귀사의 보안 프로그램은 CISA의 사이버 보안 전략 계획을 지원할 준비가 되어 있습니까?

이 기사의 한 버전이 에 게재되었습니다. 포브스.여기에서 업데이트 및 신디케이트되었습니다.


‍사이버 보안 전략 계획은 대부분의 조직이 사이버 보안에 접근하는 방식을 대대적으로 변화시키고 있으며, 개발자는 이러한 새로운 목표를 달성하는 데 도움을 줄 수 있는 독보적인 위치에 있습니다.

‍

사이버 보안 및 인프라 보안 기관 (CISA) 은 2018년 창립 이래 미국의 중요 인프라와 컴퓨팅 네트워크를 보호하는 데 중요한 역할을 했을 뿐만 아니라 그 영향력과 전문성도 전 세계적으로 울려 퍼졌습니다.기관의 포괄적인 조언, 보안 권고, 취약성 보고서 및 사이버 보안 프로그램 글로벌 사이버 보안 영역에서 새로 발표된 CISA 2023-2025 전략 계획의 중요성을 강조하면서 실행 가능한 모범 사례에 대한 글로벌 벤치마크를 설정했습니다.

CISA의 영향력과 업적은 대부분의 정부 기관이 달성할 수 있었던 것을 훨씬 뛰어 넘었습니다. 특히 CISA가 등장한지 몇 년 밖에 되지 않았다는 점을 고려하면 더욱 그렇습니다.이는 결코 작지 않은 부분이 바로 다음과 같은 이유 때문입니다. 기하급수적 성장 위협 환경과 공격자가 보안 침해 및 악용 시도에 점점 더 능숙해지고 있다는 사실에 대해 설명합니다.CISA는 사이버 범죄자 및 기타 소위 위협 행위자를 퇴치하는 데 주도적인 역할을 맡아 동향을 체계적으로 추적하고 사이버 보안 모범 사례에 대해 조언해 왔습니다.

그러나 이 기관이 제공하는 유용한 조언과 지침에도 불구하고, 지금까지 향후 몇 년간 사이버 보안 노력의 전반적인 방향을 설정하기 위한 전반적인 전략 계획을 발표한 적이 없습니다.이는 단순한 또 다른 문제가 아닙니다. 계획, 하지만 이는 많은 조직에서 연구하고 궁극적으로 구현하고자 하는 이정표입니다.개발 커뮤니티는 적절한 지원, 도구 및 기술 향상 경로를 제공하기만 하면 도움을 줄 수 있는 독특한 위치에 있지만, 계획에 따라 사이버 보안에 접근하는 방식을 대대적으로 변경해야 한다는 사실 때문에 해당 지침을 따르는 것이 어려울 수 있습니다.

글로벌 사이버 보안 모범 사례에 변화가 일어나고 있습니다

언뜻 보면 CISA 전략 계획에서 어느 정도 좌절감을 느끼기 쉬울 것입니다. 하지만 CISA는 단순히 우리가 지금과 같은 일을 계속하면 같은 결과를 계속 보게 될 것이라는 사실을 인정하고 있습니다.사이버 보안이 더 나아지려면 오늘날 사용되는 소프트웨어와 애플리케이션을 만드는 회사를 포함하여 전반적으로 대대적인 변화가 필요합니다.

적어도 부분적으로는 소프트웨어를 손가락으로 가리키는 것은 이전에 도입된 개념입니다.사실, 국가 안보 전략 미국의 경우 “소프트웨어 보안이 취약하면 디지털 생태계 전반에 걸쳐 시스템 위험이 크게 증가한다”고 구체적으로 명시하고 있습니다.CISA 전략 계획은 이러한 곤경에 접근하고 해결하기 위한 새로운 전략을 제시합니다.

CISA가 주장하는 사이버 보안의 가장 큰 변화는 소프트웨어를 만드는 사람들이 안전한 제품을 선적하도록 도전하는 것입니다.보안 코딩 모범 사례를 확립하고 적용하면 공격자가 악용할 수 있는 취약성, 특히 소프트웨어 내에 숨어 있는 주요 취약점이 훨씬 줄어들 것입니다.예, 여기저기서 간과할 수 있는 부분이 있어 찾아내고 고치는 데 부지런한 노력이 필요하겠지만, 이는 매일 수백 개의 취약점이 발견되어 사이버 보안 방어 세력에 과부하가 걸린다는 현재의 상황과 비교하면 충분히 감당할 수 있는 일입니다.CISA는 계획에서 소프트웨어 및 기타 기술을 만드는 사람들이 자사 제품의 보안에 대한 책임을 져야 한다고 분명히 명시하고 있습니다.

CISA 전략 계획은 “모든 기술 제품이 출시되는 순간 취약하고 보안에 대한 압도적인 부담이 개별 조직과 사용자에게 있다는 모델을 더 이상 받아들일 수 없다”고 명시하고 있습니다.“기술은 시장에 출시되기 전에 악용 가능한 결함의 수를 최소화할 수 있도록 설계, 개발 및 테스트되어야 합니다.”

이 계획은 계속해서 CISA가 “조직 리더의 위험 결정에 영향을 미치기 위해 가능한 모든 수단을 사용할 것”이라고 말하면서 결국 이 새로운 접근 방식이 암시적인 것 이상일 수 있음을 시사합니다.이는 또한 2022년 중요 인프라 사이버 사고 신고법 (중요 인프라 관련 사이버 사고 신고법) 과 같은 법률을 암시합니다 (서르시아현재 사이버 사고 신고를 관장하고 있는) 는 결국 이러한 새로운 규정의 자발적 준수를 더욱 의무적으로 전환하는 모델로 작용할 수 있습니다.어쨌든 오늘날 소프트웨어 및 기타 기술을 만들고 있는 대부분의 기업이 이 새로운 지침을 뒷받침하는 노력을 기울인다면 도움이 될 것입니다.

CISA의 지침은 중요한 기회입니다

조직은 규제가 더 커질 수 있다는 사실에 불안해하는 대신 CISA 전략 계획을 활용하여 더 나은 고품질 소프트웨어를 만들기 위해 노력할 기회를 잡아야 합니다.이는 단순히 규정 준수를 요구하는 것이 아니라 개발자들이 기술을 연마하고 보다 안전한 디지털 환경에 기여할 수 있는 기회이기도 합니다.궁극적으로 보안 소프트웨어를 만드는 것은 소프트웨어를 만드는 회사, 소프트웨어를 사용하는 사용자, 해당 소프트웨어 또는 응용 프로그램을 통해 데이터에 액세스하거나 저장하는 사람을 포함한 모든 사람에게 도움이 됩니다.소프트웨어 및 응용 프로그램의 대부분을 구성하는 코드를 프로덕션 환경으로 넘어가기 전에 최대한 안전하게 만들면 공격자만 빈손으로 남게 됩니다.

이러한 새로운 방향을 고려할 때 모든 코드를 작성하거나 소싱하는 조직의 개발자는 보다 안전한 코딩을 구현하고 CISA 계획을 준수하기 위한 노력을 시작하기에 완벽한 출발점이라는 것이 이해가 됩니다.하지만 조직의 다른 구성원, 특히 고위 경영진의 지원 없이는 개발자 혼자서는 이 작업을 수행할 수 없습니다.취약점을 이해하고 보안 코드를 작성하는 방법, 프로덕션 환경에 도달하기 훨씬 전에 문제를 인식하는 방법을 아는 개발자를 확보하는 것이 조직이 궁극적으로 코드 발송을 책임지고, CISA에서 말했듯이 “공격자가 취약점을 이용해 해를 입히기 전에 취약점을 발견하고 수정하도록 보장”하는 데 핵심이 될 것입니다.

한 가지 중요한 점은 개발자에게 필요한 교육이 상당히 고급이라는 것입니다.보안 코드를 일관되게 작성하는 데 능숙해지는 것은 어려운 일이며, 엄격한 규정 준수 조치로는 그 작업을 감당할 수 없습니다.개발자들은 새로운 CISA 계획에서 요구하는 보안 수준을 유지하는 데 필요한 기술을 갖추도록 하기 위해 전체 보안 인식 프로그램의 일환으로 실습적이고 이해하기 쉬우며 지속적인 학습 결과를 제공하는 높은 수준의 민첩한 학습 방법을 필요로 합니다.

이상적으로는 CISA 계획을 준비하기 위한 기술 향상에는 애자일 개발 원칙과 같이 개발자가 매일 사용하는 많은 고급 방법과 프로그램도 포함되어야 합니다.예를 들어 애자일 개발에서는 작업을 관리 가능한 단위로 나누고 연속적인 주기로 스프린트를 서로 겹쳐 놓습니다.훌륭한 교육 프로그램인데 애자일 통합 프랙티스를 통해 개발자는 CISA 계획을 지원하는 데 필요한 기술을 빠르게 익힐 수 있으므로 이점을 확인하고 거의 즉시 보다 안전하게 코딩을 시작할 수 있습니다.

다행인 것은 대부분의 개발자가 보안 코딩 관행을 지원하며 조직이 새로운 CISA 지침을 준수하도록 기꺼이 돕고 있다는 것입니다.... 에서 설문 조사 전 세계에서 활발히 활동하는 1,200명 이상의 전문 개발자 중 압도적 다수가 보안 코드를 만들고 조직에 더 나은 보안 문화를 구축한다는 개념을 지지한다고 답했습니다.

개발자에게는 정밀 교육 경로와 적절한 지원이 필요합니다.조직이 이를 제공할 수 있다면 코드의 안전성이 향상될 뿐만 아니라 새로운 CISA 사이버 보안 전략 계획에 명시된 지침을 준수하거나 능가하기 위한 노력에서 앞서갈 수 있을 것입니다.

이렇게 제안된 보안 문화의 변화는 쉽지 않을 것입니다. 하지만 사이버 보안의 본질을 바꾸고, 우리의 삶을 더 좋게 만드는 기술이 자신의 사악한 목적을 위해 끊임없이 악용하려는 공격자들에 의해 괴롭힘을 당하지 않는 세상을 만들 수 있는 놀라운 기회이기도 합니다.우리에게는 그들을 막을 수 있는 힘이 있습니다. CISA 계획은 이 놀랍고 궁극적으로 달성 가능한 목표를 향한 유망한 길을 보여줍니다.