2022년 개막 기조연설에서 블랙 햇 보안 회의, 크리스 크렙스, 전 국토 증권부 사이버 보안 이사는 보안이 더 좋아지기 전에 더 나빠질 것이라고 말했습니다. 왜요? Krebs는 "안전하지 않은 제품의 이점이 단점보다 훨씬 크기 때문에 소프트웨어는 여전히 취약합니다."라고 말했습니다. 보안을 보장하기보다는 소프트웨어 개발 수명 주기(SDLC) 전반에 걸쳐 시장 경쟁에서 앞서는 데 중점을 두고 있습니다. 실제로 혁신은 보안과 상충되는 경우가 많습니다. 전자는 빠르게 진행되고 생산적이라고 여겨지고 후자는 빠르게 움직이는 애플리케이션 개발을 가로막는 장애물입니다. 이러한 관점은 현재의 위협 환경에서 시대에 뒤떨어진 것으로 판명되고 있습니다.
사이버 공격이 증가함에 따라 소프트웨어 공급망은 안전하지 않은 코드를 감염시킬 때 발생하는 엄청난 혼란을 인식하는 사이버 범죄자들에게 인기 있는 표적입니다. 예를 들어 지금은 악명 높은 Log4Shell 오픈 소스 Log4j가 전 세계적으로 소프트웨어 응용 프로그램과 온라인 서비스에서 매우 일반적으로 사용되며 취약점을 악용하는 데는 전문 지식이 거의 필요하지 않기 때문에 취약점이 그러한 위험을 초래했습니다. 최근에는 25,000개의 악성 플러그인 WordPress 사이트 전반에 걸쳐 발견된 이 보고서는 웹사이트 내에서 보안 애플리케이션과 프로그램을 사용하고 있다고 믿고 있음에도 불구하고 많은 기업이 직면한 사이버 보안 위험을 강조합니다.
따라서 혁신과 보안은 단일 렌즈를 통해 보아야 합니다. 하나는 다른 하나 없이는 불가능합니다. 더욱 중요한 것은 보안이 더 이상 하나의 고립된 팀의 책임이 될 수 없다는 것입니다. 이는 SDLC 전체의 모든 사람에게 우선 순위가 되어야 합니다.
앱섹 딜레마
애플리케이션 개발에 대한 투자가 증가함에도 불구하고 보안에는 동일한 중요성이 적용되지 않습니다. 이러한 경쟁적인 공간에서 선점자가 보상을 받는 경향이 있습니다. "최초의 실행 가능한 제품"으로 시장에 진입하는 사람들은 이 제품이 어떻게 안전하게 사용될 수 있는지가 아니라 어떻게 고객에게 서비스를 제공할 수 있는지를 보고 있을 것입니다. 이러한 높은 기대로 인해 개발자에 대한 코드 요구 사항이 증가했습니다. 100 시간 지난 10년 동안 92%가 코드를 더 빨리 작성해야 한다는 압박감을 느꼈습니다. 이것을 사실과 연결하십시오. 53% 전문적인 보안 코딩 교육이 없는 반면, NIST National Vulnerability Database는 지난 몇 년 동안 200% 이상 증가했으며 애플리케이션 보안 딜레마에 빠진 것 같습니다.
그러나 해결할 수 없는 딜레마는 아닙니다. 솔루션은 많은 사람들이 코딩과 혁신을 보는 방식으로 완전한 전환을 필요로 하며 특히 사람들의 사고 방식에 중점을 둡니다. 보안을 최우선으로 생각하고 최종 제품이 더 안전하다면 출시가 늦어도 괜찮다는 것을 인식합니다. 에 따르면 뵘의 법칙, "결함을 찾고 수정하는 비용은 시간이 지남에 따라 기하급수적으로 증가합니다." - 처음부터 보안을 우선시하는 조직의 수익에 도움이 될 수 있는 개념입니다.
이러한 보안 우선 사고 방식을 확립하는 것은 개발 팀뿐만 아니라 SDLC 내에서 역할을 수행하는 모든 사람에게 매우 중요합니다. 제품 및 프로젝트 관리자, DevOps, 사용자 경험(UX) 디자이너, 품질 보증(QA) 전문가는 모두 최종 결과에 영향을 미치므로 애플리케이션 보안에 대한 현재 딜레마와 이 문제를 극복할 수 있는 방법을 인식해야 합니다.
통합 교육 권리 얻기
팀이 이해하지 못하는 경우 why 보안 우선 사고방식은 애플리케이션 개발에서 매우 중요하기 때문에 절대 구매하지 않을 것입니다. 방법 달성할 수 있습니다. 따라서 전체 개발 조직을 위한 통합되고 지속적인 애플리케이션 보안 교육이 그 어느 때보다 중요합니다. 코드를 만드는 사람들에게는 매일 직면하는 문제에 대해 직접 설명하는 실습 연습 전에 기초 학습을 제공하는 것이 중요합니다. 이 개발자별 교육은 실무 전문 지식이 반드시 필요하지 않을 수 있는 SDLC의 역할을 맡은 사람들을 위한 기본 및 고급 애플리케이션 보안 교육 프로그램과 병행하여 실행해야 합니다. 이러한 종류의 이니셔티브는 전체 팀이 다르게 생각하고, 정보에 입각한 결정을 내리고, 개발의 모든 측면에서 보안을 통합할 수 있도록 합니다.
그러나 조직에서는 애플리케이션 보안이 지속적으로 발전하고 변화한다는 점을 이해하는 것이 중요합니다. 개발 주기의 모든 단계에서 핵심 AppSec 원칙을 적용하는 보안 지향적인 팀을 구축하는 것은 "일단 완료" 교육 프로그램으로 달성할 수 없습니다. 팀이 이러한 보안 우선 사고 방식을 유지하도록 하려면 지속적이고 발전하는 교육 프로그램이 핵심입니다.
많은 조직에서 팀 전체의 보안 행동 변화를 주도하는 보안 챔피언을 인정하고 축하함으로써 팀을 참여시킵니다. 일상 업무에서 보안 모범 사례를 지속적으로 적용하는 사람들에게 인센티브 또는 보상을 제공함으로써 챔피언이 다른 사람들과 교류하고 변화에 유기적으로 영향을 미치도록 권장합니다. 예를 들어, 교육 프로그램 전후에 코드의 취약점 수와 같은 결과를 측정하고 성공을 인식함으로써 이사회의 동의를 얻고 의사 결정자에게 안전한 코딩 교육에 대한 투자를 정당화하는 것이 훨씬 쉽습니다. .
SDLC의 사람들이 보안을 최우선으로 생각할 때 빠르게 혁신하고 시장에서 경쟁을 물리치는 동시에 보안을 최우선으로 생각하는 것이 가능합니다. 사실, 취약점의 수가 증가하고 사이버 공격이 느려질 기미가 보이지 않기 때문에 안전한 코딩은 모든 애플리케이션이 성공하기 위한 필수 요소입니다. 전체 SDLC가 지속적이고 맞춤형이며 측정 가능한 교육 이니셔티브에서 고려되는 한 보안은 있다 더 좋아지기 전에 더 나빠지기 위해.
