Envestnet이 애자일 보안 코드 학습 플랫폼을 채택하고 취약성 감소에서 개발자 효율성을 3배로 높인 방법
백그라운드
Envestnet, Inc.는 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유한 상장 핀테크 회사입니다.Envestnet의 사명은 어드바이저와 금융 서비스 제공자에게 혁신적인 기술, 솔루션 및 인텔리전스를 제공하여 모든 사람이 금융 웰빙을 실현할 수 있도록 하는 것입니다.Envestnet은 전 세계 자산 관리 분야에서 재무 고문이 사용하는 서비스와 소프트웨어를 통합하는 주력 자문 플랫폼을 통해 자산 관리 기술 분야의 시장 리더 중 하나로 자리매김했습니다.
데이터 관리 모범 사례에 대한 Envestnet의 약속에는 규정 준수 문제나 잠재적 장애를 신속하게 식별하고 해결할 수 있는 지속적인 위험 기반 규정 준수 조치를 통해 자산 관리 플랫폼을 지속적으로 모니터링하는 것이 포함됩니다.Envestnet은 서비스 제공에 세계적 수준의 보안 조치를 도입하여 고객 데이터를 보호하는 데 앞장서고 있습니다.
Envestnet의 제품 보안 책임자이자 저자인 데릭 피셔 (Derek Fisher) 가 어떻게 했는지 알아보십시오.”애플리케이션 보안 핸드북” Secure Code Warrior와 협력하여 개발자 팀을 위한 민첩한 보안 코드 지원을 통해 취약성을 줄이기 위한 총체적인 접근 방식을 개발했습니다.Derek은 10년 넘게 애플리케이션 보안 분야에서 일하면서 수많은 보안 성공과 실패를 직접 목격했으며, Envestnet에서 개발자를 위한 보안 코드 학습 환경을 개발하는 데 자신의 독보적인 전문 지식을 제공합니다.
상황
Derek은 애플리케이션 보안 부서에 처음 입사했을 때 OWASP 상위 10위 및 기본 규정 준수 교육을 넘어서고 싶었습니다.몇 가지 Secure SDLC 프로세스를 사용하긴 했지만, 취약점을 찾는 데 주로 초점을 맞췄고 반드시 출처에서 문제를 해결하지는 못했습니다.
데릭에 따르면 “우리 모두는 어느 조직에서든 매년 받게 되는 규정 준수 교육에 대해 잘 알고 있습니다.제가 보통 'Powerpoint에 의한 죽음'이라고 부르는 것인데, 슬라이드가 많고 마지막에 평가를 할지도 모르는데... 정말 비효율적이고 시간이 많이 걸립니다.교육을 받았지만 슬라이드/오디오 레코딩을 기반으로 하는 특정 보안 교육을 기반으로 하는 일반적인 규정 준수가 이루어졌습니다.개발자들이 참여도가 높지 않고 자료를 통해 배우지 못한다는 사실을 알게 되어 전략을 바꿔야 했습니다.”
수동적인 OWASP 중심의 규정 준수 교육을 통해 개발자를 교육하는 이러한 기존 전략은 Derek과 그의 팀에게 특히 고통스러운 일이었습니다. 교육의 영향을 측정할 수 없었기 때문에 취약성 관리에 점점 더 많은 시간을 할애하게 되었습니다.
Derek은 취약점의 원인, 즉 개발자가 프로덕션 환경에 배포하는 안전하지 않은 코드를 살펴보는 것이 중요하며 더 많은 도구를 사용하는 것만으로는 해결책이 될 수 없다는 것을 깨달았습니다.
대신 Derek과 그의 팀은 처음부터 더 안전한 코드를 작성하는 것을 목표로 2020년에 취약성 완화에 초점을 맞췄습니다.Derek과 그의 팀은 수정 비용이 훨씬 적게 드는 SDLC에서 훨씬 더 일찍 취약점을 해결하고 해결하기 위해 “시프트 레프트” 전략을 채택했습니다.
하지만 먼저 기존 App Sectraining에 대한 개발자들의 참여도가 낮았던 문제를 해결해야 했습니다.그는 보안 코드 학습 전략에 “체크박스” 사고방식을 적용하는 것을 피하고 Envestnet의 개발자들에게 보안 코드에 대한 보다 효과적이고 민첩한 학습 경험을 제공하고 싶었습니다.
“SCW를 보고 어떤 기능을 할 수 있는지 보고 나니 좀 더 실제적이고 인터랙티브한 접근 방식이 우리에게 적합하다는 것을 알았습니다.엔지니어와 개발자가 교육에서 벗어나 실제 문제가 무엇인지에 대한 실무 지식을 더 많이 얻길 바랐어요.'이전에 교육에서 본 것이 있는데, 제가 본 코딩 문제에 어떻게 접근해야 할지 알고 있구나' 하는 근력 있는 기억을 쌓고 싶었습니다.Secure Code Warrior 플랫폼을 통해 엔지니어와 개발자가 직접 들어가 좋은 보안 코딩 방법이 무엇인지, 나쁜 방법이 무엇인지, 취약점을 신속하게 해결하는 방법을 제대로 이해할 수 있는 환경을 제공할 수 있었습니다.”
데릭 피셔, 인베스트넷 제품 보안 책임자
액션
Derek은 특히 보안 코드 업 기술을 인증으로 보상하는 벨트 전략을 구현하는 데 열중했습니다.4단계 프로그램은 보안 인식의 강력한 기반 (레벨 1 및 2) 을 구축하는 데 초점을 맞춘 다음 개발자가 보안 챔피언 (레벨 3 및 4) 이 될 수 있는 길을 닦는 데 중점을 두었습니다.이를 통해 개발자들이 보안 코드 개념을 어떻게 유지하고 있는지를 측정할 수 없었던 문제를 해결하면서도 보안을 중시하는 개발자들은 더 복잡한 보안 과제에 직면해 기술을 발전시킬 수 있는 진로를 확보할 수 있었습니다.
소규모 파일럿을 통해 테스트하고 관련 개발자들에게 피드백을 요청했습니다.피드백은 매우 긍정적이었습니다.데릭은 이렇게 말했습니다.
“이런 것에서 항상 긍정적인 피드백을 받는 것은 아닙니다. 트레이닝에서 긍정적인 피드백을 받을 때마다 아무리 강조해도 지나치지 않습니다. 이는 드문 일입니다.이는 이 도구가 올바른 도구라는 것을 보여주는 좋은 지표입니다.”
Envestnet은 2021년 봄에 첫 토너먼트를 개최했으며 개발자 참여 관점에서 볼 때 더 긍정적인 결과를 얻었습니다.그 후 Derek은 DB, 프론트엔드, API 및 클라우드 개발자를 위해 LMS에 통합된 일련의 과정을 시작했습니다.Envestnet이 2021년 가을에 두 번째 토너먼트를 개최할 무렵에는 참가한 전체 개발자 수가 두 배로 늘어났습니다.
Derek에 따르면 Envestnet은 토너먼트에서 큰 관심을 끌었기 때문에
“우리 모두는 경쟁이 동기 부여라는 것을 알고 있습니다.우리 모두는 동료들이 우리가 특정 분야에서 얼마나 잘하고 있는지 인정하고 이를 통해 사람들이 토너먼트에 참가하고 좋은 성적을 거둘 수 있도록 동기를 부여하고 싶습니다.그리고 개발 도구와의 통합으로 Secure Code Warrior의 가치를 제대로 알 수 있었습니다.”
Derek과 팀은 또한 Secure Code Warrior를 Jira와 통합하여 특정 취약점이 반복적으로 발생하는 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 바로 즉각적인 문제 해결 조언에 액세스할 수 있도록 했습니다.이를 통해 개발자들은 유용한 컨텍스트를 얻을 수 있었을 뿐만 아니라 취약점이 필요한 곳에서 영향을 받는 시점에 해당 취약점을 해결하는 방법에 대한 즉각적인 온디맨드 교육을 받을 수 있었습니다.또한 Derek의 팀은 Secure Code Warrior와 협력하여 Security Code Warrior와 협력하여 보안의 날 행사를 후원했습니다. 이 행사를 통해 CEO 지원이 폭넓어졌고 Envestnet의 성공에서 엔지니어링과 보안이 차지하는 중요성이 더욱 강조되었습니다.이러한 유형의 경영진과 개발자의 동의를 통해 Envestnet은 프로그램을 현재와 같은 수준으로 확장할 수 있었습니다.이제 Envestnet은 확인된 모든 보안 챔피언을 프로그램에 등록했으며 전체 팀 중 60% 가 레벨 1 또는 2 인증을 완료했습니다.
결과
Envestnet이 성공을 가늠한 한 가지 방법은 SCW 학습 경험을 거친 팀을 살펴보고 취약점이 덜 발생하는지, 취약점을 더 빨리 수정하고 있는지를 측정하는 것이었습니다.그들이 발견한 것은 매우 인상적이었습니다.
- SCW 교육을 받은 개발자가 동료보다 2.7배 더 많은 취약점을 수정했습니다.
- 100명의 SCW 교육을 받은 개발자가 단기간에 450개의 취약점을 수정했습니다.
- 1,200명의 SCW 교육을 받은 개발자 덕분에 Envestnet은 각자의 대기열에 있는 교정 작업을 120% 까지 늘릴 수 있었습니다.
- 두 제품군에서 1년 동안 SCW 교육을 받은 개발자는 개발자당 4.5% 의 비율로 취약점 관련 문제를 해결한 반면, 동료 개발자들은 개발자당 1.82회의 비율로 취약점을 해결했습니다.
- 모든 보안 챔피언은 2022년에 인증 프로그램을 통과했습니다.
- 시큐리티 어웨어 개발자 중 60% 가 레벨 1과 2를 통과했습니다.
주요 시사점
Derek은 보안 코드 학습 여정을 시작하는 사람들에게 다음과 같은 조언을 제공합니다.
“보안 분야에서 우리의 임무는 조직의 위험을 줄이는 것입니다.이것이 바로 우리의 진정한 북녘이며, 우리가 항상 노력하는 바입니다.심각한 취약점은 조직에 가장 큰 위험이나 가장 큰 영향을 미치지 않을 수 있습니다.미디엄, 로우, 하이 두 가지 요소를 조합하여 훨씬 더 영향력 있는 체인을 만들 수 있습니다.시간이 지남에 따라 취약성이 더 많이 누적될수록 더 많은 위험이 누적됩니다.Secure Code Warrior를 사용하면 민첩한 보안 코드 학습을 통해 이러한 잠재적 취약점을 완화하는 사전 예방적 접근 방식을 취할 수 있습니다.”
- 취약점을 테스트하고 보고하는 데에만 집중하지 마세요. 결국 개발자에게 소란을 줄 뿐입니다.
- 대신 AppSec은 개발자의 파트너가 되어 안전한 코드 학습 전략을 구현하기 전에 개발자의 동의를 얻어야 합니다.
- 로마는 하루아침에 세워지지 않았습니다.위험 프로필의 변화, 회사 변화, 기술 및 도구 변화에 따라 프로그램도 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 IQ를 높여 생성되는 전체 취약점 수를 줄이는 것입니다.
Envestnet의 제품 보안 책임자이자 “애플리케이션 보안 핸드북”의 저자인 Derek Fisher가 Secure Code Warrior와 협력하여 개발자 팀을 위해 애자일 보안 코드 지원을 통해 취약성을 줄이는 총체적 접근 방식을 개발한 방법을 알아보십시오.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
백그라운드
Envestnet, Inc.는 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유한 상장 핀테크 회사입니다.Envestnet의 사명은 어드바이저와 금융 서비스 제공자에게 혁신적인 기술, 솔루션 및 인텔리전스를 제공하여 모든 사람이 금융 웰빙을 실현할 수 있도록 하는 것입니다.Envestnet은 전 세계 자산 관리 분야에서 재무 고문이 사용하는 서비스와 소프트웨어를 통합하는 주력 자문 플랫폼을 통해 자산 관리 기술 분야의 시장 리더 중 하나로 자리매김했습니다.
데이터 관리 모범 사례에 대한 Envestnet의 약속에는 규정 준수 문제나 잠재적 장애를 신속하게 식별하고 해결할 수 있는 지속적인 위험 기반 규정 준수 조치를 통해 자산 관리 플랫폼을 지속적으로 모니터링하는 것이 포함됩니다.Envestnet은 서비스 제공에 세계적 수준의 보안 조치를 도입하여 고객 데이터를 보호하는 데 앞장서고 있습니다.
Envestnet의 제품 보안 책임자이자 저자인 데릭 피셔 (Derek Fisher) 가 어떻게 했는지 알아보십시오.”애플리케이션 보안 핸드북” Secure Code Warrior와 협력하여 개발자 팀을 위한 민첩한 보안 코드 지원을 통해 취약성을 줄이기 위한 총체적인 접근 방식을 개발했습니다.Derek은 10년 넘게 애플리케이션 보안 분야에서 일하면서 수많은 보안 성공과 실패를 직접 목격했으며, Envestnet에서 개발자를 위한 보안 코드 학습 환경을 개발하는 데 자신의 독보적인 전문 지식을 제공합니다.
상황
Derek은 애플리케이션 보안 부서에 처음 입사했을 때 OWASP 상위 10위 및 기본 규정 준수 교육을 넘어서고 싶었습니다.몇 가지 Secure SDLC 프로세스를 사용하긴 했지만, 취약점을 찾는 데 주로 초점을 맞췄고 반드시 출처에서 문제를 해결하지는 못했습니다.
데릭에 따르면 “우리 모두는 어느 조직에서든 매년 받게 되는 규정 준수 교육에 대해 잘 알고 있습니다.제가 보통 'Powerpoint에 의한 죽음'이라고 부르는 것인데, 슬라이드가 많고 마지막에 평가를 할지도 모르는데... 정말 비효율적이고 시간이 많이 걸립니다.교육을 받았지만 슬라이드/오디오 레코딩을 기반으로 하는 특정 보안 교육을 기반으로 하는 일반적인 규정 준수가 이루어졌습니다.개발자들이 참여도가 높지 않고 자료를 통해 배우지 못한다는 사실을 알게 되어 전략을 바꿔야 했습니다.”
수동적인 OWASP 중심의 규정 준수 교육을 통해 개발자를 교육하는 이러한 기존 전략은 Derek과 그의 팀에게 특히 고통스러운 일이었습니다. 교육의 영향을 측정할 수 없었기 때문에 취약성 관리에 점점 더 많은 시간을 할애하게 되었습니다.
Derek은 취약점의 원인, 즉 개발자가 프로덕션 환경에 배포하는 안전하지 않은 코드를 살펴보는 것이 중요하며 더 많은 도구를 사용하는 것만으로는 해결책이 될 수 없다는 것을 깨달았습니다.
대신 Derek과 그의 팀은 처음부터 더 안전한 코드를 작성하는 것을 목표로 2020년에 취약성 완화에 초점을 맞췄습니다.Derek과 그의 팀은 수정 비용이 훨씬 적게 드는 SDLC에서 훨씬 더 일찍 취약점을 해결하고 해결하기 위해 “시프트 레프트” 전략을 채택했습니다.
하지만 먼저 기존 App Sectraining에 대한 개발자들의 참여도가 낮았던 문제를 해결해야 했습니다.그는 보안 코드 학습 전략에 “체크박스” 사고방식을 적용하는 것을 피하고 Envestnet의 개발자들에게 보안 코드에 대한 보다 효과적이고 민첩한 학습 경험을 제공하고 싶었습니다.
“SCW를 보고 어떤 기능을 할 수 있는지 보고 나니 좀 더 실제적이고 인터랙티브한 접근 방식이 우리에게 적합하다는 것을 알았습니다.엔지니어와 개발자가 교육에서 벗어나 실제 문제가 무엇인지에 대한 실무 지식을 더 많이 얻길 바랐어요.'이전에 교육에서 본 것이 있는데, 제가 본 코딩 문제에 어떻게 접근해야 할지 알고 있구나' 하는 근력 있는 기억을 쌓고 싶었습니다.Secure Code Warrior 플랫폼을 통해 엔지니어와 개발자가 직접 들어가 좋은 보안 코딩 방법이 무엇인지, 나쁜 방법이 무엇인지, 취약점을 신속하게 해결하는 방법을 제대로 이해할 수 있는 환경을 제공할 수 있었습니다.”
데릭 피셔, 인베스트넷 제품 보안 책임자
액션
Derek은 특히 보안 코드 업 기술을 인증으로 보상하는 벨트 전략을 구현하는 데 열중했습니다.4단계 프로그램은 보안 인식의 강력한 기반 (레벨 1 및 2) 을 구축하는 데 초점을 맞춘 다음 개발자가 보안 챔피언 (레벨 3 및 4) 이 될 수 있는 길을 닦는 데 중점을 두었습니다.이를 통해 개발자들이 보안 코드 개념을 어떻게 유지하고 있는지를 측정할 수 없었던 문제를 해결하면서도 보안을 중시하는 개발자들은 더 복잡한 보안 과제에 직면해 기술을 발전시킬 수 있는 진로를 확보할 수 있었습니다.
소규모 파일럿을 통해 테스트하고 관련 개발자들에게 피드백을 요청했습니다.피드백은 매우 긍정적이었습니다.데릭은 이렇게 말했습니다.
“이런 것에서 항상 긍정적인 피드백을 받는 것은 아닙니다. 트레이닝에서 긍정적인 피드백을 받을 때마다 아무리 강조해도 지나치지 않습니다. 이는 드문 일입니다.이는 이 도구가 올바른 도구라는 것을 보여주는 좋은 지표입니다.”
Envestnet은 2021년 봄에 첫 토너먼트를 개최했으며 개발자 참여 관점에서 볼 때 더 긍정적인 결과를 얻었습니다.그 후 Derek은 DB, 프론트엔드, API 및 클라우드 개발자를 위해 LMS에 통합된 일련의 과정을 시작했습니다.Envestnet이 2021년 가을에 두 번째 토너먼트를 개최할 무렵에는 참가한 전체 개발자 수가 두 배로 늘어났습니다.
Derek에 따르면 Envestnet은 토너먼트에서 큰 관심을 끌었기 때문에
“우리 모두는 경쟁이 동기 부여라는 것을 알고 있습니다.우리 모두는 동료들이 우리가 특정 분야에서 얼마나 잘하고 있는지 인정하고 이를 통해 사람들이 토너먼트에 참가하고 좋은 성적을 거둘 수 있도록 동기를 부여하고 싶습니다.그리고 개발 도구와의 통합으로 Secure Code Warrior의 가치를 제대로 알 수 있었습니다.”
Derek과 팀은 또한 Secure Code Warrior를 Jira와 통합하여 특정 취약점이 반복적으로 발생하는 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 바로 즉각적인 문제 해결 조언에 액세스할 수 있도록 했습니다.이를 통해 개발자들은 유용한 컨텍스트를 얻을 수 있었을 뿐만 아니라 취약점이 필요한 곳에서 영향을 받는 시점에 해당 취약점을 해결하는 방법에 대한 즉각적인 온디맨드 교육을 받을 수 있었습니다.또한 Derek의 팀은 Secure Code Warrior와 협력하여 Security Code Warrior와 협력하여 보안의 날 행사를 후원했습니다. 이 행사를 통해 CEO 지원이 폭넓어졌고 Envestnet의 성공에서 엔지니어링과 보안이 차지하는 중요성이 더욱 강조되었습니다.이러한 유형의 경영진과 개발자의 동의를 통해 Envestnet은 프로그램을 현재와 같은 수준으로 확장할 수 있었습니다.이제 Envestnet은 확인된 모든 보안 챔피언을 프로그램에 등록했으며 전체 팀 중 60% 가 레벨 1 또는 2 인증을 완료했습니다.
결과
Envestnet이 성공을 가늠한 한 가지 방법은 SCW 학습 경험을 거친 팀을 살펴보고 취약점이 덜 발생하는지, 취약점을 더 빨리 수정하고 있는지를 측정하는 것이었습니다.그들이 발견한 것은 매우 인상적이었습니다.
- SCW 교육을 받은 개발자가 동료보다 2.7배 더 많은 취약점을 수정했습니다.
- 100명의 SCW 교육을 받은 개발자가 단기간에 450개의 취약점을 수정했습니다.
- 1,200명의 SCW 교육을 받은 개발자 덕분에 Envestnet은 각자의 대기열에 있는 교정 작업을 120% 까지 늘릴 수 있었습니다.
- 두 제품군에서 1년 동안 SCW 교육을 받은 개발자는 개발자당 4.5% 의 비율로 취약점 관련 문제를 해결한 반면, 동료 개발자들은 개발자당 1.82회의 비율로 취약점을 해결했습니다.
- 모든 보안 챔피언은 2022년에 인증 프로그램을 통과했습니다.
- 시큐리티 어웨어 개발자 중 60% 가 레벨 1과 2를 통과했습니다.
주요 시사점
Derek은 보안 코드 학습 여정을 시작하는 사람들에게 다음과 같은 조언을 제공합니다.
“보안 분야에서 우리의 임무는 조직의 위험을 줄이는 것입니다.이것이 바로 우리의 진정한 북녘이며, 우리가 항상 노력하는 바입니다.심각한 취약점은 조직에 가장 큰 위험이나 가장 큰 영향을 미치지 않을 수 있습니다.미디엄, 로우, 하이 두 가지 요소를 조합하여 훨씬 더 영향력 있는 체인을 만들 수 있습니다.시간이 지남에 따라 취약성이 더 많이 누적될수록 더 많은 위험이 누적됩니다.Secure Code Warrior를 사용하면 민첩한 보안 코드 학습을 통해 이러한 잠재적 취약점을 완화하는 사전 예방적 접근 방식을 취할 수 있습니다.”
- 취약점을 테스트하고 보고하는 데에만 집중하지 마세요. 결국 개발자에게 소란을 줄 뿐입니다.
- 대신 AppSec은 개발자의 파트너가 되어 안전한 코드 학습 전략을 구현하기 전에 개발자의 동의를 얻어야 합니다.
- 로마는 하루아침에 세워지지 않았습니다.위험 프로필의 변화, 회사 변화, 기술 및 도구 변화에 따라 프로그램도 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 IQ를 높여 생성되는 전체 취약점 수를 줄이는 것입니다.
백그라운드
Envestnet, Inc.는 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유한 상장 핀테크 회사입니다.Envestnet의 사명은 어드바이저와 금융 서비스 제공자에게 혁신적인 기술, 솔루션 및 인텔리전스를 제공하여 모든 사람이 금융 웰빙을 실현할 수 있도록 하는 것입니다.Envestnet은 전 세계 자산 관리 분야에서 재무 고문이 사용하는 서비스와 소프트웨어를 통합하는 주력 자문 플랫폼을 통해 자산 관리 기술 분야의 시장 리더 중 하나로 자리매김했습니다.
데이터 관리 모범 사례에 대한 Envestnet의 약속에는 규정 준수 문제나 잠재적 장애를 신속하게 식별하고 해결할 수 있는 지속적인 위험 기반 규정 준수 조치를 통해 자산 관리 플랫폼을 지속적으로 모니터링하는 것이 포함됩니다.Envestnet은 서비스 제공에 세계적 수준의 보안 조치를 도입하여 고객 데이터를 보호하는 데 앞장서고 있습니다.
Envestnet의 제품 보안 책임자이자 저자인 데릭 피셔 (Derek Fisher) 가 어떻게 했는지 알아보십시오.”애플리케이션 보안 핸드북” Secure Code Warrior와 협력하여 개발자 팀을 위한 민첩한 보안 코드 지원을 통해 취약성을 줄이기 위한 총체적인 접근 방식을 개발했습니다.Derek은 10년 넘게 애플리케이션 보안 분야에서 일하면서 수많은 보안 성공과 실패를 직접 목격했으며, Envestnet에서 개발자를 위한 보안 코드 학습 환경을 개발하는 데 자신의 독보적인 전문 지식을 제공합니다.
상황
Derek은 애플리케이션 보안 부서에 처음 입사했을 때 OWASP 상위 10위 및 기본 규정 준수 교육을 넘어서고 싶었습니다.몇 가지 Secure SDLC 프로세스를 사용하긴 했지만, 취약점을 찾는 데 주로 초점을 맞췄고 반드시 출처에서 문제를 해결하지는 못했습니다.
데릭에 따르면 “우리 모두는 어느 조직에서든 매년 받게 되는 규정 준수 교육에 대해 잘 알고 있습니다.제가 보통 'Powerpoint에 의한 죽음'이라고 부르는 것인데, 슬라이드가 많고 마지막에 평가를 할지도 모르는데... 정말 비효율적이고 시간이 많이 걸립니다.교육을 받았지만 슬라이드/오디오 레코딩을 기반으로 하는 특정 보안 교육을 기반으로 하는 일반적인 규정 준수가 이루어졌습니다.개발자들이 참여도가 높지 않고 자료를 통해 배우지 못한다는 사실을 알게 되어 전략을 바꿔야 했습니다.”
수동적인 OWASP 중심의 규정 준수 교육을 통해 개발자를 교육하는 이러한 기존 전략은 Derek과 그의 팀에게 특히 고통스러운 일이었습니다. 교육의 영향을 측정할 수 없었기 때문에 취약성 관리에 점점 더 많은 시간을 할애하게 되었습니다.
Derek은 취약점의 원인, 즉 개발자가 프로덕션 환경에 배포하는 안전하지 않은 코드를 살펴보는 것이 중요하며 더 많은 도구를 사용하는 것만으로는 해결책이 될 수 없다는 것을 깨달았습니다.
대신 Derek과 그의 팀은 처음부터 더 안전한 코드를 작성하는 것을 목표로 2020년에 취약성 완화에 초점을 맞췄습니다.Derek과 그의 팀은 수정 비용이 훨씬 적게 드는 SDLC에서 훨씬 더 일찍 취약점을 해결하고 해결하기 위해 “시프트 레프트” 전략을 채택했습니다.
하지만 먼저 기존 App Sectraining에 대한 개발자들의 참여도가 낮았던 문제를 해결해야 했습니다.그는 보안 코드 학습 전략에 “체크박스” 사고방식을 적용하는 것을 피하고 Envestnet의 개발자들에게 보안 코드에 대한 보다 효과적이고 민첩한 학습 경험을 제공하고 싶었습니다.
“SCW를 보고 어떤 기능을 할 수 있는지 보고 나니 좀 더 실제적이고 인터랙티브한 접근 방식이 우리에게 적합하다는 것을 알았습니다.엔지니어와 개발자가 교육에서 벗어나 실제 문제가 무엇인지에 대한 실무 지식을 더 많이 얻길 바랐어요.'이전에 교육에서 본 것이 있는데, 제가 본 코딩 문제에 어떻게 접근해야 할지 알고 있구나' 하는 근력 있는 기억을 쌓고 싶었습니다.Secure Code Warrior 플랫폼을 통해 엔지니어와 개발자가 직접 들어가 좋은 보안 코딩 방법이 무엇인지, 나쁜 방법이 무엇인지, 취약점을 신속하게 해결하는 방법을 제대로 이해할 수 있는 환경을 제공할 수 있었습니다.”
데릭 피셔, 인베스트넷 제품 보안 책임자
액션
Derek은 특히 보안 코드 업 기술을 인증으로 보상하는 벨트 전략을 구현하는 데 열중했습니다.4단계 프로그램은 보안 인식의 강력한 기반 (레벨 1 및 2) 을 구축하는 데 초점을 맞춘 다음 개발자가 보안 챔피언 (레벨 3 및 4) 이 될 수 있는 길을 닦는 데 중점을 두었습니다.이를 통해 개발자들이 보안 코드 개념을 어떻게 유지하고 있는지를 측정할 수 없었던 문제를 해결하면서도 보안을 중시하는 개발자들은 더 복잡한 보안 과제에 직면해 기술을 발전시킬 수 있는 진로를 확보할 수 있었습니다.
소규모 파일럿을 통해 테스트하고 관련 개발자들에게 피드백을 요청했습니다.피드백은 매우 긍정적이었습니다.데릭은 이렇게 말했습니다.
“이런 것에서 항상 긍정적인 피드백을 받는 것은 아닙니다. 트레이닝에서 긍정적인 피드백을 받을 때마다 아무리 강조해도 지나치지 않습니다. 이는 드문 일입니다.이는 이 도구가 올바른 도구라는 것을 보여주는 좋은 지표입니다.”
Envestnet은 2021년 봄에 첫 토너먼트를 개최했으며 개발자 참여 관점에서 볼 때 더 긍정적인 결과를 얻었습니다.그 후 Derek은 DB, 프론트엔드, API 및 클라우드 개발자를 위해 LMS에 통합된 일련의 과정을 시작했습니다.Envestnet이 2021년 가을에 두 번째 토너먼트를 개최할 무렵에는 참가한 전체 개발자 수가 두 배로 늘어났습니다.
Derek에 따르면 Envestnet은 토너먼트에서 큰 관심을 끌었기 때문에
“우리 모두는 경쟁이 동기 부여라는 것을 알고 있습니다.우리 모두는 동료들이 우리가 특정 분야에서 얼마나 잘하고 있는지 인정하고 이를 통해 사람들이 토너먼트에 참가하고 좋은 성적을 거둘 수 있도록 동기를 부여하고 싶습니다.그리고 개발 도구와의 통합으로 Secure Code Warrior의 가치를 제대로 알 수 있었습니다.”
Derek과 팀은 또한 Secure Code Warrior를 Jira와 통합하여 특정 취약점이 반복적으로 발생하는 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 바로 즉각적인 문제 해결 조언에 액세스할 수 있도록 했습니다.이를 통해 개발자들은 유용한 컨텍스트를 얻을 수 있었을 뿐만 아니라 취약점이 필요한 곳에서 영향을 받는 시점에 해당 취약점을 해결하는 방법에 대한 즉각적인 온디맨드 교육을 받을 수 있었습니다.또한 Derek의 팀은 Secure Code Warrior와 협력하여 Security Code Warrior와 협력하여 보안의 날 행사를 후원했습니다. 이 행사를 통해 CEO 지원이 폭넓어졌고 Envestnet의 성공에서 엔지니어링과 보안이 차지하는 중요성이 더욱 강조되었습니다.이러한 유형의 경영진과 개발자의 동의를 통해 Envestnet은 프로그램을 현재와 같은 수준으로 확장할 수 있었습니다.이제 Envestnet은 확인된 모든 보안 챔피언을 프로그램에 등록했으며 전체 팀 중 60% 가 레벨 1 또는 2 인증을 완료했습니다.
결과
Envestnet이 성공을 가늠한 한 가지 방법은 SCW 학습 경험을 거친 팀을 살펴보고 취약점이 덜 발생하는지, 취약점을 더 빨리 수정하고 있는지를 측정하는 것이었습니다.그들이 발견한 것은 매우 인상적이었습니다.
- SCW 교육을 받은 개발자가 동료보다 2.7배 더 많은 취약점을 수정했습니다.
- 100명의 SCW 교육을 받은 개발자가 단기간에 450개의 취약점을 수정했습니다.
- 1,200명의 SCW 교육을 받은 개발자 덕분에 Envestnet은 각자의 대기열에 있는 교정 작업을 120% 까지 늘릴 수 있었습니다.
- 두 제품군에서 1년 동안 SCW 교육을 받은 개발자는 개발자당 4.5% 의 비율로 취약점 관련 문제를 해결한 반면, 동료 개발자들은 개발자당 1.82회의 비율로 취약점을 해결했습니다.
- 모든 보안 챔피언은 2022년에 인증 프로그램을 통과했습니다.
- 시큐리티 어웨어 개발자 중 60% 가 레벨 1과 2를 통과했습니다.
주요 시사점
Derek은 보안 코드 학습 여정을 시작하는 사람들에게 다음과 같은 조언을 제공합니다.
“보안 분야에서 우리의 임무는 조직의 위험을 줄이는 것입니다.이것이 바로 우리의 진정한 북녘이며, 우리가 항상 노력하는 바입니다.심각한 취약점은 조직에 가장 큰 위험이나 가장 큰 영향을 미치지 않을 수 있습니다.미디엄, 로우, 하이 두 가지 요소를 조합하여 훨씬 더 영향력 있는 체인을 만들 수 있습니다.시간이 지남에 따라 취약성이 더 많이 누적될수록 더 많은 위험이 누적됩니다.Secure Code Warrior를 사용하면 민첩한 보안 코드 학습을 통해 이러한 잠재적 취약점을 완화하는 사전 예방적 접근 방식을 취할 수 있습니다.”
- 취약점을 테스트하고 보고하는 데에만 집중하지 마세요. 결국 개발자에게 소란을 줄 뿐입니다.
- 대신 AppSec은 개발자의 파트너가 되어 안전한 코드 학습 전략을 구현하기 전에 개발자의 동의를 얻어야 합니다.
- 로마는 하루아침에 세워지지 않았습니다.위험 프로필의 변화, 회사 변화, 기술 및 도구 변화에 따라 프로그램도 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 IQ를 높여 생성되는 전체 취약점 수를 줄이는 것입니다.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
백그라운드
Envestnet, Inc.는 5조 3천억 달러의 자산과 1,850만 개 이상의 투자자 계좌를 보유한 상장 핀테크 회사입니다.Envestnet의 사명은 어드바이저와 금융 서비스 제공자에게 혁신적인 기술, 솔루션 및 인텔리전스를 제공하여 모든 사람이 금융 웰빙을 실현할 수 있도록 하는 것입니다.Envestnet은 전 세계 자산 관리 분야에서 재무 고문이 사용하는 서비스와 소프트웨어를 통합하는 주력 자문 플랫폼을 통해 자산 관리 기술 분야의 시장 리더 중 하나로 자리매김했습니다.
데이터 관리 모범 사례에 대한 Envestnet의 약속에는 규정 준수 문제나 잠재적 장애를 신속하게 식별하고 해결할 수 있는 지속적인 위험 기반 규정 준수 조치를 통해 자산 관리 플랫폼을 지속적으로 모니터링하는 것이 포함됩니다.Envestnet은 서비스 제공에 세계적 수준의 보안 조치를 도입하여 고객 데이터를 보호하는 데 앞장서고 있습니다.
Envestnet의 제품 보안 책임자이자 저자인 데릭 피셔 (Derek Fisher) 가 어떻게 했는지 알아보십시오.”애플리케이션 보안 핸드북” Secure Code Warrior와 협력하여 개발자 팀을 위한 민첩한 보안 코드 지원을 통해 취약성을 줄이기 위한 총체적인 접근 방식을 개발했습니다.Derek은 10년 넘게 애플리케이션 보안 분야에서 일하면서 수많은 보안 성공과 실패를 직접 목격했으며, Envestnet에서 개발자를 위한 보안 코드 학습 환경을 개발하는 데 자신의 독보적인 전문 지식을 제공합니다.
상황
Derek은 애플리케이션 보안 부서에 처음 입사했을 때 OWASP 상위 10위 및 기본 규정 준수 교육을 넘어서고 싶었습니다.몇 가지 Secure SDLC 프로세스를 사용하긴 했지만, 취약점을 찾는 데 주로 초점을 맞췄고 반드시 출처에서 문제를 해결하지는 못했습니다.
데릭에 따르면 “우리 모두는 어느 조직에서든 매년 받게 되는 규정 준수 교육에 대해 잘 알고 있습니다.제가 보통 'Powerpoint에 의한 죽음'이라고 부르는 것인데, 슬라이드가 많고 마지막에 평가를 할지도 모르는데... 정말 비효율적이고 시간이 많이 걸립니다.교육을 받았지만 슬라이드/오디오 레코딩을 기반으로 하는 특정 보안 교육을 기반으로 하는 일반적인 규정 준수가 이루어졌습니다.개발자들이 참여도가 높지 않고 자료를 통해 배우지 못한다는 사실을 알게 되어 전략을 바꿔야 했습니다.”
수동적인 OWASP 중심의 규정 준수 교육을 통해 개발자를 교육하는 이러한 기존 전략은 Derek과 그의 팀에게 특히 고통스러운 일이었습니다. 교육의 영향을 측정할 수 없었기 때문에 취약성 관리에 점점 더 많은 시간을 할애하게 되었습니다.
Derek은 취약점의 원인, 즉 개발자가 프로덕션 환경에 배포하는 안전하지 않은 코드를 살펴보는 것이 중요하며 더 많은 도구를 사용하는 것만으로는 해결책이 될 수 없다는 것을 깨달았습니다.
대신 Derek과 그의 팀은 처음부터 더 안전한 코드를 작성하는 것을 목표로 2020년에 취약성 완화에 초점을 맞췄습니다.Derek과 그의 팀은 수정 비용이 훨씬 적게 드는 SDLC에서 훨씬 더 일찍 취약점을 해결하고 해결하기 위해 “시프트 레프트” 전략을 채택했습니다.
하지만 먼저 기존 App Sectraining에 대한 개발자들의 참여도가 낮았던 문제를 해결해야 했습니다.그는 보안 코드 학습 전략에 “체크박스” 사고방식을 적용하는 것을 피하고 Envestnet의 개발자들에게 보안 코드에 대한 보다 효과적이고 민첩한 학습 경험을 제공하고 싶었습니다.
“SCW를 보고 어떤 기능을 할 수 있는지 보고 나니 좀 더 실제적이고 인터랙티브한 접근 방식이 우리에게 적합하다는 것을 알았습니다.엔지니어와 개발자가 교육에서 벗어나 실제 문제가 무엇인지에 대한 실무 지식을 더 많이 얻길 바랐어요.'이전에 교육에서 본 것이 있는데, 제가 본 코딩 문제에 어떻게 접근해야 할지 알고 있구나' 하는 근력 있는 기억을 쌓고 싶었습니다.Secure Code Warrior 플랫폼을 통해 엔지니어와 개발자가 직접 들어가 좋은 보안 코딩 방법이 무엇인지, 나쁜 방법이 무엇인지, 취약점을 신속하게 해결하는 방법을 제대로 이해할 수 있는 환경을 제공할 수 있었습니다.”
데릭 피셔, 인베스트넷 제품 보안 책임자
액션
Derek은 특히 보안 코드 업 기술을 인증으로 보상하는 벨트 전략을 구현하는 데 열중했습니다.4단계 프로그램은 보안 인식의 강력한 기반 (레벨 1 및 2) 을 구축하는 데 초점을 맞춘 다음 개발자가 보안 챔피언 (레벨 3 및 4) 이 될 수 있는 길을 닦는 데 중점을 두었습니다.이를 통해 개발자들이 보안 코드 개념을 어떻게 유지하고 있는지를 측정할 수 없었던 문제를 해결하면서도 보안을 중시하는 개발자들은 더 복잡한 보안 과제에 직면해 기술을 발전시킬 수 있는 진로를 확보할 수 있었습니다.
소규모 파일럿을 통해 테스트하고 관련 개발자들에게 피드백을 요청했습니다.피드백은 매우 긍정적이었습니다.데릭은 이렇게 말했습니다.
“이런 것에서 항상 긍정적인 피드백을 받는 것은 아닙니다. 트레이닝에서 긍정적인 피드백을 받을 때마다 아무리 강조해도 지나치지 않습니다. 이는 드문 일입니다.이는 이 도구가 올바른 도구라는 것을 보여주는 좋은 지표입니다.”
Envestnet은 2021년 봄에 첫 토너먼트를 개최했으며 개발자 참여 관점에서 볼 때 더 긍정적인 결과를 얻었습니다.그 후 Derek은 DB, 프론트엔드, API 및 클라우드 개발자를 위해 LMS에 통합된 일련의 과정을 시작했습니다.Envestnet이 2021년 가을에 두 번째 토너먼트를 개최할 무렵에는 참가한 전체 개발자 수가 두 배로 늘어났습니다.
Derek에 따르면 Envestnet은 토너먼트에서 큰 관심을 끌었기 때문에
“우리 모두는 경쟁이 동기 부여라는 것을 알고 있습니다.우리 모두는 동료들이 우리가 특정 분야에서 얼마나 잘하고 있는지 인정하고 이를 통해 사람들이 토너먼트에 참가하고 좋은 성적을 거둘 수 있도록 동기를 부여하고 싶습니다.그리고 개발 도구와의 통합으로 Secure Code Warrior의 가치를 제대로 알 수 있었습니다.”
Derek과 팀은 또한 Secure Code Warrior를 Jira와 통합하여 특정 취약점이 반복적으로 발생하는 경우 개발자가 익숙한 환경을 벗어나지 않고도 Jira 티켓 내에서 바로 즉각적인 문제 해결 조언에 액세스할 수 있도록 했습니다.이를 통해 개발자들은 유용한 컨텍스트를 얻을 수 있었을 뿐만 아니라 취약점이 필요한 곳에서 영향을 받는 시점에 해당 취약점을 해결하는 방법에 대한 즉각적인 온디맨드 교육을 받을 수 있었습니다.또한 Derek의 팀은 Secure Code Warrior와 협력하여 Security Code Warrior와 협력하여 보안의 날 행사를 후원했습니다. 이 행사를 통해 CEO 지원이 폭넓어졌고 Envestnet의 성공에서 엔지니어링과 보안이 차지하는 중요성이 더욱 강조되었습니다.이러한 유형의 경영진과 개발자의 동의를 통해 Envestnet은 프로그램을 현재와 같은 수준으로 확장할 수 있었습니다.이제 Envestnet은 확인된 모든 보안 챔피언을 프로그램에 등록했으며 전체 팀 중 60% 가 레벨 1 또는 2 인증을 완료했습니다.
결과
Envestnet이 성공을 가늠한 한 가지 방법은 SCW 학습 경험을 거친 팀을 살펴보고 취약점이 덜 발생하는지, 취약점을 더 빨리 수정하고 있는지를 측정하는 것이었습니다.그들이 발견한 것은 매우 인상적이었습니다.
- SCW 교육을 받은 개발자가 동료보다 2.7배 더 많은 취약점을 수정했습니다.
- 100명의 SCW 교육을 받은 개발자가 단기간에 450개의 취약점을 수정했습니다.
- 1,200명의 SCW 교육을 받은 개발자 덕분에 Envestnet은 각자의 대기열에 있는 교정 작업을 120% 까지 늘릴 수 있었습니다.
- 두 제품군에서 1년 동안 SCW 교육을 받은 개발자는 개발자당 4.5% 의 비율로 취약점 관련 문제를 해결한 반면, 동료 개발자들은 개발자당 1.82회의 비율로 취약점을 해결했습니다.
- 모든 보안 챔피언은 2022년에 인증 프로그램을 통과했습니다.
- 시큐리티 어웨어 개발자 중 60% 가 레벨 1과 2를 통과했습니다.
주요 시사점
Derek은 보안 코드 학습 여정을 시작하는 사람들에게 다음과 같은 조언을 제공합니다.
“보안 분야에서 우리의 임무는 조직의 위험을 줄이는 것입니다.이것이 바로 우리의 진정한 북녘이며, 우리가 항상 노력하는 바입니다.심각한 취약점은 조직에 가장 큰 위험이나 가장 큰 영향을 미치지 않을 수 있습니다.미디엄, 로우, 하이 두 가지 요소를 조합하여 훨씬 더 영향력 있는 체인을 만들 수 있습니다.시간이 지남에 따라 취약성이 더 많이 누적될수록 더 많은 위험이 누적됩니다.Secure Code Warrior를 사용하면 민첩한 보안 코드 학습을 통해 이러한 잠재적 취약점을 완화하는 사전 예방적 접근 방식을 취할 수 있습니다.”
- 취약점을 테스트하고 보고하는 데에만 집중하지 마세요. 결국 개발자에게 소란을 줄 뿐입니다.
- 대신 AppSec은 개발자의 파트너가 되어 안전한 코드 학습 전략을 구현하기 전에 개발자의 동의를 얻어야 합니다.
- 로마는 하루아침에 세워지지 않았습니다.위험 프로필의 변화, 회사 변화, 기술 및 도구 변화에 따라 프로그램도 발전해야 합니다.
- 가장 효과적인 장기 전략은 주변 사람들의 보안 IQ를 높여 생성되는 전체 취약점 수를 줄이는 것입니다.
Inhaltsverzeichnis
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
