조직의 보안 성숙도를 과대평가한 적이 있습니까?
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
전 세계 소프트웨어 요구 사항을 충족하기 위해 작성되는 코드의 홍수와 맞물려 지속적인 기술 부족으로 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.이제 우리의 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈 앞에 펼쳐진 실행 가능한 빠른 성과를 평가할 때입니다.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
