지루한 PCI-DSS 규정 준수를 모두를 위한 의미 있는 활동으로 전환: 1부 - AppSec

이 글은 조직 내 성공적인 PCI-DSS 규정 준수에 관한 2부작 시리즈 중 1부입니다.이 장에서는 AppSec 전문가가 개발 관리자와 긴밀하게 협력하여 개발자의 역량을 강화하고 SSDLC를 강화하며 일반 법률의 구체적인 결과를 도출하는 방법을 자세히 설명합니다.

“규정 준수”라는 단어는 그다지 흥미롭지 않습니다.형식적이고, 건조하며, 지시적이고, 어조가 약간 제한적이기도 합니다.색상이 있다면 베이지색일 거예요.그리고 글쎄요, 이건 어떤 종류의 창의적인 환경이나 혁신과도 상충되는 것 같아요.

제가 개발자로서 '규정을 준수한다'는 경험은 보통 기능 코딩으로 돌아가 고객이 사용하고 사랑할 소프트웨어를 만드는 데 집중하기 전에 몇 가지 지침을 자세히 읽거나 프레젠테이션을 보는 것을 의미했습니다.모든 사람은 현재 할 수 있는 것을 유지하고 항상 올바른 일을 하려고 노력하지만 규정 준수 지침, 특히 보안 모범 사례와 관련된 지침은 일반적으로 개발자를 대상으로 작성되지 않으며 필요한 조치가 명확하지 않을 수 있습니다.이 시나리오에서는 현재 목표를 가지고 작업을 계속하기가 너무 쉽습니다.

문제는 보안 소프트웨어 개발이 더 이상 어느 기업에서나 “있으면 좋은” 것이 아니며, 모든 조직에서 가장 먼저 염두에 두어야 할 대상이라는 것입니다. 그리고 민감한 고객 정보를 대량으로 보유하고 있다면 사이버 공격에 대비할 수 있는 회사는 무르익었습니다.개발자는 코드를 가장 먼저 다루기 때문에 모든 보안 규정 준수 조치에는 다른 팀원들과 마찬가지로 참여해야 합니다.

하지만 잠시만요... 제 말을 들어보세요.그렇다고 해서 모든 사람이 경직되고 창의성이 없는 개발 및 소프트웨어 결과의 노예가 되어야 한다는 뜻은 아닙니다.이는 기업이 함께 더 높은 수준의 코드를 만들 수 있는 기회와 힘을 갖게 된다는 뜻입니다.지금까지 개발자들이 보안을 최우선으로 하는 적절한 도구를 제대로 갖추지 못했다는 사실을 전 세계가 서서히 깨닫고 있습니다 (그리고 사일로화된 보안 전문가만으로는 책임을 질 수 없습니다).그러나 업계가 보안을 공동 책임으로 삼는 DevSecOps의 미래로 나아감에 따라 성공을 위한 준비를 마쳤을 때 반복되는 취약점의 흐름을 막는 데 도움이 될 수 있습니다.

PCI-DSS 지침은 우리 대부분이 정기적으로 사용하는 서비스인 카드 결제 대행사의 온라인 보안 규정 준수를 다룹니다.이 지침은 전 세계적으로 적용되며 실제로 개발자가 자신의 의무에 맞게 표준을 유지하기 위해 수행해야 하는 작업에 대해 자세히 설명합니다., 나란히 여러 규정 준수 문서 전자 상거래 비즈니스의 여러 측면.

데이터 침해는 무섭고 평판을 파괴하는 위험으로 기업은 감당할 수 없습니다. 사이버 보안 벤처스 (Cyber Security Ventures) 가 제로데이 보안 침해 사례를 알려주고 있습니다. 2021년에는 하루에 한 번, 이것은 소프트웨어 제공 프로세스의 모든 사람이 해결하는 데 도움을 줄 수 있는 문제입니다.

PCI-DSS 권장 사항을 분석하고 팀 전체에서 이러한 권장 사항을 적용할 수 있는 방법을 살펴보겠습니다.

AppSec과 규정 준수 팀 여러분, 안녕하세요. 모든 개발자 교육이 평등한 것은 아닙니다.

대규모 (또는 소규모) 조직의 개발자는 현장에서 받는 교육에 많은 의견을 제시하는 경우가 거의 없습니다.우수한 직원을 유지하기 위해 일부 회사에서는 포괄적인 프로그램을 제공하기도 하지만 이러한 프로그램은 여전히 예상보다 흔하지 않습니다.보안 교육이 필요하다는 것은 모두가 눈물을 흘리는 것을 지루하게 하지 않고 조직 규정 준수를 시작할 수 있는 좋은 기회일 뿐만 아니라 개발 팀과의 냉랭한 관계를 돈독히 할 수 있는 좋은 기회이기도 합니다.

PCI 규정 준수 측면에서 보면 결제 대행사를 실행하는 소프트웨어에서 기대할 수 있는 결과에 대한 구체적인 지침이 있다는 것을 알 수 있습니다. 다른 목표 중에서도 애플리케이션 강화 (악의적인 방지에 필수) 를 원한다는 것을 알 수 있습니다. 코드 인젝션 또는 변조), 최소 권한 제어 및 일반적인 취약점에 대한 완전한 인식... 최소한.카드 소지자 데이터를 다루는 모든 직원은 적절한 교육을 받아야 하며, 개발자의 경우 이러한 교육을 통해 프로세스 시작부터 보안 코드 작성의 성공 여부가 결정됩니다.

더 오피셜 PCI-DSS 규정 준수를 위한 모범 사례 문서에는 다음과 같은 보안 인식, 개발자 요구 사항 및 적절한 교육과 관련된 몇 가지 직접적인 개념이 자세히 설명되어 있습니다.

저작권 © 2006 - 2020 PCI 보안 표준 위원회, LLC.모든 권리 보유.

이를 통해 개발자에게 필요한 기술을 갖추는 데 필요한 구체적이고 심층적인 교육에 대한 통찰력을 얻을 수 있지만, 여전히 특정 유형의 교육 솔루션이 다른 교육 솔루션보다 더 효과적이라는 의미는 아닙니다.개발자를 위한 PCI-DSS 가이드에서는 OWASP Top 10을 가장 일반적인 취약점과 일부 인증 프로그램을 찾아 수정하는 방법을 학습하기 위한 하나의 벤치마크로 제시하여 좀 더 직접적으로 설명합니다.

하지만... 문제는 이겁니다.다양한 직장 교육 및 규정 준수 이니셔티브를 통해 알 수 있듯이 품질과 미래의 성공 여부는 크게 달라질 수 있습니다.그리고 개발자의 경우, 많은 보안 코딩 교육 프로그램이 우리의 요구, 작업 방식, 심지어 일상 업무에도 의미 있는 역량을 전혀 제공하지 못하는 것 같습니다. 이 시나리오에서는 모든 교육이 동일하게 만들어지지는 않으며, 모든 교육이 소프트웨어 보안을 강화하는 것은 아닙니다..물론 이것은 여러분이 원하는 결과와는 정반대이며, 자신의 업무로 인한 스트레스를 크게 줄여주지는 않을 것입니다.부담을 줄이고 일반적인 취약점으로 인해 잠재적 재해가 발생하는 것을 막으려면 다리를 건설해야 합니다.

엔지니어링 관리자와의 보안 기술 격차 해소

엔지니어링 관리자와 직접 협력하여 목적에 맞는 솔루션을 찾는 동시에 실제로 이를 수행해야 하는 사람들이 여전히 수용할 수 있다면 긍정적인 보안 결과를 빠르게 얻을 수 있습니다.팀원들은 자신의 팀에 대해 더 즉각적으로 파악할 수 있고, 이전에 규정 준수 교육을 어렵게 만들었던 모든 방해 요소에 대해 이야기할 수 있습니다 (좋은 경험이 아닌 경우가 많다는 점을 제외하면 말이죠).

강의실 기반 교육, 비디오 온디맨드, 일괄적으로 사용할 수 있는 실습으로는 최신 상태를 유지하기가 매우 어렵습니다. 이러한 솔루션은 끊임없이 변화하는 사이버 보안 산업 환경을 따라갈 수 없는 정적인 솔루션입니다.궁극적으로 엔지니어링 관리자는 시간 투입의 가치를 보고 싶어할 것입니다. 따라서 엔지니어링 관리자와 협력하여 모두의 공동 목표, 즉 더 안전하고 규정을 준수하는 코드를 달성하는 데 효과적인 실행 가능한 옵션을 제공하는 것이 중요합니다.

그렇다면 좋은 훈련은 어떤 모습일까요?대량의 정보를 통해 안전하게 코딩하는 방법을 배우는 것은 의미가 거의 없습니다. 한 입 크기로 진행되는 점진적 학습 과정 상황에 맞게 기억하고 적용하기가 훨씬 쉬워지며 매일 사용되는 언어와 프레임워크에 반드시 포함되어야 합니다.개인적으로는 도전을 받고 싶고, 노력의 목적도 보고 싶어요. 우리 모두 지금 이 순간에도 충분히 바쁘죠?

위에서 설명한 PCI-DSS 모범 사례를 준수하기 위해 선택한 솔루션에 따라 관리자는 비즈니스 전반에서 사용되는 모든 언어와 프레임워크를 다루기 위해 서로 다른 과정을 하나로 묶어야 할 수 있습니다. 이때 AppSec과 규정 준수 팀이 소프트웨어의 보안 및 취약성 감소에 영향을 미친다고 평가하기는 어려울 뿐만 아니라 상황이 매우 복잡해집니다.빠른 결과를 위해 엉뚱한 옵션에 몰두하지 말고 함께 노력하여 적합한 제품을 찾으십시오.그렇지 않으면 프랑켄슈타인 트레이닝 솔루션을 찾게 될 수도 있는데... 정말 무서워 보이네요.

이 PCI-DSS 미니 시리즈의 첫 번째 부분을 확인해 주셔서 감사합니다.마지막 장에서는 CISO와 CTO가 이러한 문화를 변화시키고 팀을 지원하는 방법과 보안 최전선 “개발자 집단”이 PCI-DSS 인식과 규정 준수를 유리하게 활용할 수 있는 방법에 대해 살펴보겠습니다.