고급 보안 인텔리전스: 개발자가 NIST를 준비하도록 돕는 가이드 과정

최근 사이버 보안 업계에서는 매우 환영받는 움직임이 있었습니다.많은 조직에서 가능한 한 빨리 소프트웨어 빌드의 보안 우선 순위를 정하는 것에 대한 정서가 개선되기 시작한 것 같습니다.여기에 다음과 같은 공식 조치가 더해져 사이버 보안에 관한 바이든의 행정 명령는 소프트웨어 보안 및 데이터 안전을 보장하기 위해 모든 사람이 각자의 역할을 다해야 한다는 점을 분명히 했습니다.특히 흥미로운 점은 보안 코딩 표준을 유지하는 데있어 개발자의 역할을 둘러싼 논의가 정부 차원에서도 계속 진화하고 있다는 것입니다.

하지만 대화에서 빠진 부분이 있습니다.행정 명령에 따르면 개발자에게는 검증된 보안 기술이 필요합니다그러나 이러한 공식 인증은 현재 존재하지 않습니다.많은 기업들이 여전히 다음과 같은 지침을 따르고 있습니다. NIST (EO에 대응하여 업데이트된 지침을 제공한 회사) 는 소프트웨어 보안의 규정 준수와 더 높은 표준을 추구했습니다. 하지만 적절한 도구를 통합하고 릴리스 속도를 유지하면서 취약성을 크게 줄이는 전략을 생각한다면 대부분은 원하는 결과를 내기에는 너무 일반적인 전략일 뿐입니다.많은 기업들이 제한적인 개발자 교육으로 어려움을 겪거나 실용적인 실무 기술을 갖추기 위한 일반적인 토대를 구축하지 않는 경우가 바로 여기에 있습니다.

보안을 잘 아는 개발자는 나무 위에서 자라지 않지만 적절한 도구를 사용하면 훨씬 더 빠르게 육성하고 성장시킬 수 있습니다.이를 위해 자체 개발 개발 제품을 발표하게 되어 기쁩니다. 과정 미국 정부 행정 명령의 지침에 따라 NIST 준수를 위해

개발자를 위한 의미 있는 코드 수준 지원

행정 명령에 중요한 (EO-크리티컬) 소프트웨어에 대한 NIST 지침 사용 이리, 우리는 궁극적으로는 최고 수준의 정부에서 사용 중인 필수 소프트웨어의 보안을 개선하고 이상적으로는 처음부터 고품질 개발을 위한 벤치마킹 역할을 해야 하는 다섯 가지 주요 목표를 달성하도록 과정을 구성했습니다.

개발 코호트에서 진정한 성과를 거두려면 모든 기술 향상이 이론을 넘어서야 하며, 해답을 찾고 민첩성을 유지하기 위해 업무와 교육 간에 컨텍스트를 계속 전환하지 않는 방식으로 구현되어야 합니다.세심한 보안 관행 (보안팀은 말할 것도 없고) 은 정시 개발 스프린트를 방해하는 요소로 간주되어 일반적인 기능 중심 엔지니어의 스타일을 심각하게 훼손합니다.

개발자의 요구에 맞게 맞춤화된 짧고 간단한 마이크로 러닝은 훨씬 덜 거칠게 받아들여지고 기억에 남는 실용적인 기술 구축으로 이어집니다.

NIST 과정을 위해 이 내용을 어떻게 구성했는지 살펴보세요.

목표 1: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼을 무단 액세스 및 사용으로부터 보호합니다.‍

공격자는 잘못된 보안 구성과 부적절한 인증 방식을 이용하여 성공적으로 시스템에 침투하고 계정을 탈취하고 데이터를 훔칩니다.이러한 버그는 악용에 성공할 경우 큰 문제를 일으킬 수 있는 흔한 버그입니다.

에서 보안 코드 워리어 학습 플랫폼, 개발자는 이러한 버그가 일상 업무에서 어떻게 나타나는지 정확하게 반영하는 실제 코드 스니펫을 기반으로 챌린지를 플레이하고 버그를 보호하기 위한 정확한 솔루션을 찾도록 할 수 있습니다.DevOps 엔지니어의 경우 인프라를 보호하려면 세심한 액세스 제어 구성이 필요하며, Terraform, CloudFormation 및 Ansible과 같은 IaC (Infrastructure as Code) 언어와 Docker 및 Kubernetes에서 사용되는 코드에서는 이러한 요구 사항을 충족하기 위한 특별한 과제가 있습니다.

목표 2: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼에서 사용하는 데이터의 기밀성, 무결성 및 가용성을 보호합니다.

이를 위해 모든 도로는 출입 통제로 이어집니다.출입 통제가 끊어지면서 최근에 맨 위 출입구의 분사 결함이 사라졌습니다. OWASP 탑 10 2021, 그리고 이는 보안을 잘 아는 개발자의 기술이 필요한 심각한 버그이며 가능한 한 빨리 찾아서 수정해야 합니다.

이 강좌에서는 코드 수준에서의 최소 권한과 같은 개념을 다루며 사용자 계정에 대한 액세스를 필요한 영역으로만 제한하는 방법을 모범 사례로 익히는 데 도움이 됩니다.

목표 3: EO에 중요한 소프트웨어 플랫폼과 해당 플랫폼에 배포된 소프트웨어를 식별하고 유지하여 EO에 중요한 소프트웨어가 악용되지 않도록 보호합니다.

대규모 조직의 가장 큰 과제 중 하나는 현재 사용 중인 다양한 소프트웨어, 시스템 및 구성 요소에 대한 보안 감독을 유지하는 것입니다.위험 관리 및 패치 적용과 관련해서는 모든 보안 프로그램에서 이러한 요소를 우선 순위에 두어야 하며, 개발자는 보안 유지 관리를 수행해야 합니다.

Secure Code Warrior Learning Platform에서 개발자는 취약한 구성 요소뿐만 아니라 권한 기반 보안 구성 오류를 식별하고 수정하는 데 도움이 되는 챌린지를 플레이할 수 있습니다.

목표 4: EO 크리티컬 소프트웨어 및 EO 크리티컬 소프트웨어 플랫폼과 관련된 위협과 사고를 신속하게 탐지, 대응 및 복구합니다.

안타깝게도 많은 조직이 사이버 보안 문제를 처리할 때 예방이 아닌 사고 대응에 초점을 맞추고 있다는 것은 안타깝고 시간과 비용의 낭비이기도 합니다.이러한 문화는 우리가 변화를 위해 싸우고 있으며, 개발자는 보안 모범 사례에 대한 적절한 교육을 받으면 예방적 무력을 제공할 수 있습니다.

목표 4에서는 개발자가 자신의 역할과 관련하여 소프트웨어 및 네트워크 수준 모두에서 환경 및 엔드포인트의 보안을 지속적으로 모니터링할 것을 요구합니다.불충분한 로깅 및 모니터링은 또 다른 흔하고 교활한 버그이며, 엔지니어가 일상 업무에서 이러한 문제를 성공적으로 해결할 수 있어야 합니다.

Secure Code Warrior Learning Platform에서 개발자는 웹, API 또는 클라우드 언어로 작업하든 관계없이 챌린지를 통해 이러한 기술을 연마할 수 있습니다.

지속 가능성을 통한 보안 인식.

목표 5: EO에 중요한 소프트웨어 및 EO에 중요한 소프트웨어 플랫폼의 보안을 촉진하는 인간의 행동에 대한 이해와 성과를 강화합니다.

이것은 매우 일반화되어 있지만 달성하는 것이 가장 중요합니다... 그리고 처음 네 가지 목표를 달성하지 않고는 할 수 없습니다.이 지침에서는 보안 인식 활동을 자주 수행하고, EO에 중요한 소프트웨어에 대한 모든 “인적 조치”는 역할과 책임의 맥락에서 적절한 교육을 받은 사람이 수행하도록 요구합니다.

개발자는 보안 구성 및 액세스 제어 외에도 코드를 가장 가까이서 개인적으로 다루는 사람들입니다.개발자의 보안 기술을 길러야 합니다. 특히 대규모 개발 집단의 경우 NIST에서 제시한 높은 표준을 달성하려면 실습 과정 구조가 이를 해결하는 효율적인 방법일 수 있습니다.

추가 시작 현재 개발 팀의 경험 포인트 및 보안 IQ에 대한 정보입니다.