2019년 가장 위험한 소프트웨어 오류: 역사가 반복되고 있다는 더 많은 증거
이 기사는 원래 에 게재되었습니다. 정보 보안 버즈, 다른 여러 매장에서 픽업했습니다.여기에서 신디케이션을 위해 업데이트되었습니다.
작년 말에 MITRE의 놀라운 커뮤니티가 목록을 발표했습니다. CWE 상위 25가지 가장 위험한 소프트웨어 오류 이는 2019년에 전 세계에 영향을 미쳤습니다.이 목록은 의견에 기반한 것이 아니라 다음과 같은 조직의 작업을 활용한 다각적인 분석의 결과입니다. NIST뿐만 아니라 일반 취약성 및 노출 (CVE) 데이터를 공개했습니다.“주요” 결함을 파악하기 위해 해당 결함의 심각도, 악용 가능성 및 현재 소프트웨어에서의 유병률을 기준으로 점수를 매깁니다.긍정적인 찬사를 받을 수 있는 그런 종류의 목록은 아닙니다. 그건 확실합니다.
그러나 대부분의 연례 요약과 달리 이 목록에 있는 많은 참가자는 이전에... 계속해서 등장했습니다.이 차트가 빌보드 핫 100 차트라면 브리트니 스피어스의 차트와 같을 것입니다.베이비 원 모어 타임 그리고 백스트리트 보이즈난 저렇게 하고 싶어 최초 출시 이후 매년 등장합니다.그리고 제가 왜 그 곡들을 골랐을까요?음, 대략 스무 살 정도 됐는데 (아직 오래된 느낌이 드나요?)수십 년 전에 발견되었음에도 불구하고 2020년까지도 우리를 괴롭히는 위험한 소프트웨어 오류들과 매우 흡사합니다.
오래된 버그가 여전히 위험한 이유는 무엇입니까?어떻게 고쳐야 할지 몰라요?
현재 MITRE 목록의 여섯 번째는 CWE-89SQL 인젝션 (SQLi) 으로 더 잘 알려져 있습니다.SQLi 취약점은 1998년에 처음 발견되었는데, 당시 많은 사람들이 구글 대신 지브스에게 가장 중요한 질문을 던지곤 했습니다.얼마 지나지 않아 수정 사항이 알려졌지만, 이 방법은 2019년에도 가장 많이 사용된 해킹 기법 중 하나로 남아 있습니다.아카마이의 인터넷 현황 보고서에 따르면 SQLi는 2/3에서 범인이었습니다. 모든 웹 애플리케이션 공격
복잡성에 관한 한, SQL 인젝션은 천재적인 수준의 악용과는 거리가 멀다.이는 웹 개발자를 위한 간단한 해결책이며, 우리는 해야 할 것 이 취약점이 귀중한 데이터를 공격자에게 노출시키지 못하도록 방지하는 방법을 주저 없이 알아두세요... 문제는 오늘날에도 많은 개발자들에게 보안이 우선 순위가 아니라는 것입니다.20년 전에는 이런 일이 더 쉬웠을지 모르지만, 현재와 미래에 엄청난 양의 소프트웨어가 만들어지면서 더 이상 일반적인 일이 될 수 없습니다.
개발자들은 대부분 고장난 시스템에서 작업하고 있습니다.
가만히 앉아서 “잘못된” 코드를 제공한 개발자를 비난하는 것은 너무나 쉽습니다.사실 이들의 우선순위는 보안팀의 우선순위와 크게 다릅니다.보통 개발팀은 아름답고 기능적인 소프트웨어를 가능한 한 빨리 만들라는 말을 듣습니다.소프트웨어에 대한 사회의 끝없는 수요로 인해 개발팀은 이미 확장되어 있고 보안은 주요 고려 사항이 아닙니다. 결국 AppSec 전문가가 존재하는 이유가 바로 여기에 있지 않을까요?소프트웨어 엔지니어는 보안과 다소 냉담한 관계에 익숙합니다. 문제가 발생할 때만 의견을 듣고 그러한 문제로 인해 고된 작업이 지연될 수 있습니다.
반면 AppSec 전문가들은 모든 스캔과 수동 코드 검토에서 계속 나타나는 수십 년 된 오류를 수정하는 데 지쳤습니다.이러한 전문가는 비용이 많이 들고 부족하며, 잘 알려진 버그를 반복해서 없애는 것보다 복잡한 보안 결함에 시간을 투자하는 것이 훨씬 낫습니다.
이들 팀은 암묵적으로 책임을 물어 넘기는 문화가 있지만, 두 팀은 소프트웨어 보안이라는 동일한 목표를 가지고 있습니다 (또는 가져야 합니다).개발자들은 보안 코딩 측면에서 성공할 가능성이 거의 없는 환경에서 일하고 있습니다. 고등 교육 과정에서 보안 모범 사례를 가르치는 경우는 거의 없으며, 실무 교육은 너무 드물거나 전혀 효과가 없는 경우가 많습니다.보안 인식과 심층적인 관련 교육에 대한 강조가 현저히 부족합니다. 그 결과 커밋된 코드의 오래된 버그를 수정하는 데 드는 천문학적인 비용과 평판을 해치는 데이터 침해라는 위협이 임박했습니다.
인적 요소, 일명 “왜 이러한 모든 도구가 데이터를 더 안전하게 만들지 못할까요?”
자주 나타나는 또 다른 문제는 교육 대신 소프트웨어가 출시되기 전에 문제를 찾아내는 작업에 방대한 양의 보안 도구가 투입된다는 것입니다.어레이 애플리케이션 검사 및 보호 도구 (패스트/다스트/라즈/토스트) 는 보안 소프트웨어 제작에 확실히 도움이 될 수 있지만 나름의 문제가 있습니다.이러한 솔루션에 완전히 의존한다고 해서 보안이 보장되는 것은 아닙니다. 이유는 다음과 같습니다.
- 모든 프레임워크의 모든 사용 사례에서 모든 취약점을 검사할 수 있는 “단일” 도구는 없습니다.
- 특히 정적 코드 분석과 동적 코드 분석을 모두 제공하기 위해 동시에 실행할 경우 속도가 느릴 수 있습니다.
- 오탐은 여전히 문제가 되고 있습니다. 이러한 경우 프로덕션이 중단되는 경우가 많으며 경고를 파악하기 위해 불필요한 수동 코드 검토가 필요합니다.
- 이러한 툴이 문제를 해결해 줄 것이라는 기대감으로 보안 코딩의 우선 순위를 떨어뜨리는 등 잘못된 보안 의식을 조성하고 있습니다.
이 도구들은 분명 패치될 수 있는 보안 결함을 찾아낼 것입니다. 하지만 모든 것을 찾아낼 수 있을까요?100% 적중률은 보장할 수 없으며, 공격자는 문 하나만 열어두면 침입하여 하루를 망칠 수 있습니다.
다행스럽게도 많은 조직에서 인적 요소가 작용한다는 사실을 깨닫고 있습니다. 소프트웨어 취약성.대부분의 개발자는 보안 코딩에 대한 충분한 교육을 받지 못했고 전반적인 보안 인식도 낮습니다.하지만 이들은 소프트웨어 개발 라이프사이클의 초기 단계에 있으며, 커밋된 코드에 취약점이 침투하는 것을 막을 수 있는 최고의 위치에 있습니다.처음부터 안전하게 코딩한다면 매년 수십억 달러의 손실을 초래하는 파괴적인 사이버 공격을 방어할 수 있는 최전선이 될 것입니다.
개발자들은 자신의 언어를 구사하고 직무와 관련이 있으며 보안에 대해 적극적으로 관심을 가질 수 있는 교육을 통해 성공할 기회를 얻어야 합니다.버그가 없는 코드는 자부심을 가져야 합니다. 기능적으로 멋진 것을 만들면 동료들의 존경을 받을 수 있는 것처럼 말이죠.
최신 보안 프로그램은 비즈니스 우선 순위가 되어야 합니다.
개발 팀은 부트스트랩을 사용하여 회사 전체에 긍정적인 보안 인식을 제고할 수 없습니다.처음부터 소프트웨어 개발 프로세스에 보안을 적용하려면 올바른 도구, 지식 및 지원이 필요합니다.
MITRE의 목록에 여전히 오래된 보안 버그가 너무 많으면 이전 교육 방법은 분명히 효과가 없습니다. 그러니 새로운 것을 시도해 보세요.다음과 같은 교육 솔루션을 찾아보세요.
- 직접 해볼 수 있습니다. 개발자들은 동영상에서 떠드는 이야기를 보지 않고 “직접 해봄으로써 배우는” 것을 좋아합니다.
- 관련성: 매일 Java를 사용하는 경우 C #으로 교육시키지 마세요.
- 흥미롭고 간단한 학습은 이해하기 쉬우며 개발자가 이전 지식을 바탕으로 계속 발전할 수 있습니다.
- 측정 가능. 그냥 상자에 체크하고 넘어가지 마세요.교육이 효과적인지 확인하고 개선을 위한 경로를 만드세요.
- 재미있습니다. 긍정적인 보안 문화를 지원하는 것 외에도 보안 인식을 구축할 수 있는 방법과 이를 통해 일관된 팀 환경을 조성할 수 있는 방법을 살펴보세요.
보안은 조직 내 모든 사람이 최우선으로 생각해야 하며, CISO는 모든 수준에서 데이터를 더 안전하게 유지하기 위한 노력을 가시적이고 투명하게 진행해야 합니다.내 말은, 누가 똑같은 옛날 노래를 반복해서 듣고 싶겠어?이제 오래된 버그를 영원히 없애는 것에 대해 진지하게 생각해 볼 때입니다.
작년 말, MITRE의 멋진 커뮤니티는 2019년에 전 세계에 영향을 미친 CWE 상위 25대 가장 위험한 소프트웨어 오류 목록을 발표했습니다.그리고 대부분은 놀랄 일도 아니었습니다.
最高経営責任者(CEO)、会長、および共同設立者
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
이 기사는 원래 에 게재되었습니다. 정보 보안 버즈, 다른 여러 매장에서 픽업했습니다.여기에서 신디케이션을 위해 업데이트되었습니다.
작년 말에 MITRE의 놀라운 커뮤니티가 목록을 발표했습니다. CWE 상위 25가지 가장 위험한 소프트웨어 오류 이는 2019년에 전 세계에 영향을 미쳤습니다.이 목록은 의견에 기반한 것이 아니라 다음과 같은 조직의 작업을 활용한 다각적인 분석의 결과입니다. NIST뿐만 아니라 일반 취약성 및 노출 (CVE) 데이터를 공개했습니다.“주요” 결함을 파악하기 위해 해당 결함의 심각도, 악용 가능성 및 현재 소프트웨어에서의 유병률을 기준으로 점수를 매깁니다.긍정적인 찬사를 받을 수 있는 그런 종류의 목록은 아닙니다. 그건 확실합니다.
그러나 대부분의 연례 요약과 달리 이 목록에 있는 많은 참가자는 이전에... 계속해서 등장했습니다.이 차트가 빌보드 핫 100 차트라면 브리트니 스피어스의 차트와 같을 것입니다.베이비 원 모어 타임 그리고 백스트리트 보이즈난 저렇게 하고 싶어 최초 출시 이후 매년 등장합니다.그리고 제가 왜 그 곡들을 골랐을까요?음, 대략 스무 살 정도 됐는데 (아직 오래된 느낌이 드나요?)수십 년 전에 발견되었음에도 불구하고 2020년까지도 우리를 괴롭히는 위험한 소프트웨어 오류들과 매우 흡사합니다.
오래된 버그가 여전히 위험한 이유는 무엇입니까?어떻게 고쳐야 할지 몰라요?
현재 MITRE 목록의 여섯 번째는 CWE-89SQL 인젝션 (SQLi) 으로 더 잘 알려져 있습니다.SQLi 취약점은 1998년에 처음 발견되었는데, 당시 많은 사람들이 구글 대신 지브스에게 가장 중요한 질문을 던지곤 했습니다.얼마 지나지 않아 수정 사항이 알려졌지만, 이 방법은 2019년에도 가장 많이 사용된 해킹 기법 중 하나로 남아 있습니다.아카마이의 인터넷 현황 보고서에 따르면 SQLi는 2/3에서 범인이었습니다. 모든 웹 애플리케이션 공격
복잡성에 관한 한, SQL 인젝션은 천재적인 수준의 악용과는 거리가 멀다.이는 웹 개발자를 위한 간단한 해결책이며, 우리는 해야 할 것 이 취약점이 귀중한 데이터를 공격자에게 노출시키지 못하도록 방지하는 방법을 주저 없이 알아두세요... 문제는 오늘날에도 많은 개발자들에게 보안이 우선 순위가 아니라는 것입니다.20년 전에는 이런 일이 더 쉬웠을지 모르지만, 현재와 미래에 엄청난 양의 소프트웨어가 만들어지면서 더 이상 일반적인 일이 될 수 없습니다.
개발자들은 대부분 고장난 시스템에서 작업하고 있습니다.
가만히 앉아서 “잘못된” 코드를 제공한 개발자를 비난하는 것은 너무나 쉽습니다.사실 이들의 우선순위는 보안팀의 우선순위와 크게 다릅니다.보통 개발팀은 아름답고 기능적인 소프트웨어를 가능한 한 빨리 만들라는 말을 듣습니다.소프트웨어에 대한 사회의 끝없는 수요로 인해 개발팀은 이미 확장되어 있고 보안은 주요 고려 사항이 아닙니다. 결국 AppSec 전문가가 존재하는 이유가 바로 여기에 있지 않을까요?소프트웨어 엔지니어는 보안과 다소 냉담한 관계에 익숙합니다. 문제가 발생할 때만 의견을 듣고 그러한 문제로 인해 고된 작업이 지연될 수 있습니다.
반면 AppSec 전문가들은 모든 스캔과 수동 코드 검토에서 계속 나타나는 수십 년 된 오류를 수정하는 데 지쳤습니다.이러한 전문가는 비용이 많이 들고 부족하며, 잘 알려진 버그를 반복해서 없애는 것보다 복잡한 보안 결함에 시간을 투자하는 것이 훨씬 낫습니다.
이들 팀은 암묵적으로 책임을 물어 넘기는 문화가 있지만, 두 팀은 소프트웨어 보안이라는 동일한 목표를 가지고 있습니다 (또는 가져야 합니다).개발자들은 보안 코딩 측면에서 성공할 가능성이 거의 없는 환경에서 일하고 있습니다. 고등 교육 과정에서 보안 모범 사례를 가르치는 경우는 거의 없으며, 실무 교육은 너무 드물거나 전혀 효과가 없는 경우가 많습니다.보안 인식과 심층적인 관련 교육에 대한 강조가 현저히 부족합니다. 그 결과 커밋된 코드의 오래된 버그를 수정하는 데 드는 천문학적인 비용과 평판을 해치는 데이터 침해라는 위협이 임박했습니다.
인적 요소, 일명 “왜 이러한 모든 도구가 데이터를 더 안전하게 만들지 못할까요?”
자주 나타나는 또 다른 문제는 교육 대신 소프트웨어가 출시되기 전에 문제를 찾아내는 작업에 방대한 양의 보안 도구가 투입된다는 것입니다.어레이 애플리케이션 검사 및 보호 도구 (패스트/다스트/라즈/토스트) 는 보안 소프트웨어 제작에 확실히 도움이 될 수 있지만 나름의 문제가 있습니다.이러한 솔루션에 완전히 의존한다고 해서 보안이 보장되는 것은 아닙니다. 이유는 다음과 같습니다.
- 모든 프레임워크의 모든 사용 사례에서 모든 취약점을 검사할 수 있는 “단일” 도구는 없습니다.
- 특히 정적 코드 분석과 동적 코드 분석을 모두 제공하기 위해 동시에 실행할 경우 속도가 느릴 수 있습니다.
- 오탐은 여전히 문제가 되고 있습니다. 이러한 경우 프로덕션이 중단되는 경우가 많으며 경고를 파악하기 위해 불필요한 수동 코드 검토가 필요합니다.
- 이러한 툴이 문제를 해결해 줄 것이라는 기대감으로 보안 코딩의 우선 순위를 떨어뜨리는 등 잘못된 보안 의식을 조성하고 있습니다.
이 도구들은 분명 패치될 수 있는 보안 결함을 찾아낼 것입니다. 하지만 모든 것을 찾아낼 수 있을까요?100% 적중률은 보장할 수 없으며, 공격자는 문 하나만 열어두면 침입하여 하루를 망칠 수 있습니다.
다행스럽게도 많은 조직에서 인적 요소가 작용한다는 사실을 깨닫고 있습니다. 소프트웨어 취약성.대부분의 개발자는 보안 코딩에 대한 충분한 교육을 받지 못했고 전반적인 보안 인식도 낮습니다.하지만 이들은 소프트웨어 개발 라이프사이클의 초기 단계에 있으며, 커밋된 코드에 취약점이 침투하는 것을 막을 수 있는 최고의 위치에 있습니다.처음부터 안전하게 코딩한다면 매년 수십억 달러의 손실을 초래하는 파괴적인 사이버 공격을 방어할 수 있는 최전선이 될 것입니다.
개발자들은 자신의 언어를 구사하고 직무와 관련이 있으며 보안에 대해 적극적으로 관심을 가질 수 있는 교육을 통해 성공할 기회를 얻어야 합니다.버그가 없는 코드는 자부심을 가져야 합니다. 기능적으로 멋진 것을 만들면 동료들의 존경을 받을 수 있는 것처럼 말이죠.
최신 보안 프로그램은 비즈니스 우선 순위가 되어야 합니다.
개발 팀은 부트스트랩을 사용하여 회사 전체에 긍정적인 보안 인식을 제고할 수 없습니다.처음부터 소프트웨어 개발 프로세스에 보안을 적용하려면 올바른 도구, 지식 및 지원이 필요합니다.
MITRE의 목록에 여전히 오래된 보안 버그가 너무 많으면 이전 교육 방법은 분명히 효과가 없습니다. 그러니 새로운 것을 시도해 보세요.다음과 같은 교육 솔루션을 찾아보세요.
- 직접 해볼 수 있습니다. 개발자들은 동영상에서 떠드는 이야기를 보지 않고 “직접 해봄으로써 배우는” 것을 좋아합니다.
- 관련성: 매일 Java를 사용하는 경우 C #으로 교육시키지 마세요.
- 흥미롭고 간단한 학습은 이해하기 쉬우며 개발자가 이전 지식을 바탕으로 계속 발전할 수 있습니다.
- 측정 가능. 그냥 상자에 체크하고 넘어가지 마세요.교육이 효과적인지 확인하고 개선을 위한 경로를 만드세요.
- 재미있습니다. 긍정적인 보안 문화를 지원하는 것 외에도 보안 인식을 구축할 수 있는 방법과 이를 통해 일관된 팀 환경을 조성할 수 있는 방법을 살펴보세요.
보안은 조직 내 모든 사람이 최우선으로 생각해야 하며, CISO는 모든 수준에서 데이터를 더 안전하게 유지하기 위한 노력을 가시적이고 투명하게 진행해야 합니다.내 말은, 누가 똑같은 옛날 노래를 반복해서 듣고 싶겠어?이제 오래된 버그를 영원히 없애는 것에 대해 진지하게 생각해 볼 때입니다.
이 기사는 원래 에 게재되었습니다. 정보 보안 버즈, 다른 여러 매장에서 픽업했습니다.여기에서 신디케이션을 위해 업데이트되었습니다.
작년 말에 MITRE의 놀라운 커뮤니티가 목록을 발표했습니다. CWE 상위 25가지 가장 위험한 소프트웨어 오류 이는 2019년에 전 세계에 영향을 미쳤습니다.이 목록은 의견에 기반한 것이 아니라 다음과 같은 조직의 작업을 활용한 다각적인 분석의 결과입니다. NIST뿐만 아니라 일반 취약성 및 노출 (CVE) 데이터를 공개했습니다.“주요” 결함을 파악하기 위해 해당 결함의 심각도, 악용 가능성 및 현재 소프트웨어에서의 유병률을 기준으로 점수를 매깁니다.긍정적인 찬사를 받을 수 있는 그런 종류의 목록은 아닙니다. 그건 확실합니다.
그러나 대부분의 연례 요약과 달리 이 목록에 있는 많은 참가자는 이전에... 계속해서 등장했습니다.이 차트가 빌보드 핫 100 차트라면 브리트니 스피어스의 차트와 같을 것입니다.베이비 원 모어 타임 그리고 백스트리트 보이즈난 저렇게 하고 싶어 최초 출시 이후 매년 등장합니다.그리고 제가 왜 그 곡들을 골랐을까요?음, 대략 스무 살 정도 됐는데 (아직 오래된 느낌이 드나요?)수십 년 전에 발견되었음에도 불구하고 2020년까지도 우리를 괴롭히는 위험한 소프트웨어 오류들과 매우 흡사합니다.
오래된 버그가 여전히 위험한 이유는 무엇입니까?어떻게 고쳐야 할지 몰라요?
현재 MITRE 목록의 여섯 번째는 CWE-89SQL 인젝션 (SQLi) 으로 더 잘 알려져 있습니다.SQLi 취약점은 1998년에 처음 발견되었는데, 당시 많은 사람들이 구글 대신 지브스에게 가장 중요한 질문을 던지곤 했습니다.얼마 지나지 않아 수정 사항이 알려졌지만, 이 방법은 2019년에도 가장 많이 사용된 해킹 기법 중 하나로 남아 있습니다.아카마이의 인터넷 현황 보고서에 따르면 SQLi는 2/3에서 범인이었습니다. 모든 웹 애플리케이션 공격
복잡성에 관한 한, SQL 인젝션은 천재적인 수준의 악용과는 거리가 멀다.이는 웹 개발자를 위한 간단한 해결책이며, 우리는 해야 할 것 이 취약점이 귀중한 데이터를 공격자에게 노출시키지 못하도록 방지하는 방법을 주저 없이 알아두세요... 문제는 오늘날에도 많은 개발자들에게 보안이 우선 순위가 아니라는 것입니다.20년 전에는 이런 일이 더 쉬웠을지 모르지만, 현재와 미래에 엄청난 양의 소프트웨어가 만들어지면서 더 이상 일반적인 일이 될 수 없습니다.
개발자들은 대부분 고장난 시스템에서 작업하고 있습니다.
가만히 앉아서 “잘못된” 코드를 제공한 개발자를 비난하는 것은 너무나 쉽습니다.사실 이들의 우선순위는 보안팀의 우선순위와 크게 다릅니다.보통 개발팀은 아름답고 기능적인 소프트웨어를 가능한 한 빨리 만들라는 말을 듣습니다.소프트웨어에 대한 사회의 끝없는 수요로 인해 개발팀은 이미 확장되어 있고 보안은 주요 고려 사항이 아닙니다. 결국 AppSec 전문가가 존재하는 이유가 바로 여기에 있지 않을까요?소프트웨어 엔지니어는 보안과 다소 냉담한 관계에 익숙합니다. 문제가 발생할 때만 의견을 듣고 그러한 문제로 인해 고된 작업이 지연될 수 있습니다.
반면 AppSec 전문가들은 모든 스캔과 수동 코드 검토에서 계속 나타나는 수십 년 된 오류를 수정하는 데 지쳤습니다.이러한 전문가는 비용이 많이 들고 부족하며, 잘 알려진 버그를 반복해서 없애는 것보다 복잡한 보안 결함에 시간을 투자하는 것이 훨씬 낫습니다.
이들 팀은 암묵적으로 책임을 물어 넘기는 문화가 있지만, 두 팀은 소프트웨어 보안이라는 동일한 목표를 가지고 있습니다 (또는 가져야 합니다).개발자들은 보안 코딩 측면에서 성공할 가능성이 거의 없는 환경에서 일하고 있습니다. 고등 교육 과정에서 보안 모범 사례를 가르치는 경우는 거의 없으며, 실무 교육은 너무 드물거나 전혀 효과가 없는 경우가 많습니다.보안 인식과 심층적인 관련 교육에 대한 강조가 현저히 부족합니다. 그 결과 커밋된 코드의 오래된 버그를 수정하는 데 드는 천문학적인 비용과 평판을 해치는 데이터 침해라는 위협이 임박했습니다.
인적 요소, 일명 “왜 이러한 모든 도구가 데이터를 더 안전하게 만들지 못할까요?”
자주 나타나는 또 다른 문제는 교육 대신 소프트웨어가 출시되기 전에 문제를 찾아내는 작업에 방대한 양의 보안 도구가 투입된다는 것입니다.어레이 애플리케이션 검사 및 보호 도구 (패스트/다스트/라즈/토스트) 는 보안 소프트웨어 제작에 확실히 도움이 될 수 있지만 나름의 문제가 있습니다.이러한 솔루션에 완전히 의존한다고 해서 보안이 보장되는 것은 아닙니다. 이유는 다음과 같습니다.
- 모든 프레임워크의 모든 사용 사례에서 모든 취약점을 검사할 수 있는 “단일” 도구는 없습니다.
- 특히 정적 코드 분석과 동적 코드 분석을 모두 제공하기 위해 동시에 실행할 경우 속도가 느릴 수 있습니다.
- 오탐은 여전히 문제가 되고 있습니다. 이러한 경우 프로덕션이 중단되는 경우가 많으며 경고를 파악하기 위해 불필요한 수동 코드 검토가 필요합니다.
- 이러한 툴이 문제를 해결해 줄 것이라는 기대감으로 보안 코딩의 우선 순위를 떨어뜨리는 등 잘못된 보안 의식을 조성하고 있습니다.
이 도구들은 분명 패치될 수 있는 보안 결함을 찾아낼 것입니다. 하지만 모든 것을 찾아낼 수 있을까요?100% 적중률은 보장할 수 없으며, 공격자는 문 하나만 열어두면 침입하여 하루를 망칠 수 있습니다.
다행스럽게도 많은 조직에서 인적 요소가 작용한다는 사실을 깨닫고 있습니다. 소프트웨어 취약성.대부분의 개발자는 보안 코딩에 대한 충분한 교육을 받지 못했고 전반적인 보안 인식도 낮습니다.하지만 이들은 소프트웨어 개발 라이프사이클의 초기 단계에 있으며, 커밋된 코드에 취약점이 침투하는 것을 막을 수 있는 최고의 위치에 있습니다.처음부터 안전하게 코딩한다면 매년 수십억 달러의 손실을 초래하는 파괴적인 사이버 공격을 방어할 수 있는 최전선이 될 것입니다.
개발자들은 자신의 언어를 구사하고 직무와 관련이 있으며 보안에 대해 적극적으로 관심을 가질 수 있는 교육을 통해 성공할 기회를 얻어야 합니다.버그가 없는 코드는 자부심을 가져야 합니다. 기능적으로 멋진 것을 만들면 동료들의 존경을 받을 수 있는 것처럼 말이죠.
최신 보안 프로그램은 비즈니스 우선 순위가 되어야 합니다.
개발 팀은 부트스트랩을 사용하여 회사 전체에 긍정적인 보안 인식을 제고할 수 없습니다.처음부터 소프트웨어 개발 프로세스에 보안을 적용하려면 올바른 도구, 지식 및 지원이 필요합니다.
MITRE의 목록에 여전히 오래된 보안 버그가 너무 많으면 이전 교육 방법은 분명히 효과가 없습니다. 그러니 새로운 것을 시도해 보세요.다음과 같은 교육 솔루션을 찾아보세요.
- 직접 해볼 수 있습니다. 개발자들은 동영상에서 떠드는 이야기를 보지 않고 “직접 해봄으로써 배우는” 것을 좋아합니다.
- 관련성: 매일 Java를 사용하는 경우 C #으로 교육시키지 마세요.
- 흥미롭고 간단한 학습은 이해하기 쉬우며 개발자가 이전 지식을 바탕으로 계속 발전할 수 있습니다.
- 측정 가능. 그냥 상자에 체크하고 넘어가지 마세요.교육이 효과적인지 확인하고 개선을 위한 경로를 만드세요.
- 재미있습니다. 긍정적인 보안 문화를 지원하는 것 외에도 보안 인식을 구축할 수 있는 방법과 이를 통해 일관된 팀 환경을 조성할 수 있는 방법을 살펴보세요.
보안은 조직 내 모든 사람이 최우선으로 생각해야 하며, CISO는 모든 수준에서 데이터를 더 안전하게 유지하기 위한 노력을 가시적이고 투명하게 진행해야 합니다.내 말은, 누가 똑같은 옛날 노래를 반복해서 듣고 싶겠어?이제 오래된 버그를 영원히 없애는 것에 대해 진지하게 생각해 볼 때입니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
이 기사는 원래 에 게재되었습니다. 정보 보안 버즈, 다른 여러 매장에서 픽업했습니다.여기에서 신디케이션을 위해 업데이트되었습니다.
작년 말에 MITRE의 놀라운 커뮤니티가 목록을 발표했습니다. CWE 상위 25가지 가장 위험한 소프트웨어 오류 이는 2019년에 전 세계에 영향을 미쳤습니다.이 목록은 의견에 기반한 것이 아니라 다음과 같은 조직의 작업을 활용한 다각적인 분석의 결과입니다. NIST뿐만 아니라 일반 취약성 및 노출 (CVE) 데이터를 공개했습니다.“주요” 결함을 파악하기 위해 해당 결함의 심각도, 악용 가능성 및 현재 소프트웨어에서의 유병률을 기준으로 점수를 매깁니다.긍정적인 찬사를 받을 수 있는 그런 종류의 목록은 아닙니다. 그건 확실합니다.
그러나 대부분의 연례 요약과 달리 이 목록에 있는 많은 참가자는 이전에... 계속해서 등장했습니다.이 차트가 빌보드 핫 100 차트라면 브리트니 스피어스의 차트와 같을 것입니다.베이비 원 모어 타임 그리고 백스트리트 보이즈난 저렇게 하고 싶어 최초 출시 이후 매년 등장합니다.그리고 제가 왜 그 곡들을 골랐을까요?음, 대략 스무 살 정도 됐는데 (아직 오래된 느낌이 드나요?)수십 년 전에 발견되었음에도 불구하고 2020년까지도 우리를 괴롭히는 위험한 소프트웨어 오류들과 매우 흡사합니다.
오래된 버그가 여전히 위험한 이유는 무엇입니까?어떻게 고쳐야 할지 몰라요?
현재 MITRE 목록의 여섯 번째는 CWE-89SQL 인젝션 (SQLi) 으로 더 잘 알려져 있습니다.SQLi 취약점은 1998년에 처음 발견되었는데, 당시 많은 사람들이 구글 대신 지브스에게 가장 중요한 질문을 던지곤 했습니다.얼마 지나지 않아 수정 사항이 알려졌지만, 이 방법은 2019년에도 가장 많이 사용된 해킹 기법 중 하나로 남아 있습니다.아카마이의 인터넷 현황 보고서에 따르면 SQLi는 2/3에서 범인이었습니다. 모든 웹 애플리케이션 공격
복잡성에 관한 한, SQL 인젝션은 천재적인 수준의 악용과는 거리가 멀다.이는 웹 개발자를 위한 간단한 해결책이며, 우리는 해야 할 것 이 취약점이 귀중한 데이터를 공격자에게 노출시키지 못하도록 방지하는 방법을 주저 없이 알아두세요... 문제는 오늘날에도 많은 개발자들에게 보안이 우선 순위가 아니라는 것입니다.20년 전에는 이런 일이 더 쉬웠을지 모르지만, 현재와 미래에 엄청난 양의 소프트웨어가 만들어지면서 더 이상 일반적인 일이 될 수 없습니다.
개발자들은 대부분 고장난 시스템에서 작업하고 있습니다.
가만히 앉아서 “잘못된” 코드를 제공한 개발자를 비난하는 것은 너무나 쉽습니다.사실 이들의 우선순위는 보안팀의 우선순위와 크게 다릅니다.보통 개발팀은 아름답고 기능적인 소프트웨어를 가능한 한 빨리 만들라는 말을 듣습니다.소프트웨어에 대한 사회의 끝없는 수요로 인해 개발팀은 이미 확장되어 있고 보안은 주요 고려 사항이 아닙니다. 결국 AppSec 전문가가 존재하는 이유가 바로 여기에 있지 않을까요?소프트웨어 엔지니어는 보안과 다소 냉담한 관계에 익숙합니다. 문제가 발생할 때만 의견을 듣고 그러한 문제로 인해 고된 작업이 지연될 수 있습니다.
반면 AppSec 전문가들은 모든 스캔과 수동 코드 검토에서 계속 나타나는 수십 년 된 오류를 수정하는 데 지쳤습니다.이러한 전문가는 비용이 많이 들고 부족하며, 잘 알려진 버그를 반복해서 없애는 것보다 복잡한 보안 결함에 시간을 투자하는 것이 훨씬 낫습니다.
이들 팀은 암묵적으로 책임을 물어 넘기는 문화가 있지만, 두 팀은 소프트웨어 보안이라는 동일한 목표를 가지고 있습니다 (또는 가져야 합니다).개발자들은 보안 코딩 측면에서 성공할 가능성이 거의 없는 환경에서 일하고 있습니다. 고등 교육 과정에서 보안 모범 사례를 가르치는 경우는 거의 없으며, 실무 교육은 너무 드물거나 전혀 효과가 없는 경우가 많습니다.보안 인식과 심층적인 관련 교육에 대한 강조가 현저히 부족합니다. 그 결과 커밋된 코드의 오래된 버그를 수정하는 데 드는 천문학적인 비용과 평판을 해치는 데이터 침해라는 위협이 임박했습니다.
인적 요소, 일명 “왜 이러한 모든 도구가 데이터를 더 안전하게 만들지 못할까요?”
자주 나타나는 또 다른 문제는 교육 대신 소프트웨어가 출시되기 전에 문제를 찾아내는 작업에 방대한 양의 보안 도구가 투입된다는 것입니다.어레이 애플리케이션 검사 및 보호 도구 (패스트/다스트/라즈/토스트) 는 보안 소프트웨어 제작에 확실히 도움이 될 수 있지만 나름의 문제가 있습니다.이러한 솔루션에 완전히 의존한다고 해서 보안이 보장되는 것은 아닙니다. 이유는 다음과 같습니다.
- 모든 프레임워크의 모든 사용 사례에서 모든 취약점을 검사할 수 있는 “단일” 도구는 없습니다.
- 특히 정적 코드 분석과 동적 코드 분석을 모두 제공하기 위해 동시에 실행할 경우 속도가 느릴 수 있습니다.
- 오탐은 여전히 문제가 되고 있습니다. 이러한 경우 프로덕션이 중단되는 경우가 많으며 경고를 파악하기 위해 불필요한 수동 코드 검토가 필요합니다.
- 이러한 툴이 문제를 해결해 줄 것이라는 기대감으로 보안 코딩의 우선 순위를 떨어뜨리는 등 잘못된 보안 의식을 조성하고 있습니다.
이 도구들은 분명 패치될 수 있는 보안 결함을 찾아낼 것입니다. 하지만 모든 것을 찾아낼 수 있을까요?100% 적중률은 보장할 수 없으며, 공격자는 문 하나만 열어두면 침입하여 하루를 망칠 수 있습니다.
다행스럽게도 많은 조직에서 인적 요소가 작용한다는 사실을 깨닫고 있습니다. 소프트웨어 취약성.대부분의 개발자는 보안 코딩에 대한 충분한 교육을 받지 못했고 전반적인 보안 인식도 낮습니다.하지만 이들은 소프트웨어 개발 라이프사이클의 초기 단계에 있으며, 커밋된 코드에 취약점이 침투하는 것을 막을 수 있는 최고의 위치에 있습니다.처음부터 안전하게 코딩한다면 매년 수십억 달러의 손실을 초래하는 파괴적인 사이버 공격을 방어할 수 있는 최전선이 될 것입니다.
개발자들은 자신의 언어를 구사하고 직무와 관련이 있으며 보안에 대해 적극적으로 관심을 가질 수 있는 교육을 통해 성공할 기회를 얻어야 합니다.버그가 없는 코드는 자부심을 가져야 합니다. 기능적으로 멋진 것을 만들면 동료들의 존경을 받을 수 있는 것처럼 말이죠.
최신 보안 프로그램은 비즈니스 우선 순위가 되어야 합니다.
개발 팀은 부트스트랩을 사용하여 회사 전체에 긍정적인 보안 인식을 제고할 수 없습니다.처음부터 소프트웨어 개발 프로세스에 보안을 적용하려면 올바른 도구, 지식 및 지원이 필요합니다.
MITRE의 목록에 여전히 오래된 보안 버그가 너무 많으면 이전 교육 방법은 분명히 효과가 없습니다. 그러니 새로운 것을 시도해 보세요.다음과 같은 교육 솔루션을 찾아보세요.
- 직접 해볼 수 있습니다. 개발자들은 동영상에서 떠드는 이야기를 보지 않고 “직접 해봄으로써 배우는” 것을 좋아합니다.
- 관련성: 매일 Java를 사용하는 경우 C #으로 교육시키지 마세요.
- 흥미롭고 간단한 학습은 이해하기 쉬우며 개발자가 이전 지식을 바탕으로 계속 발전할 수 있습니다.
- 측정 가능. 그냥 상자에 체크하고 넘어가지 마세요.교육이 효과적인지 확인하고 개선을 위한 경로를 만드세요.
- 재미있습니다. 긍정적인 보안 문화를 지원하는 것 외에도 보안 인식을 구축할 수 있는 방법과 이를 통해 일관된 팀 환경을 조성할 수 있는 방법을 살펴보세요.
보안은 조직 내 모든 사람이 최우선으로 생각해야 하며, CISO는 모든 수준에서 데이터를 더 안전하게 유지하기 위한 노력을 가시적이고 투명하게 진행해야 합니다.내 말은, 누가 똑같은 옛날 노래를 반복해서 듣고 싶겠어?이제 오래된 버그를 영원히 없애는 것에 대해 진지하게 생각해 볼 때입니다.
%20(1).avif)
.avif)
