조직의 보안 성숙도를 과대평가한 적이 있습니까?
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
전 세계 소프트웨어 요구 사항을 충족하기 위해 작성되는 코드의 홍수와 맞물려 지속적인 기술 부족으로 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.이제 우리의 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈 앞에 펼쳐진 실행 가능한 빠른 성과를 평가할 때입니다.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
대부분의 기업이 성장, 혁신, 디지털 혁신의 급변을 헤쳐나가고 있기 때문에 회사 규모가 커져도 일부 영역이 계속 진행 중인 것은 당연합니다.조직의 사이버 보안 프로그램이 이런 경우가 많은데, 특히 보안 리더가 위험 노출을 증가시키는 새로운 위협, 취약성 및 기술 개발에 한 발 앞서 나가기 위해 고군분투하는 상황에서 그렇습니다.
그러나 지속적인 기술 부족 전 세계 소프트웨어 요구 사항을 충족하기 위해 작성된 코드가 홍수처럼 쏟아지면서 많은 기업이 사이버 보안 전략과 기존 인프라에서 뒤쳐지고 있습니다.그리고 업계가 도구 기반 접근 방식에 집착하는 것처럼 보이기 때문에 제대로 기능하는 방어 프로그램에서는 숙련된 인력의 힘을 놓치는 경우가 많습니다.
이제 전반적인 사이버 보안 성숙도를 정직하게 살펴보고 바로 눈앞에 있는 실행 가능한 빠른 성과를 평가할 때입니다.
지속 가능한 사이버 보안 성숙도는 프로세스입니다.
일반 대중은 모든 기업이 강력한 사이버 보안 프로그램을 갖추고 있을 것이라고 생각하기 쉽습니다. 보호는 올바른 소프트웨어를 선택하고 활성화하여 위협 행위자를 차단하는 방패막처럼 작동시키기만 하면 됩니다.2022년은 그 중 하나가 될 것입니다. 사이버 사고 사상 최악의 해 - 포함 코스타리카 정부 전체가 몸값을 요구받고 있습니다. - 많은 보안 전문가들이 그렇게 간단하기를 바랄 수밖에 없었습니다.
많은 산업, 특히 금융 부문에서는 규정 준수가 중요하고 엄격한 보안 조치를 요구하는 점점 더 복잡해지는 규제 프레임워크에 묶여 있지만 실제로 대부분의 조직은 사이버 복원력이 부족합니다. 절반 이상 전 세계 대기업 중 사이버 공격을 효과적으로 차단하지 못하고 악용된 취약점을 신속하게 찾아 해결하지도 못하는 대기업의 비율
사람, 프로세스, 기술의 모범 사례 (3중 위협) 를 포함하는 정의되고 성숙한 프로그램을 갖춘 고급 조직이라도 위협 환경의 급변하는 요구 사항을 따라잡기가 어려울 수 있습니다.많은 기업이 놓치고 있는 중요한 영역 중 하나는 특히 개발팀의 역할 기반 보안 인식입니다.조직의 모든 구성원은 공격 표면을 줄이는 데 있어 자신이 수행하는 역할을 이해해야 하지만, 매일 코드를 다루고 있는 사람들은 적절한 기술만 갖추면 진정으로 혁신적인 보안 접근 방식의 주도권을 잡을 수 있습니다.
총체적이고 방어적인 보안 프로그램은 지속적인 개선이 필요한 프로그램이며 견고한 토대를 마련하기 위해 세심한 주의를 기울여야 합니다.이러한 기반이 주로 도구 기반이라면 보안 리더가 기대하는 수준보다 성숙도가 낮을 가능성이 높습니다.포네몬 연구소 (Ponemon Institute) 의 연구에 따르면 기업 중 53% 는 보안 기술 스택이 보안 침해를 효과적으로 막을 수 있을지 확신하지 못했습니다., 그리고 인적 오류가 주요 원인 크고 작은 기업에 대한 성공적인 사이버 공격으로 인해 개발자들이 전략적 보안 향상에서 벗어나는 사례가 잇달아 발생하고 있습니다.
개발자를 소프트웨어 보안 우수성의 원동력으로 삼기
사이버 공격을 둘러싼 불편한 진실은 거의 모든 경우에 공격자가 보안 성숙도 여정의 어느 단계에 있든 관계없이 대상 기업에 비해 뚜렷한 우위를 점하고 있다는 것입니다.이들은 악용할 약점을 꼼꼼히 찾아낼 시간, 도구, 동기가 있으며, 이를 뚫고 수익을 창출하는 데 전념합니다.
반면 조직은 비즈니스와 고객의 요구 사항을 모두 충족하고 있으며 눈에 띄는 사이버 공격이라는 엄청난 위험을 감당할 수는 없지만 결국 성능을 저해할 수 있는 풍부한 보안 제어를 수용하기 위해 비즈니스 운영 속도가 느려지는 것은 현실적이지 않습니다.보안에 능숙한 개발자가 사이버 방어 성과에서 가장 중요한 역할을 하는 이유가 바로 여기에 있습니다.
기존에는 개발자가 보안에 대한 책임을 의미 있는 방식으로 분담할 수 없었다는 사실은 오래 전부터 확립되어 왔지만, 이는 더 나은 방향으로 바뀔 수 있고 또 변해야 합니다.조직은 개발 집단을 위한 실행 가능한 기술 향상 경로를 만들 수 있지만, 자신의 세상에 맞는 방식으로 관련 교육 자료를 제공하는 교육 옵션을 선택해야 합니다.최소한 조직이 적극적으로 사용하는 언어와 프레임워크로 정보를 전달하고 코드베이스에서 발생할 가능성이 가장 높은 취약점을 해결해야 합니다.
개발자의 워크플로를 염두에 두고 교육 과정을 구성하면 일반적인 취약점과 잘못된 구성을 지속시키는 잘못된 코딩 패턴을 시간이 지남에 따라 소프트웨어 품질을 크게 향상시키는 우수하고 안전한 패턴으로 대체될 가능성이 훨씬 커집니다.품질이 낮은 소프트웨어는 미국에 손해를 입힙니다. 올해만 2조 4천억 달러그리고 이는 위험한 기술적 부채를 야기하는 오류의 악순환을 끊어야만 해결할 수 있습니다.
사람이 주도하는 문제를 해결하는 데 필요한 인적 역량을 활용하는 보다 긍정적이고 총체적인 보안 프로그램을 만들기 위한 조직 차원의 노력이 필요합니다.미래의 헤드라인에서 벗어나는 것이 필수적이라면 분명 그만한 가치가 있습니다.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
