웹 애플리케이션 보안 결함을 유발하는 잊혀진 인적 요소
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
