보안 기술 벤치마킹이 개발자를 위한 이점

사이버 위협이 점점 더 널리 퍼지고 정교해짐에 따라 사이버 보안의 초점은 보안 코드의 중요성에 집중되고 있습니다.백악관의 국가 사이버 보안 전략 및 사이버 보안 및 인프라 보안 기관 (CISA) 보안을 고려한 설계 이 이니셔티브는 다른 국가의 이니셔티브 및 법률과 함께 보안에 대한 책임을 소프트웨어 생산자의 어깨에 전적으로 맡깁니다.한때 있으면 좋다고 여겨졌던 SDLC (Software Development Lifeycle, SDLC) 초반에 보안을 보장하기 위해 왼쪽으로, 더 정확히 말하면 왼쪽으로 이동하는 것은 이제 조직이 데이터와 시스템을 보호하고 보안 침해로 인한 규제 여파를 방지하는 데 필수적입니다.

보안 코딩 관행을 보장하는 핵심은 개발자 교육에 있습니다.소프트웨어 엔지니어는 일반적으로 다음과 같은 혜택을 받습니다. 사이버 보안 교육이 거의 또는 전혀 없음.특히 오늘날의 가속화된 DevOps 환경에서 이들의 임무는 빠르게 작동하는 제너레이티브 AI 모델의 도움을 받아 새로운 애플리케이션, 업그레이드 및 서비스를 가능한 한 빨리 출시하고 보안 팀이 SDLC에서 나중에 어느 시점에 사이버 보안 문제를 해결할 수 있도록 하는 것이었습니다.이는 코드가 너무 많이 생성되어 종종 소프트웨어 취약점이 생태계에 누출되는 과정에서 발생하는 수많은 결함을 해결하는 데 비효율적인 방법입니다.

개발자는 처음부터 보안 코드를 작성하도록 교육을 받아야 하며 AI에서 생성되거나 자신이 사용하는 오픈 소스 및 기타 타사 소프트웨어에 있는 경우 해당 코드가 안전하지 않은 코드를 포착할 수 있어야 합니다.많은 개발팀과 조직에서 이 곳은 흔적을 받지 않은 영역입니다.개발자들이 필요한 교육을 받고 있다는 것을 어떻게 알 수 있을까요?그리고 그 교육이 정기적으로 적용되고 있나요?

개발자 교육을 추구하는 일부 회사에서는 개발자가 명확하게 정의된 벤치마크를 기준으로 습득하고 진행 상황을 측정할 수 있도록 기본 기술 세트를 설정하는 것이 유용하다는 것을 알게 되었습니다.이러한 노력을 돕기 위해 Secure Code Warrior는 개발자의 보안 교육 진행 상황을 정확하게 측정하도록 설계된 벤치마크를 출시했습니다. SCW 트러스트 스코어 조직에서 교육이 업무에 얼마나 잘 적용되고 있는지 측정하고 보안, 개발자 및 엔지니어링 팀이 협업할 수 있도록 합니다.

이는 개선이 필요한 영역을 파악하는 동시에 보안 코드 교육이 제대로 진행되고 있다는 증거를 볼 수 있는 방법입니다.

안전한 설계를 위한 사례

소프트웨어 제작자는 프로세스 초기에 SDLC에 보안을 도입해야 할 충분한 이유가 있습니다.애플리케이션 및 서비스에 대한 수요 증가와 AI가 개발 프로세스에 제공하는 속도는 유용한 것으로 입증되었습니다 제너레이티브 AI를 빠르게 도입한 개발자들에게 말이죠. 하지만 그 결과 필연적으로 버기 소프트웨어 파이프라인에 릴리스되고 있습니다.코드가 많이 생성될수록 결함도 많아지고 최근 연구 애플리케이션 중 거의 4분의 3이 (어떻게 만들어졌는지에 관계없이) 하나 이상의 보안 결함을 포함하고 있으며, 그 중 거의 20% 가 심각한 것으로 간주되는 것으로 나타났습니다.

SDLC 후반부에 취약점을 찾아내려면 엄청난 시간과 비용이 소모되고 있습니다.국립 표준 기술 연구소 (NIST) 을 (를) 찾았습니다 테스트 중에 결함을 수정하는 데 SDLC를 시작할 때 소프트웨어를 보호하는 것보다 15배 더 오래 걸리며, 배포/유지 관리 단계에서 결함을 수정하는 데 30~100배 더 오래 걸릴 수 있습니다.

이 모든 것은 개발 주기 초기에 보안을 적용하는 것이 중요하다는 것을 보여줍니다. 이는 위험을 줄이는 가장 효과적인 방법일 뿐만 아니라 가장 비용 효율적인 방법임이 입증되었습니다.개발자는 보안 팀이 별도의 개체로 기능하도록 하기보다는 보안 팀과 협력하는 것이 SDLC의 시작 부분에 보안을 도입하기에 가장 좋은 위치에 있습니다.또한 보안 모범 사례에 대한 교육을 받은 개발자들은 취약점을 효과적으로 줄일 수 있었습니다.문제는 이들 중 교육을 받은 사람이 거의 없다는 것입니다.

벤치마크의 아름다움

기업의 기본 경로에는 보안 기술의 기준을 설정하고, 교육을 제공하고, 개발자가 필요한 기술을 습득했는지 조직과 규제 기관 모두에게 확인하는 것이 포함됩니다.이는 모든 경제 부문의 많은 조직에서 어려움을 겪고 있는 것으로 입증되었지만 반드시 그럴 필요는 없습니다.

보안 리더가 꼽는 문제 중 하나는 교육 프로그램을 기업 전체로 확장하는 것이 어렵다는 것입니다.그러나 SCW의 연구에 따르면 조직, 특히 개발자 수가 많은 조직은 보안 설계 접근 방식을 성공적으로 구현할 수 있습니다.소규모 조직의 결과는 보안 설계 원칙을 얼마나 잘 적용하는지에 큰 차이를 보이는 경향이 있습니다.하지만 이들 기업 역시 신뢰 점수를 포함하는 접근 방식을 통해 이점을 얻을 수 있으며 개선 사항을 더 빨리 보여줄 가능성이 높습니다.

신뢰 점수는 벤치마킹 지표를 사용하여 개별 학습자의 진행 상황을 측정하고, 점수를 집계하여 전체 팀의 성과를 평가하고, 조직의 진행 상황을 업계 벤치마크 및 모범 사례와 비교합니다.이는 교육을 추적할 뿐만 아니라 개발자들이 매일 새로운 기술을 얼마나 잘 적용하고 있는지를 보여줍니다.또한 개선이 필요한 영역을 강조하여 조직이 교육/기술 향상 프로그램을 최적화할 수 있도록 합니다.

CISA 전반에 걸쳐 중요 인프라 부문 어떤 데이터를 사용할 수 있었는지, 대부분의 조직은 보안 설계 원칙을 구현하는 데 있어 거의 같은 수준에 있습니다.금융 서비스 및 방위 산업 기반에서 의료, IT 및 주요 제조에 이르는 다양한 부문의 신뢰 점수도 같은 범위로 떨어졌습니다. 1,000점 척도에서 300점을 약간 상회했습니다.규제가 가장 심한 산업인 금융 서비스가 가장 앞서갈 것이라는 일반적인 통념에도 불구하고 어떤 산업도 다른 산업을 능가하지 못합니다.

화학, 에너지 및 원자력 운영과 같이 신뢰 점수 순위에 포함되지 않은 주요 인프라 부문은 일반적으로 자체 소프트웨어를 만들지 않고 다른 부문, 특히 IT에 의존합니다.그러나 이러한 부문에서 보안 시스템을 유지하는 것이 중요하다는 사실 (아무도 원자력 발전소가 손상되는 것을 보고 싶어하지 않음) 은 애초에 사용하는 소프트웨어를 보호하는 것이 얼마나 중요한지를 보여줍니다.

結論

규제 압력의 증대와 사이버 위협 환경의 현실로 인해 데이터, 시스템, 비즈니스 운영 및 평판을 보호하려는 조직에서는 Secure By-Design 접근 방식이 필수가 되었습니다.보안 소프트웨어를 만드는 것은 대부분 개발자의 손에 달려 있지만 개발자에게는 필요한 교육을 제공하고 개발 방식이 어떻게 적용되고 있는지를 보여주는 철저한 기술 향상 및 교육 프로그램의 형태로 지원이 필요합니다.

Trust Score와 같은 도구를 기반으로 하는 벤치마크를 포함하는 프로그램은 개발팀의 주요 진행 상황을 명확하게 파악할 수 있습니다.개발자와 함께 일하는 회사 모두 새로운 Secure by-Design 요구 사항을 충족하는 동시에 보안 소프트웨어 개발 기술을 지속적으로 개선해야 하는 매우 새로운 접근 방식입니다.

‍