새로운 NIST 지침: 안전한 소프트웨어를 만들기 위해 맞춤형 교육이 필수적인 이유
2019년 6월 11일, 국립 표준 기술 연구소 (NIST) 에서 자세한 내용을 담은 업데이트 된 백서를 발표했습니다. 몇 가지 실행 계획 감소를 위해 소프트웨어 취약성 및 사이버 위험.제목 보안 소프트웨어 개발 프레임워크 (SSDF) 채택을 통한 소프트웨어 취약성 위험 완화, NIST는 비용이 많이 드는 것은 말할 것도 없고 데이터 침해로 인한 불쾌한 결과를 피할 수 있는 확실한 지침을 조직에 제공합니다.
참고로, SSDF는 모든 조직이 동일한 소프트웨어 보안 목표를 가지고 있다고 가정하지 않으며, 목표 달성을 위한 정확한 메커니즘을 규정하지도 않습니다.주요 목표는 보안 모범 사례를 구현하는 것입니다.작성자 Donna Dodson은 다음과 같이 말했습니다. “각 보안 제작자는 적용 가능한 모든 관행을 준수하기를 바라지만, 각 관행이 구현되는 정도는 제작자의 보안 가정에 따라 달라질 것으로 예상됩니다.이러한 관행은 구현자에게 유연성을 제공하지만 해석에 너무 많은 부분을 남겨두지 않도록 하는 것도 분명합니다.”
물론 개발자를 위한 소프트웨어 보안 교육에 대한 구체적인 내용이 포함되었다는 점이 특히 흥미로웠습니다.이제 개발자들이 소프트웨어 개발 프로세스의 맨 처음부터 조직을 보호하려면 적절한 교육이 필요하다는 사실을 오래전부터 알고 있었습니다... 하지만 적절한, 정확히?세상에는 다양한 의견이 많이 있습니다.하지만 마침내 상당한 긍정적인 결과를 가져올 방향으로 한계를 넓히고 있다고 생각합니다.
보안 교육도 있고... 효과적인 보안 교육도 있습니다.
필자는 소프트웨어 보안 교육을 보다 효과적으로 구현하고 개발자의 요구에 맞게 조정해야 할 필요성에 대해 길게 이야기했습니다.지금도 많은 조직에서는 기껏해야 “틀에 박힌” 연습일 뿐입니다.아마도 몇 시간 동안 비디오 교육을 받거나 강의실 기반 학습을 위한 도구를 사용하지 않는 귀중한 시간을 할애할 수도 있습니다.잘 알려진 (그리고 대개는 쉽게 고칠 수 있는) 취약점을 악용하는 공격자들에 의해 이틀에 한 번씩 대규모 데이터 침해가 발생하고 있다는 사실은 소프트웨어 보안 교육이 필요 만큼 효과적이지 않다는 증거입니다.그리고 아마도 가장 중요한 것은 교육이 효과적이었는지 검증할 수 있는 자료가 거의 없다는 점일 것입니다. 바로 취약점이 더 빨리 해결되었을까요?코드 내에서 취약성이 감소하고 있나요?사람들이 실제로 교육을 완료했나요? 아니면 그냥 “다음”을 클릭하여 교육을 완료한 적이 있나요?
개발자는 바쁜 사람들로, 엄격한 마감일을 맞추기 위해 열심히 노력합니다.보안은 많은 경우 불편한 부분이 많으며 교육 과정에서 사이버 위험을 성공적으로 완화할 수 있는 지식을 갖춘 경우는 거의 없습니다.일반적으로 AppSec 팀원이 업무의 결함을 지적할 때 '보안'이라는 단어를 떠올리게 되는데, 그 결과 관계가 다소 차갑고 제대로 작동하지 않게 됩니다.“아기가 못생겼으니 가서 고쳐라” 시나리오.
이것이 우리에게 무엇을 말해줄까요?개발자들이 보안에 대해 충분히 관심을 갖지 못하고 있다는 것은 수십 년 된 위험 신호입니다. 개발자들은 책임을 질 의욕이 없고, 기능적이면서도 보안 모범 사례를 염두에 두고 만들어진 소프트웨어를 만드는 데 필요한 도구를 찾지도 않습니다.
개발자는 영리하고 창의적이며 문제 해결을 좋아합니다.보안 취약점에 관한 동영상을 끝없이 시청하는 것이 개발자의 흥미를 유발하거나 참여를 유지하는 데 도움이 될 가능성은 거의 없습니다.SANS 강사로 일하면서 저는 학습자가 두뇌를 테스트하고 사전 학습을 기반으로 하는 실제 사례를 사용하여 분석하고 지적 능력을 시험해 볼 수 있는 실습이 최고의 교육이라는 것을 금방 알게 되었습니다.게임화와 우호적인 경쟁은 모든 사람이 새로운 개념을 익히도록 하는 동시에 응용 분야에서도 유용하고 실용성을 유지할 수 있는 강력한 도구이기도 합니다.
NIST의 지침에는 다음과 같이 명시되어 있습니다. “보안 개발에 기여하는 책임이 있는 역할을 맡은 모든 직원에게 역할별 교육을 제공합니다.역할별 교육을 정기적으로 검토하고 필요에 따라 업데이트하십시오.”이후: “사이버 보안 직원, 보안 챔피언, 고위 경영진, 소프트웨어 개발자, 제품 소유자 및 SDLC와 관련된 기타 사람들의 역할과 책임을 정의하십시오.”
이 진술은 교육 유형에 대해 구체적이지는 않지만 여전히 조직을 변화시키고 보안 모범 사례를 염두에 두는 데 도움이 됩니다.이는 효과적이고 보다 구체적인 교육 솔루션을 찾는 책임을 회사에 다시 맡기고 있으며, 이를 통해 개발자들이 성공에 필요한 올바른 도구와 지식을 갖추게 될 수 있기를 바랍니다.
문화: 잃어버린 고리.
조직에서 취약점을 예방하고 보안 위험을 줄이는 역할을 강조하면서 개발자 및 기타 주요 직원을 교육하는 데 시간과 리소스를 투자하더라도 조직의 보안 문화가 근본적으로 망가진 상태라면 이러한 노력은 종종 수포로 돌아갈 수 있습니다.
개인을 효과적으로 교육하고 목표를 설정하고 기대치를 명확히 하면 보안 환경에서 자신의 위치를 이해하고 적절한 책임을 지는 것이 훨씬 쉬워집니다.특히 개발자의 경우 처음부터 보안 코드를 작성할 수 있는 도구와 지식이 제공됩니다.하지만 이중 처리, 책임 전가, 사일로화된 프로젝트 작업이 적은 긍정적인 보안 환경에서 이 방법을 가장 잘 조율할 수 있습니다.
우수하고 안전한 소프트웨어를 제공하기 위한 지원과 협력을 통해 전체 조직의 보안을 최우선으로 생각해야 합니다.즉, 실제 코드 취약점을 활용하는 재미있고 참여도가 높은 교육을 배포하고 조직 전체의 동의를 얻어 이러한 추세를 지속하기에 충분한 예산을 확보할 수 있습니다.끊임없이 진화하는 디지털 환경에서 교육은 전달만큼이나 지속적이어야 합니다.과거에 “일회성” 또는 “한 번 설정하고 잊어버리는” 규정 준수 교육이 적절하거나 효과적이라는 말을 들었다면 이는 잘못된 생각입니다.
이 새로운 NIST 프레임워크에는 긍정적인 보안 문화를 조성하기 위한 요구 사항이 구체적으로 명시되어 있지는 않지만, 지침을 성공적으로 준수하려면 반드시 필요합니다.그러나 조직은 “개발자가 따라야 할 보안 코딩 관행을 포함하여 조직의 소프트웨어가 충족해야 하는 보안 요구 사항을 지정하는 정책을 정의”해야 한다는 점에 주목합니다.
위의 내용은 팀 내에서 보안 기술을 확장하고 연마하는 데 매우 중요하며, 자체 정책과 현재의 AppSec 환경을 평가할 때 다음 사항을 고려하는 것이 도움이 될 수 있습니다.
- 소프트웨어 보안 지침 및 기대치가 명확하게 정의되어 있습니까?
- 모든 사람들이 목표를 달성하는 데 어떤 역할을 하는지 명확하게 알고 있습니까?
- 교육이 빈번하고 평가됩니까?
- 개발자들은 일반적인 보안 버그가 발생하기 전에 제거하는 데 얼마나 큰 역할을 할 수 있는지 알고 있습니까?
앞서 말씀드린 것처럼 마지막 부분은 주로 조직과 조직이 선택하는 교육에 달려 있습니다.관련성이 있어야 하고, 자주 이루어져야 하고, 참여도가 높아야 합니다.일상 업무에 적용할 수 있는 솔루션을 찾고 상황에 맞게 지식을 쌓아보세요.
이제 어떡하죠?
이러한 새로운 지침을 자세히 살펴보는 것은 상당히 어려울 수 있습니다. 대부분의 기업에 필요한 철저한 보안 소프트웨어를 가능한 가장 안전한 방법으로 만들고, 검증하고, 배포하려면 정말 많은 노력이 필요합니다.교육에만 국한된 것도 아닙니다.타사 소프트웨어를 사용할 때 고려해야 할 지침이 있습니다 (알려진 취약점이 있는 구성 요소 사용 여전히 안에 앉아있다. OWASP 탑 10결국), 검증, 침투 테스트 및 코드 검토에 관한 제안, 보안 기록 보관 지침, 적절한 툴체인 및 기타 모든 것.전체 그림에 대한 실행 가능한 통찰력은 Gary McGraw 박사의 책에서 찾을 수 있습니다. BSIMM 모델이는 NIST 문서 전체에서 참조됩니다.
하지만 개발자에게 올바른 도구와 지식을 제공하여 처음부터 안전한 소프트웨어를 구축하는 데 진정으로 성공할 수 있다면 가장 빠른 성공을 거둘 수 있습니다.SDLC의 후반부에 나타나는 일반적인 취약점을 몇 번이고 방지하는 것이 비즈니스 입장에서도 (그리고 전반적으로 더 빠름) 비용도 더 적게 듭니다.이들의 강점을 살려 조직의 보안 측면에 참여할 수 있는 인센티브를 제공하세요.정말 재미있을 수도 있고, 그들은 악의적인 사람들을 막고 데이터를 안전하게 보호하는 데 필요한 적시 영웅이 될 수 있습니다.
참고 문헌:
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2019년 6월 11일, 국립 표준 기술 연구소 (NIST) 에서 자세한 내용을 담은 업데이트 된 백서를 발표했습니다. 몇 가지 실행 계획 감소를 위해 소프트웨어 취약성 및 사이버 위험.제목 보안 소프트웨어 개발 프레임워크 (SSDF) 채택을 통한 소프트웨어 취약성 위험 완화, NIST는 비용이 많이 드는 것은 말할 것도 없고 데이터 침해로 인한 불쾌한 결과를 피할 수 있는 확실한 지침을 조직에 제공합니다.
참고로, SSDF는 모든 조직이 동일한 소프트웨어 보안 목표를 가지고 있다고 가정하지 않으며, 목표 달성을 위한 정확한 메커니즘을 규정하지도 않습니다.주요 목표는 보안 모범 사례를 구현하는 것입니다.작성자 Donna Dodson은 다음과 같이 말했습니다. “각 보안 제작자는 적용 가능한 모든 관행을 준수하기를 바라지만, 각 관행이 구현되는 정도는 제작자의 보안 가정에 따라 달라질 것으로 예상됩니다.이러한 관행은 구현자에게 유연성을 제공하지만 해석에 너무 많은 부분을 남겨두지 않도록 하는 것도 분명합니다.”
물론 개발자를 위한 소프트웨어 보안 교육에 대한 구체적인 내용이 포함되었다는 점이 특히 흥미로웠습니다.이제 개발자들이 소프트웨어 개발 프로세스의 맨 처음부터 조직을 보호하려면 적절한 교육이 필요하다는 사실을 오래전부터 알고 있었습니다... 하지만 적절한, 정확히?세상에는 다양한 의견이 많이 있습니다.하지만 마침내 상당한 긍정적인 결과를 가져올 방향으로 한계를 넓히고 있다고 생각합니다.
보안 교육도 있고... 효과적인 보안 교육도 있습니다.
필자는 소프트웨어 보안 교육을 보다 효과적으로 구현하고 개발자의 요구에 맞게 조정해야 할 필요성에 대해 길게 이야기했습니다.지금도 많은 조직에서는 기껏해야 “틀에 박힌” 연습일 뿐입니다.아마도 몇 시간 동안 비디오 교육을 받거나 강의실 기반 학습을 위한 도구를 사용하지 않는 귀중한 시간을 할애할 수도 있습니다.잘 알려진 (그리고 대개는 쉽게 고칠 수 있는) 취약점을 악용하는 공격자들에 의해 이틀에 한 번씩 대규모 데이터 침해가 발생하고 있다는 사실은 소프트웨어 보안 교육이 필요 만큼 효과적이지 않다는 증거입니다.그리고 아마도 가장 중요한 것은 교육이 효과적이었는지 검증할 수 있는 자료가 거의 없다는 점일 것입니다. 바로 취약점이 더 빨리 해결되었을까요?코드 내에서 취약성이 감소하고 있나요?사람들이 실제로 교육을 완료했나요? 아니면 그냥 “다음”을 클릭하여 교육을 완료한 적이 있나요?
개발자는 바쁜 사람들로, 엄격한 마감일을 맞추기 위해 열심히 노력합니다.보안은 많은 경우 불편한 부분이 많으며 교육 과정에서 사이버 위험을 성공적으로 완화할 수 있는 지식을 갖춘 경우는 거의 없습니다.일반적으로 AppSec 팀원이 업무의 결함을 지적할 때 '보안'이라는 단어를 떠올리게 되는데, 그 결과 관계가 다소 차갑고 제대로 작동하지 않게 됩니다.“아기가 못생겼으니 가서 고쳐라” 시나리오.
이것이 우리에게 무엇을 말해줄까요?개발자들이 보안에 대해 충분히 관심을 갖지 못하고 있다는 것은 수십 년 된 위험 신호입니다. 개발자들은 책임을 질 의욕이 없고, 기능적이면서도 보안 모범 사례를 염두에 두고 만들어진 소프트웨어를 만드는 데 필요한 도구를 찾지도 않습니다.
개발자는 영리하고 창의적이며 문제 해결을 좋아합니다.보안 취약점에 관한 동영상을 끝없이 시청하는 것이 개발자의 흥미를 유발하거나 참여를 유지하는 데 도움이 될 가능성은 거의 없습니다.SANS 강사로 일하면서 저는 학습자가 두뇌를 테스트하고 사전 학습을 기반으로 하는 실제 사례를 사용하여 분석하고 지적 능력을 시험해 볼 수 있는 실습이 최고의 교육이라는 것을 금방 알게 되었습니다.게임화와 우호적인 경쟁은 모든 사람이 새로운 개념을 익히도록 하는 동시에 응용 분야에서도 유용하고 실용성을 유지할 수 있는 강력한 도구이기도 합니다.
NIST의 지침에는 다음과 같이 명시되어 있습니다. “보안 개발에 기여하는 책임이 있는 역할을 맡은 모든 직원에게 역할별 교육을 제공합니다.역할별 교육을 정기적으로 검토하고 필요에 따라 업데이트하십시오.”이후: “사이버 보안 직원, 보안 챔피언, 고위 경영진, 소프트웨어 개발자, 제품 소유자 및 SDLC와 관련된 기타 사람들의 역할과 책임을 정의하십시오.”
이 진술은 교육 유형에 대해 구체적이지는 않지만 여전히 조직을 변화시키고 보안 모범 사례를 염두에 두는 데 도움이 됩니다.이는 효과적이고 보다 구체적인 교육 솔루션을 찾는 책임을 회사에 다시 맡기고 있으며, 이를 통해 개발자들이 성공에 필요한 올바른 도구와 지식을 갖추게 될 수 있기를 바랍니다.
문화: 잃어버린 고리.
조직에서 취약점을 예방하고 보안 위험을 줄이는 역할을 강조하면서 개발자 및 기타 주요 직원을 교육하는 데 시간과 리소스를 투자하더라도 조직의 보안 문화가 근본적으로 망가진 상태라면 이러한 노력은 종종 수포로 돌아갈 수 있습니다.
개인을 효과적으로 교육하고 목표를 설정하고 기대치를 명확히 하면 보안 환경에서 자신의 위치를 이해하고 적절한 책임을 지는 것이 훨씬 쉬워집니다.특히 개발자의 경우 처음부터 보안 코드를 작성할 수 있는 도구와 지식이 제공됩니다.하지만 이중 처리, 책임 전가, 사일로화된 프로젝트 작업이 적은 긍정적인 보안 환경에서 이 방법을 가장 잘 조율할 수 있습니다.
우수하고 안전한 소프트웨어를 제공하기 위한 지원과 협력을 통해 전체 조직의 보안을 최우선으로 생각해야 합니다.즉, 실제 코드 취약점을 활용하는 재미있고 참여도가 높은 교육을 배포하고 조직 전체의 동의를 얻어 이러한 추세를 지속하기에 충분한 예산을 확보할 수 있습니다.끊임없이 진화하는 디지털 환경에서 교육은 전달만큼이나 지속적이어야 합니다.과거에 “일회성” 또는 “한 번 설정하고 잊어버리는” 규정 준수 교육이 적절하거나 효과적이라는 말을 들었다면 이는 잘못된 생각입니다.
이 새로운 NIST 프레임워크에는 긍정적인 보안 문화를 조성하기 위한 요구 사항이 구체적으로 명시되어 있지는 않지만, 지침을 성공적으로 준수하려면 반드시 필요합니다.그러나 조직은 “개발자가 따라야 할 보안 코딩 관행을 포함하여 조직의 소프트웨어가 충족해야 하는 보안 요구 사항을 지정하는 정책을 정의”해야 한다는 점에 주목합니다.
위의 내용은 팀 내에서 보안 기술을 확장하고 연마하는 데 매우 중요하며, 자체 정책과 현재의 AppSec 환경을 평가할 때 다음 사항을 고려하는 것이 도움이 될 수 있습니다.
- 소프트웨어 보안 지침 및 기대치가 명확하게 정의되어 있습니까?
- 모든 사람들이 목표를 달성하는 데 어떤 역할을 하는지 명확하게 알고 있습니까?
- 교육이 빈번하고 평가됩니까?
- 개발자들은 일반적인 보안 버그가 발생하기 전에 제거하는 데 얼마나 큰 역할을 할 수 있는지 알고 있습니까?
앞서 말씀드린 것처럼 마지막 부분은 주로 조직과 조직이 선택하는 교육에 달려 있습니다.관련성이 있어야 하고, 자주 이루어져야 하고, 참여도가 높아야 합니다.일상 업무에 적용할 수 있는 솔루션을 찾고 상황에 맞게 지식을 쌓아보세요.
이제 어떡하죠?
이러한 새로운 지침을 자세히 살펴보는 것은 상당히 어려울 수 있습니다. 대부분의 기업에 필요한 철저한 보안 소프트웨어를 가능한 가장 안전한 방법으로 만들고, 검증하고, 배포하려면 정말 많은 노력이 필요합니다.교육에만 국한된 것도 아닙니다.타사 소프트웨어를 사용할 때 고려해야 할 지침이 있습니다 (알려진 취약점이 있는 구성 요소 사용 여전히 안에 앉아있다. OWASP 탑 10결국), 검증, 침투 테스트 및 코드 검토에 관한 제안, 보안 기록 보관 지침, 적절한 툴체인 및 기타 모든 것.전체 그림에 대한 실행 가능한 통찰력은 Gary McGraw 박사의 책에서 찾을 수 있습니다. BSIMM 모델이는 NIST 문서 전체에서 참조됩니다.
하지만 개발자에게 올바른 도구와 지식을 제공하여 처음부터 안전한 소프트웨어를 구축하는 데 진정으로 성공할 수 있다면 가장 빠른 성공을 거둘 수 있습니다.SDLC의 후반부에 나타나는 일반적인 취약점을 몇 번이고 방지하는 것이 비즈니스 입장에서도 (그리고 전반적으로 더 빠름) 비용도 더 적게 듭니다.이들의 강점을 살려 조직의 보안 측면에 참여할 수 있는 인센티브를 제공하세요.정말 재미있을 수도 있고, 그들은 악의적인 사람들을 막고 데이터를 안전하게 보호하는 데 필요한 적시 영웅이 될 수 있습니다.
참고 문헌:
2019년 6월 11일, 국립 표준 기술 연구소 (NIST) 에서 자세한 내용을 담은 업데이트 된 백서를 발표했습니다. 몇 가지 실행 계획 감소를 위해 소프트웨어 취약성 및 사이버 위험.제목 보안 소프트웨어 개발 프레임워크 (SSDF) 채택을 통한 소프트웨어 취약성 위험 완화, NIST는 비용이 많이 드는 것은 말할 것도 없고 데이터 침해로 인한 불쾌한 결과를 피할 수 있는 확실한 지침을 조직에 제공합니다.
참고로, SSDF는 모든 조직이 동일한 소프트웨어 보안 목표를 가지고 있다고 가정하지 않으며, 목표 달성을 위한 정확한 메커니즘을 규정하지도 않습니다.주요 목표는 보안 모범 사례를 구현하는 것입니다.작성자 Donna Dodson은 다음과 같이 말했습니다. “각 보안 제작자는 적용 가능한 모든 관행을 준수하기를 바라지만, 각 관행이 구현되는 정도는 제작자의 보안 가정에 따라 달라질 것으로 예상됩니다.이러한 관행은 구현자에게 유연성을 제공하지만 해석에 너무 많은 부분을 남겨두지 않도록 하는 것도 분명합니다.”
물론 개발자를 위한 소프트웨어 보안 교육에 대한 구체적인 내용이 포함되었다는 점이 특히 흥미로웠습니다.이제 개발자들이 소프트웨어 개발 프로세스의 맨 처음부터 조직을 보호하려면 적절한 교육이 필요하다는 사실을 오래전부터 알고 있었습니다... 하지만 적절한, 정확히?세상에는 다양한 의견이 많이 있습니다.하지만 마침내 상당한 긍정적인 결과를 가져올 방향으로 한계를 넓히고 있다고 생각합니다.
보안 교육도 있고... 효과적인 보안 교육도 있습니다.
필자는 소프트웨어 보안 교육을 보다 효과적으로 구현하고 개발자의 요구에 맞게 조정해야 할 필요성에 대해 길게 이야기했습니다.지금도 많은 조직에서는 기껏해야 “틀에 박힌” 연습일 뿐입니다.아마도 몇 시간 동안 비디오 교육을 받거나 강의실 기반 학습을 위한 도구를 사용하지 않는 귀중한 시간을 할애할 수도 있습니다.잘 알려진 (그리고 대개는 쉽게 고칠 수 있는) 취약점을 악용하는 공격자들에 의해 이틀에 한 번씩 대규모 데이터 침해가 발생하고 있다는 사실은 소프트웨어 보안 교육이 필요 만큼 효과적이지 않다는 증거입니다.그리고 아마도 가장 중요한 것은 교육이 효과적이었는지 검증할 수 있는 자료가 거의 없다는 점일 것입니다. 바로 취약점이 더 빨리 해결되었을까요?코드 내에서 취약성이 감소하고 있나요?사람들이 실제로 교육을 완료했나요? 아니면 그냥 “다음”을 클릭하여 교육을 완료한 적이 있나요?
개발자는 바쁜 사람들로, 엄격한 마감일을 맞추기 위해 열심히 노력합니다.보안은 많은 경우 불편한 부분이 많으며 교육 과정에서 사이버 위험을 성공적으로 완화할 수 있는 지식을 갖춘 경우는 거의 없습니다.일반적으로 AppSec 팀원이 업무의 결함을 지적할 때 '보안'이라는 단어를 떠올리게 되는데, 그 결과 관계가 다소 차갑고 제대로 작동하지 않게 됩니다.“아기가 못생겼으니 가서 고쳐라” 시나리오.
이것이 우리에게 무엇을 말해줄까요?개발자들이 보안에 대해 충분히 관심을 갖지 못하고 있다는 것은 수십 년 된 위험 신호입니다. 개발자들은 책임을 질 의욕이 없고, 기능적이면서도 보안 모범 사례를 염두에 두고 만들어진 소프트웨어를 만드는 데 필요한 도구를 찾지도 않습니다.
개발자는 영리하고 창의적이며 문제 해결을 좋아합니다.보안 취약점에 관한 동영상을 끝없이 시청하는 것이 개발자의 흥미를 유발하거나 참여를 유지하는 데 도움이 될 가능성은 거의 없습니다.SANS 강사로 일하면서 저는 학습자가 두뇌를 테스트하고 사전 학습을 기반으로 하는 실제 사례를 사용하여 분석하고 지적 능력을 시험해 볼 수 있는 실습이 최고의 교육이라는 것을 금방 알게 되었습니다.게임화와 우호적인 경쟁은 모든 사람이 새로운 개념을 익히도록 하는 동시에 응용 분야에서도 유용하고 실용성을 유지할 수 있는 강력한 도구이기도 합니다.
NIST의 지침에는 다음과 같이 명시되어 있습니다. “보안 개발에 기여하는 책임이 있는 역할을 맡은 모든 직원에게 역할별 교육을 제공합니다.역할별 교육을 정기적으로 검토하고 필요에 따라 업데이트하십시오.”이후: “사이버 보안 직원, 보안 챔피언, 고위 경영진, 소프트웨어 개발자, 제품 소유자 및 SDLC와 관련된 기타 사람들의 역할과 책임을 정의하십시오.”
이 진술은 교육 유형에 대해 구체적이지는 않지만 여전히 조직을 변화시키고 보안 모범 사례를 염두에 두는 데 도움이 됩니다.이는 효과적이고 보다 구체적인 교육 솔루션을 찾는 책임을 회사에 다시 맡기고 있으며, 이를 통해 개발자들이 성공에 필요한 올바른 도구와 지식을 갖추게 될 수 있기를 바랍니다.
문화: 잃어버린 고리.
조직에서 취약점을 예방하고 보안 위험을 줄이는 역할을 강조하면서 개발자 및 기타 주요 직원을 교육하는 데 시간과 리소스를 투자하더라도 조직의 보안 문화가 근본적으로 망가진 상태라면 이러한 노력은 종종 수포로 돌아갈 수 있습니다.
개인을 효과적으로 교육하고 목표를 설정하고 기대치를 명확히 하면 보안 환경에서 자신의 위치를 이해하고 적절한 책임을 지는 것이 훨씬 쉬워집니다.특히 개발자의 경우 처음부터 보안 코드를 작성할 수 있는 도구와 지식이 제공됩니다.하지만 이중 처리, 책임 전가, 사일로화된 프로젝트 작업이 적은 긍정적인 보안 환경에서 이 방법을 가장 잘 조율할 수 있습니다.
우수하고 안전한 소프트웨어를 제공하기 위한 지원과 협력을 통해 전체 조직의 보안을 최우선으로 생각해야 합니다.즉, 실제 코드 취약점을 활용하는 재미있고 참여도가 높은 교육을 배포하고 조직 전체의 동의를 얻어 이러한 추세를 지속하기에 충분한 예산을 확보할 수 있습니다.끊임없이 진화하는 디지털 환경에서 교육은 전달만큼이나 지속적이어야 합니다.과거에 “일회성” 또는 “한 번 설정하고 잊어버리는” 규정 준수 교육이 적절하거나 효과적이라는 말을 들었다면 이는 잘못된 생각입니다.
이 새로운 NIST 프레임워크에는 긍정적인 보안 문화를 조성하기 위한 요구 사항이 구체적으로 명시되어 있지는 않지만, 지침을 성공적으로 준수하려면 반드시 필요합니다.그러나 조직은 “개발자가 따라야 할 보안 코딩 관행을 포함하여 조직의 소프트웨어가 충족해야 하는 보안 요구 사항을 지정하는 정책을 정의”해야 한다는 점에 주목합니다.
위의 내용은 팀 내에서 보안 기술을 확장하고 연마하는 데 매우 중요하며, 자체 정책과 현재의 AppSec 환경을 평가할 때 다음 사항을 고려하는 것이 도움이 될 수 있습니다.
- 소프트웨어 보안 지침 및 기대치가 명확하게 정의되어 있습니까?
- 모든 사람들이 목표를 달성하는 데 어떤 역할을 하는지 명확하게 알고 있습니까?
- 교육이 빈번하고 평가됩니까?
- 개발자들은 일반적인 보안 버그가 발생하기 전에 제거하는 데 얼마나 큰 역할을 할 수 있는지 알고 있습니까?
앞서 말씀드린 것처럼 마지막 부분은 주로 조직과 조직이 선택하는 교육에 달려 있습니다.관련성이 있어야 하고, 자주 이루어져야 하고, 참여도가 높아야 합니다.일상 업무에 적용할 수 있는 솔루션을 찾고 상황에 맞게 지식을 쌓아보세요.
이제 어떡하죠?
이러한 새로운 지침을 자세히 살펴보는 것은 상당히 어려울 수 있습니다. 대부분의 기업에 필요한 철저한 보안 소프트웨어를 가능한 가장 안전한 방법으로 만들고, 검증하고, 배포하려면 정말 많은 노력이 필요합니다.교육에만 국한된 것도 아닙니다.타사 소프트웨어를 사용할 때 고려해야 할 지침이 있습니다 (알려진 취약점이 있는 구성 요소 사용 여전히 안에 앉아있다. OWASP 탑 10결국), 검증, 침투 테스트 및 코드 검토에 관한 제안, 보안 기록 보관 지침, 적절한 툴체인 및 기타 모든 것.전체 그림에 대한 실행 가능한 통찰력은 Gary McGraw 박사의 책에서 찾을 수 있습니다. BSIMM 모델이는 NIST 문서 전체에서 참조됩니다.
하지만 개발자에게 올바른 도구와 지식을 제공하여 처음부터 안전한 소프트웨어를 구축하는 데 진정으로 성공할 수 있다면 가장 빠른 성공을 거둘 수 있습니다.SDLC의 후반부에 나타나는 일반적인 취약점을 몇 번이고 방지하는 것이 비즈니스 입장에서도 (그리고 전반적으로 더 빠름) 비용도 더 적게 듭니다.이들의 강점을 살려 조직의 보안 측면에 참여할 수 있는 인센티브를 제공하세요.정말 재미있을 수도 있고, 그들은 악의적인 사람들을 막고 데이터를 안전하게 보호하는 데 필요한 적시 영웅이 될 수 있습니다.
참고 문헌:
点击下方链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并帮助组织建立将网络安全置于首位的文化。无论您是应用安全管理员、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能协助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2019년 6월 11일, 국립 표준 기술 연구소 (NIST) 에서 자세한 내용을 담은 업데이트 된 백서를 발표했습니다. 몇 가지 실행 계획 감소를 위해 소프트웨어 취약성 및 사이버 위험.제목 보안 소프트웨어 개발 프레임워크 (SSDF) 채택을 통한 소프트웨어 취약성 위험 완화, NIST는 비용이 많이 드는 것은 말할 것도 없고 데이터 침해로 인한 불쾌한 결과를 피할 수 있는 확실한 지침을 조직에 제공합니다.
참고로, SSDF는 모든 조직이 동일한 소프트웨어 보안 목표를 가지고 있다고 가정하지 않으며, 목표 달성을 위한 정확한 메커니즘을 규정하지도 않습니다.주요 목표는 보안 모범 사례를 구현하는 것입니다.작성자 Donna Dodson은 다음과 같이 말했습니다. “각 보안 제작자는 적용 가능한 모든 관행을 준수하기를 바라지만, 각 관행이 구현되는 정도는 제작자의 보안 가정에 따라 달라질 것으로 예상됩니다.이러한 관행은 구현자에게 유연성을 제공하지만 해석에 너무 많은 부분을 남겨두지 않도록 하는 것도 분명합니다.”
물론 개발자를 위한 소프트웨어 보안 교육에 대한 구체적인 내용이 포함되었다는 점이 특히 흥미로웠습니다.이제 개발자들이 소프트웨어 개발 프로세스의 맨 처음부터 조직을 보호하려면 적절한 교육이 필요하다는 사실을 오래전부터 알고 있었습니다... 하지만 적절한, 정확히?세상에는 다양한 의견이 많이 있습니다.하지만 마침내 상당한 긍정적인 결과를 가져올 방향으로 한계를 넓히고 있다고 생각합니다.
보안 교육도 있고... 효과적인 보안 교육도 있습니다.
필자는 소프트웨어 보안 교육을 보다 효과적으로 구현하고 개발자의 요구에 맞게 조정해야 할 필요성에 대해 길게 이야기했습니다.지금도 많은 조직에서는 기껏해야 “틀에 박힌” 연습일 뿐입니다.아마도 몇 시간 동안 비디오 교육을 받거나 강의실 기반 학습을 위한 도구를 사용하지 않는 귀중한 시간을 할애할 수도 있습니다.잘 알려진 (그리고 대개는 쉽게 고칠 수 있는) 취약점을 악용하는 공격자들에 의해 이틀에 한 번씩 대규모 데이터 침해가 발생하고 있다는 사실은 소프트웨어 보안 교육이 필요 만큼 효과적이지 않다는 증거입니다.그리고 아마도 가장 중요한 것은 교육이 효과적이었는지 검증할 수 있는 자료가 거의 없다는 점일 것입니다. 바로 취약점이 더 빨리 해결되었을까요?코드 내에서 취약성이 감소하고 있나요?사람들이 실제로 교육을 완료했나요? 아니면 그냥 “다음”을 클릭하여 교육을 완료한 적이 있나요?
개발자는 바쁜 사람들로, 엄격한 마감일을 맞추기 위해 열심히 노력합니다.보안은 많은 경우 불편한 부분이 많으며 교육 과정에서 사이버 위험을 성공적으로 완화할 수 있는 지식을 갖춘 경우는 거의 없습니다.일반적으로 AppSec 팀원이 업무의 결함을 지적할 때 '보안'이라는 단어를 떠올리게 되는데, 그 결과 관계가 다소 차갑고 제대로 작동하지 않게 됩니다.“아기가 못생겼으니 가서 고쳐라” 시나리오.
이것이 우리에게 무엇을 말해줄까요?개발자들이 보안에 대해 충분히 관심을 갖지 못하고 있다는 것은 수십 년 된 위험 신호입니다. 개발자들은 책임을 질 의욕이 없고, 기능적이면서도 보안 모범 사례를 염두에 두고 만들어진 소프트웨어를 만드는 데 필요한 도구를 찾지도 않습니다.
개발자는 영리하고 창의적이며 문제 해결을 좋아합니다.보안 취약점에 관한 동영상을 끝없이 시청하는 것이 개발자의 흥미를 유발하거나 참여를 유지하는 데 도움이 될 가능성은 거의 없습니다.SANS 강사로 일하면서 저는 학습자가 두뇌를 테스트하고 사전 학습을 기반으로 하는 실제 사례를 사용하여 분석하고 지적 능력을 시험해 볼 수 있는 실습이 최고의 교육이라는 것을 금방 알게 되었습니다.게임화와 우호적인 경쟁은 모든 사람이 새로운 개념을 익히도록 하는 동시에 응용 분야에서도 유용하고 실용성을 유지할 수 있는 강력한 도구이기도 합니다.
NIST의 지침에는 다음과 같이 명시되어 있습니다. “보안 개발에 기여하는 책임이 있는 역할을 맡은 모든 직원에게 역할별 교육을 제공합니다.역할별 교육을 정기적으로 검토하고 필요에 따라 업데이트하십시오.”이후: “사이버 보안 직원, 보안 챔피언, 고위 경영진, 소프트웨어 개발자, 제품 소유자 및 SDLC와 관련된 기타 사람들의 역할과 책임을 정의하십시오.”
이 진술은 교육 유형에 대해 구체적이지는 않지만 여전히 조직을 변화시키고 보안 모범 사례를 염두에 두는 데 도움이 됩니다.이는 효과적이고 보다 구체적인 교육 솔루션을 찾는 책임을 회사에 다시 맡기고 있으며, 이를 통해 개발자들이 성공에 필요한 올바른 도구와 지식을 갖추게 될 수 있기를 바랍니다.
문화: 잃어버린 고리.
조직에서 취약점을 예방하고 보안 위험을 줄이는 역할을 강조하면서 개발자 및 기타 주요 직원을 교육하는 데 시간과 리소스를 투자하더라도 조직의 보안 문화가 근본적으로 망가진 상태라면 이러한 노력은 종종 수포로 돌아갈 수 있습니다.
개인을 효과적으로 교육하고 목표를 설정하고 기대치를 명확히 하면 보안 환경에서 자신의 위치를 이해하고 적절한 책임을 지는 것이 훨씬 쉬워집니다.특히 개발자의 경우 처음부터 보안 코드를 작성할 수 있는 도구와 지식이 제공됩니다.하지만 이중 처리, 책임 전가, 사일로화된 프로젝트 작업이 적은 긍정적인 보안 환경에서 이 방법을 가장 잘 조율할 수 있습니다.
우수하고 안전한 소프트웨어를 제공하기 위한 지원과 협력을 통해 전체 조직의 보안을 최우선으로 생각해야 합니다.즉, 실제 코드 취약점을 활용하는 재미있고 참여도가 높은 교육을 배포하고 조직 전체의 동의를 얻어 이러한 추세를 지속하기에 충분한 예산을 확보할 수 있습니다.끊임없이 진화하는 디지털 환경에서 교육은 전달만큼이나 지속적이어야 합니다.과거에 “일회성” 또는 “한 번 설정하고 잊어버리는” 규정 준수 교육이 적절하거나 효과적이라는 말을 들었다면 이는 잘못된 생각입니다.
이 새로운 NIST 프레임워크에는 긍정적인 보안 문화를 조성하기 위한 요구 사항이 구체적으로 명시되어 있지는 않지만, 지침을 성공적으로 준수하려면 반드시 필요합니다.그러나 조직은 “개발자가 따라야 할 보안 코딩 관행을 포함하여 조직의 소프트웨어가 충족해야 하는 보안 요구 사항을 지정하는 정책을 정의”해야 한다는 점에 주목합니다.
위의 내용은 팀 내에서 보안 기술을 확장하고 연마하는 데 매우 중요하며, 자체 정책과 현재의 AppSec 환경을 평가할 때 다음 사항을 고려하는 것이 도움이 될 수 있습니다.
- 소프트웨어 보안 지침 및 기대치가 명확하게 정의되어 있습니까?
- 모든 사람들이 목표를 달성하는 데 어떤 역할을 하는지 명확하게 알고 있습니까?
- 교육이 빈번하고 평가됩니까?
- 개발자들은 일반적인 보안 버그가 발생하기 전에 제거하는 데 얼마나 큰 역할을 할 수 있는지 알고 있습니까?
앞서 말씀드린 것처럼 마지막 부분은 주로 조직과 조직이 선택하는 교육에 달려 있습니다.관련성이 있어야 하고, 자주 이루어져야 하고, 참여도가 높아야 합니다.일상 업무에 적용할 수 있는 솔루션을 찾고 상황에 맞게 지식을 쌓아보세요.
이제 어떡하죠?
이러한 새로운 지침을 자세히 살펴보는 것은 상당히 어려울 수 있습니다. 대부분의 기업에 필요한 철저한 보안 소프트웨어를 가능한 가장 안전한 방법으로 만들고, 검증하고, 배포하려면 정말 많은 노력이 필요합니다.교육에만 국한된 것도 아닙니다.타사 소프트웨어를 사용할 때 고려해야 할 지침이 있습니다 (알려진 취약점이 있는 구성 요소 사용 여전히 안에 앉아있다. OWASP 탑 10결국), 검증, 침투 테스트 및 코드 검토에 관한 제안, 보안 기록 보관 지침, 적절한 툴체인 및 기타 모든 것.전체 그림에 대한 실행 가능한 통찰력은 Gary McGraw 박사의 책에서 찾을 수 있습니다. BSIMM 모델이는 NIST 문서 전체에서 참조됩니다.
하지만 개발자에게 올바른 도구와 지식을 제공하여 처음부터 안전한 소프트웨어를 구축하는 데 진정으로 성공할 수 있다면 가장 빠른 성공을 거둘 수 있습니다.SDLC의 후반부에 나타나는 일반적인 취약점을 몇 번이고 방지하는 것이 비즈니스 입장에서도 (그리고 전반적으로 더 빠름) 비용도 더 적게 듭니다.이들의 강점을 살려 조직의 보안 측면에 참여할 수 있는 인센티브를 제공하세요.정말 재미있을 수도 있고, 그들은 악의적인 사람들을 막고 데이터를 안전하게 보호하는 데 필요한 적시 영웅이 될 수 있습니다.
%20(1).avif)
.avif)
