AppSec 배드랜드에 필요한 변화: 2019년 나의 예측

2018년은 사이버 보안 전문가들에게 큰 해였습니다.보안을 더욱 중요하게 생각하라는 경고에도 불구하고 주위를 둘러싼 언론은 끊이지 않고 있습니다. 더 많은 보안 업계 인재 육성 조직의 사이버 인식을 높이려는 일반적인 시도에서 우리는 수백 건의 사이버 공격이 남긴 연기 분화구를 주시하고 있습니다. 이는 대규모 데이터 침해와 유명 인사에 대한 소비자 불신을 나타냅니다.2018년 상반기만 해도 45억 개의 데이터 기록이 손상됨 945건의 개별 사건에서

전에도 여러 번 말씀드렸지만 더 잘할 수 있습니다.하지만 우리가 직면하고 있는 진정한 싸움은 대본을 쓴 꼬마나 위험한 조직적 사이버 범죄 조직, 또는 노트북에 타이핑하는 수수께끼의 후드티를 입은 인물들과의 싸움이 아닙니다. 싸움은 더 많은 사람들이 이러한 보안 침해가 일어나고 있다는 사실을 알아차리도록 하는 데 있습니다.

GDPR 준수는 좋은 출발점이지만 단기적으로 큰 영향을 미치지는 않습니다.

유럽 연합 일반 데이터 보호 규정 (GDPR) 법률이 이제 본격적으로 시행되고 있습니다. 데이터 보호를 심각하게 여기지 않는 조직에 위협이 되고 있습니다.규정을 준수하지 않는 것으로 밝혀진 기업에 막대한 벌금이 부과되는 상황에서, 이는 기업이 보안 관행을 강화하고 고객 데이터를 더 존중하는 자세로 취급하며 사이버 공격을 방어하기 위한 전략을 마련하기 위한 방책으로 작용하기 위한 것이었습니다.

일부 조직에서는 막대한 벌금이 부과될 것이라는 경고를 받았지만 GDPR을 준수하지 않아 발생하는 진정한 여파는 아직 없습니다.파산 시 벌금이 부과되지 않습니다. 웹 사용자가 클릭할 수 있는 팝업이 아주 많을 뿐입니다.그 이유 중 하나는 법적 절차에 많은 시간이 걸리고 항소할 기회도 많기 때문입니다. 예가 될 수 있는 회사는 모두 몇 달 또는 몇 년 동안 법적 싸움을 벌일 가능성이 높습니다.악몽 같은 한 해를 마감하던 페이스북은 최근에 또 다른 데이터 유출 사건을 보고했습니다. 바로 680만 사용자의 개인 사진을 1500개의 승인되지 않은 애플리케이션에 노출시킨 API 버그였습니다.2주 만에 발견되어 패치되었지만, 데이터 보호 기관과 일반 대중은 몇 달 후에야 위반 사실을 알게 되었습니다.GDPR 법률은 72시간 이내에 위반 사실을 알리도록 요구하므로 이 법들이 실제로 얼마나 영향력 있고 효과적인지에 대해 많은 의문을 제기합니다. 현재.

물론 다른 곳에서도 보안 침해가 멈추지 않았습니다. 11월의 메리어트 브리치 무려 5억 개의 데이터 기록이 손상되었다는 사실이 밝혀졌으며, 더 우려되는 것은 공격자들이 발견되기 전 4년 동안 시스템에 액세스했다는 것입니다.하지만 메리어트는 다음과 같은 활동을 벌이고 있는 것으로 보인다는 점에 유의해야 합니다. 약간 피해 통제: 피해자에게 다음과 같은 혜택을 제공했습니다. 웹워처 12개월 무료 구독, 신용 모니터링 도구... 하지만 해커들이 샅샅이 뒤져야 하는 기록이 5억 개에 달하기 때문에 대부분의 사람들에게 의미 있는 내용을 모니터링하는 데 1년이 충분할지는 두고 봐야 합니다. 결국 귀하의 데이터가 악의적인 용도로 드러나기까지는 몇 년이 걸릴 수 있습니다.

GDPR과 같은 장기적 규정 의지 시행할 경우 긍정적인 변화를 이끌어낼 수 있습니다.기업이 상당한 재정적 벌금 (또는 실제로 데이터가 유출된 고객으로부터 집단 소송) 을 당하거나 상당한 규모의 수익 침체에 시달릴 경우, 대부분의 기업이 온라인 데이터베이스를 강화하는 데 열중하게 될 것이라고 생각합니다.

금융 기관은 단기적으로 긍정적인 변화를 주도해 나갈 것입니다.

힘들게 번 현금을 관리하는 금융 기관이 가장 엄격한 사이버 보안 모범 사례 정책과 위험을 줄이기 위한 종합적인 프로세스를 갖추고 있다는 것은 그리 놀라운 일이 아닙니다.

이러한 규정 준수의 주요 동인은 다음과 같습니다. PCI 보안 표준 위원회금융 기관이 실행 가능한 보안 정책을 구현하고 모든 영역에서 지침을 준수하도록 지원하기 위해 최선을 다하고 있습니다.이들은 이 업종이 결제 소프트웨어 분야에서 최고 수준의 보안 표준을 달성하는 데 큰 도움이 되었습니다.

그렇다면 금융기관들이 다른 금융기관과 다른 점은 무엇일까요?제 경험상 그들은 일반적으로 보안에 대해 더 잘 알고 있으며 AppSec 전문가 및 펜 테스터뿐만 아니라 (일반적으로 매우 크고 전 세계에 흩어져 있는) 개발 팀을 위한 전체론적 교육 프로그램에 리소스를 할애하고 있습니다.이를 통해 보안 프로세스는 “설정하고 잊어버리는” 조치가 아니라 사용 중인 기술만큼 빠르게 발전하고 다양한 위험에 적응해야 한다는 점을 최상위 의사 결정권자들이 이해할 수 있도록 합니다.

더 많은 조직이 보안 파이프라인을 혁신할 것입니다.

AppSec은 다른 IT 부서에 비해 상대적으로 젊은 편입니다.초보자가 되기는 어렵습니다. 오해를 받기 쉽고 필요한 핵심 관계를 아직 형성하지 못했을 수도 있습니다.하지만 해가 갈수록 변화에 저항하는 가장 구식 조직에서도 AppSec이 자리를 찾는 것이 점점 더 쉬워지고 있다고 생각합니다.

기업에서는 보안 규정 준수를 소프트웨어 프로세스의 마지막 단계로 삼을 수 없다는 것이 더욱 분명해졌습니다.데이터를 집계하고 비즈니스 경영진에게 더 많은 가시성을 제공하는 데 더욱 집중하면서 지점 간 점검 및 조치가 이루어져야 합니다.이렇게 하지 않으면 대부분의 사람들은 보안이 시야에서 멀어지고 신경 쓸 수 없게 될 것입니다.이러한 시나리오에서는 위험 계획을 세우는 데 필요한 리소스를 모으는 것이 사실상 불가능합니다.

좋은 소식은 그 어느 때보다 많은 조직이 자체 사이버 공격을 발견하고 이를 해결하기 위해 노력하고 있다는 것입니다.나쁜 소식은?그 과정에는 평균 시간이 걸리고 있습니다. 팔십 다섯 일.

기술 영역에서 신속한 혁신과 기능 제작이 필수인 시대에 펜 테스트 도구와 수동 코드 검토는 힘들고 비용이 많이 들며 느립니다.보안 인식은 처음부터, 즉 개발자가 되는 순간부터 이어져야 합니다. 처음에 코드를 작성합니다..

우리 업계는 사람들이 더 많은 관심을 가져야 한다는 주요 문제를 인식할 것입니다.

문제는 다음과 같습니다. 지난 4년 동안 메리어트 호텔에 투숙한 경험이 있는 인맥에서 20명을 보수적으로 셀 수 있습니다.그 기간 동안 5억 개의 레코드가 도난당했으니 데이터가 도난의 일부였을 가능성이 큽니다.현재 연락처 정보, 아직 유효한 신용카드 번호, 여권 정보 등 모든 것이 다크 웹에서 바로 판매될 수 있습니다.하지만 이들의 케어 팩터는 기본적으로 0이었습니다.

그리고 이런 대규모 데이터 도용의 경우 안주하기 쉽습니다. 사실상 건초 더미에서 바늘을 맞을 수 밖에 없죠.

하지만 진짜 문제는?고객의 데이터를 안전하게 보관하지 못한 기업은 그 영향을 거의 받지 않습니다.사고 직후 주가가 타격을 입나요?그럴 거라고 장담할 수 있겠죠.타깃, 에퀴팩스, 그리고 이제 메리어트는 모두 그걸 증명할 수 있을 거예요하지만 12개월에 걸친 개요를 살펴보면 정상으로의 회복은 상당히 빠른 것으로 나타났습니다.몇 년 후, 그리고 재정적으로는 모든 것이 용서됩니다.

막대한 벌금, 규제 강화, 심각한 비즈니스 손실 등 심각한 영향이 나타나기 전까지는 AppSec은 기업이 직면하고 있는 증가하는 사이버 위험의 심각성을 전달하기 위해 끊임없이 싸워야 하는 산업이 될 것입니다.

상황이 나아지기 전에 훨씬 더 나빠질 까봐 두렵습니다. 따라서 조직의 기술 팀의 최전선에서 보안을 생각하는 개발자와 강력한 보안 문화를 구축하기 위해 노력하는 것이 가장 중요합니다.이를 염두에 두고 더 높은 수준의 소프트웨어 보안을 위해 계속 노력하세요.