웹 애플리케이션 보안 결함을 유발하는 잊혀진 인적 요소
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
2018 Verizon 데이터 침해 조사 보고서는 조직이 보안 프로그램을 발전시키는 데 도움이 될 수 있는 최신 사이버 범죄 동향 및 사고 요인, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 유용한 자료입니다.올해 Verizon 조사관은 53,000건 이상의 사건과 2,200건 이상의 보안 침해 사례를 분석했습니다. 그 결과, 주의해야 할 사항과 하지 말아야 할 사항에 대한 가시적인 시사점과 보안 노력을 어디에 집중해야 하는지에 대한 귀중한 권장 사항이 많이 있습니다.2018년 보고서는 시대와 함께 진화한 것으로 보입니다. 이는 보안에 미치는 영향이 확산됨에 따라 더 많은 비즈니스 청중과 관련이 있으며, 점점 더 주류 비즈니스 문제로 인식되고 있습니다.
많은 흥미로운 연구 결과 중에서도 2018년 보고서는 대부분의 해킹이 여전히 웹 애플리케이션 침해를 통해 발생한다는 것을 확인했습니다 (심지어 이것을 보여주는 멋진 대화형 차트).
웹 애플리케이션 공격은 웹 애플리케이션이 공격의 벡터였던 모든 인시던트로 구성됩니다.여기에는 인증 메커니즘을 방해하는 것뿐만 아니라 애플리케이션의 코드 수준 취약점을 악용하는 것도 포함됩니다.고객 소유 디바이스에서 도용한 자격 증명을 사용하여 웹 애플리케이션에 대한 봇넷 관련 공격을 필터링했기 때문에 이러한 패턴의 보안 침해 건수가 줄어들었다는 점은 주목할 만합니다.웹 애플리케이션과 관련된 보안 침해에서는 여전히 도난당한 자격 증명을 사용하는 것이 가장 큰 해킹이며 SQLi (SQL에 대해서는 나중에 자세히 설명...) 가 그 뒤를 잇습니다.
올해 보고서에서 눈에 띄는 주제 중 하나는 문제의 일부이자 해결책으로서 보안 방정식에서 “인적 요소”가 얼마나 중요한지입니다.이 보고서는 외부 및 내부 행위자를 모두 다루며, 보안 침해 5건 중 1건 (17%) 의 핵심에는 오류가 있다고 보고했습니다.보안 침해는 직원들이 기밀 정보를 파쇄하지 못했을 때, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버를 잘못 구성했을 때 발생했습니다.보고서에 따르면 이들 중 의도적으로 악의적인 의도는 없었지만 모두 비용이 많이 들 수 있습니다.
그러나 종종 잊혀지는 인적 요인으로 인해 많은 보안 침해가 발생합니다. 바로 개발자가 보안 결함이 포함된 코드를 만드는 빈도가 높아 웹 애플리케이션 취약점으로 이어져 결국 이러한 사고와 침해가 발생한다는 것입니다.
지난 5년 동안 애플리케이션을 테스트한 결과 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 기존 결함이 계속해서 발생하고 있습니다.400,000건의 애플리케이션 스캔을 기반으로 한 2017년 Veracode 보고서에 따르면 애플리케이션이 OWASP Top 10 정책을 통과한 경우는 30% 에 불과합니다.놀랍게도 SQL 인젝션은 작년을 포함하여 지난 5년 동안 새로 스캔한 애플리케이션 세 개 중 거의 한 개에서 나타났습니다. 놀랍게도 SQL 인젝션은 1999년부터 사용되어 왔기 때문입니다.SQL 인젝션을 비롯한 동일한 결함이 지속적으로 발견된다는 사실은 개발자들 사이에서 발생하는 이러한 “인적 요소” 문제가 적절하게 해결되지 않고 있다는 증거입니다.
이 시점에서 저는 일어서서 이 논쟁의 개발자 편이라고 외쳐야 합니다.보안 코드가 왜 중요한지, 안전하지 않은 코드가 가져올 결과, 그리고 무엇보다도 애초에 해당 프로그래밍 프레임워크에서 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자들은 어떻게 보안 코드를 작성해야 할까요?
이것이 바로 Secure Code Warrior에서 하고 있는 일이며, 개발자의 일상 생활에 직접 보안 코드 교육을 도입하는 회사가 생성되는 웹 애플리케이션 취약점의 수를 줄이고 있다는 강력한 증거를 보고 있습니다.개발자가 보안 코드를 작성하려면 보안 코딩 기술을 익히는 데 적극적으로 참여할 수 있는 실습 학습을 정기적으로 이용할 수 있어야 합니다.개발자들은 실제 코드, 특히 자신의 언어/프레임워크에서 최근에 발견된 취약점에 대해 배워야 합니다.이러한 학습 경험은 학생들이 알려진 취약점을 찾아 식별하고 해결하는 방법을 이해하는 데 도움이 될 것입니다.또한 개발자는 프로세스에서 보안을 쉽게 수행하고 속도를 늦추지 않으며 좋은 코딩 패턴과 나쁜 코딩 패턴을 실시간으로 안내하는 양질의 도구 세트가 필요합니다.
이를 통해 웹 애플리케이션 침해 건수에 가시적이고 긍정적인 변화를 가져올 수 있습니다.
저는 전사적으로 보안 인식 교육을 강화할 필요가 있다는 Verizon의 의견에 전적으로 동의합니다.이에 대해 CIO와 CISO에게 보내는 저의 PS는 “개발자를 잊지 마세요!” 입니다.이러한 현대 비즈니스 설계자는 해커를 위한 액세스 포인트를 일상적으로 생성하는 중요한 “인적 요소” 중 하나일 수도 있고, 최전방 방어선, 보안 영웅이 될 수도 있습니다.
개발자를 위한 효과적인 보안 기술 향상은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 변화를 가져올 수 있습니다.2019년 보고서에는 개발자 보안 교육이 기업이 취할 수 있는 주요 위험 감소 전략으로 반영되어 있으면 좋을 것 같습니다.저는 낙관론자이지만, 만약 기업들이 개발자들에게 인젝션 결함을 방지하는 방법을 배우게 한다면 이 보고서에 나오는 웹 애플리케이션 취약점의 수가 크게 줄어들 것이라고 장담합니다.
우리의 플랫폼을 실제로 살펴보고 개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 기술을 향상시킬 수 있는지 확인해 보세요.
아무도 보안 코드가 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 애초에 해당 프로그래밍 프레임워크에 이러한 취약점이 작성되지 않도록 방지하는 방법에 대해 아무도 가르쳐주지 않는다면 개발자는 어떻게 보안 코드를 작성해야 할까요?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
