조직의 보안 성숙도를 과대평가한 적이 있습니까?
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
전 세계 소프트웨어 요구 사항을 충족하기 위해 작성되는 코드의 홍수와 맞물려 지속적인 기술 부족으로 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.이제 우리의 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈 앞에 펼쳐진 실행 가능한 빠른 성과를 평가할 때입니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
