조직의 보안 성숙도를 과대평가한 적이 있습니까?
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
전 세계 소프트웨어 요구 사항을 충족하기 위해 작성되는 코드의 홍수와 맞물려 지속적인 기술 부족으로 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.이제 우리의 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈 앞에 펼쳐진 실행 가능한 빠른 성과를 평가할 때입니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
