저한 기술 향상 및 교육 프로그램의 형태로 지원이 필요합니다.
Trust Score와 같은 도구를 기반으로 하는 벤치마크를 포함하는 프로그램은 개발팀의 주요 진행 상황을 명확하게 파악할 수 있습니다.개발자와 함께 일하는 회사 모두 새로운 Secure by-Design 요구 사항을 충족하는 동시에 보안 소프트웨어 개발 기술을 지속적으로 개선해야 하는 매우 새로운 접근 방식입니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
