您是否高估了组织的安全成熟度?
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
由于持续的技能短缺与为满足世界软件需求而编写的大量代码背道而驰,许多企业的网络安全战略和现有基础设施都落在了后面。现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
随着大多数企业在增长、创新和数字化转型的起伏中度过难关,随着公司规模的扩大,某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况,尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。
但是,有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是,许多企业的网络安全战略和现有基础设施却落在了后面。而且,由于该行业似乎专注于基于工具的方法,因此在有效的防御计划中,经常会错过熟练人才的力量。
现在是我们诚实地审视我们的整体网络安全成熟度,并评估摆在我们面前的可行速赢的时候了。
可持续的网络安全成熟度是一个过程。
公众很容易假设每个企业都会有一个强大的网络安全计划,而保护只需要选择正确的软件,然后像防御盾一样激活它,以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。
尽管许多行业,尤其是金融行业,都以合规为导向,受越来越复杂的监管框架的约束,需要严格的安全措施,但现实情况是,大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被认为是先进的组织,其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践,也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识,尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用,但那些日复一日地争论代码的人只要有足够的技能,就可以成为真正具有变革性的安全方法的主导地位。
全面的防御性安全计划需要持续改进,需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的,那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心,并与 人为错误是主要原因 成功地对大小公司进行网络攻击,将开发人员排除在战略安全提升之外就是在玩火。
让开发人员成为卓越软件安全性的推动力
围绕网络攻击的令人不安的事实是,在几乎所有情况下,攻击者无论处于安全成熟度之旅的哪个阶段,都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点,致力于突破和发家致富。
另一方面,组织正在兼顾业务和客户需求,尽管他们承受不起惊人的网络攻击的巨大风险,但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里,具有安全技能的开发人员代表网络防御结果的X因素。
尽管众所周知,传统上,开发人员无法以有意义的方式分担安全责任,但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径,但他们需要选择教育选项,以适合其世界的方式提供相关的课程材料。至少,它应该以他们积极使用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当课程结构时考虑到开发人员的工作流程时,长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多,这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年,就有2.41万亿美元,而这只能通过打破持续高风险技术债务的错误循环来补救。
这需要整个组织对更积极、更全面的安全计划做出承诺;该计划利用所需的人力来改变以人为本的问题。而且,如果不关注明天的头条新闻至关重要,那么付出努力肯定是值得的。
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
