DevOps 세계의 애플리케이션 보안에는 보안, 개발자 및 운영 직원 간의 훌륭한 팀워크 이상의 것이 필요합니다.
애플리케이션 보안 팀이 DevOps 및 애자일 개발 프로세스에 의해 설정된 신속한 소프트웨어 출시주기를 설명하기 위해 관행을 개선하려고 노력함에 따라 협업이 게임의 이름이었습니다. 보안 리더 및 실무자들은 보안이 소프트웨어 제공 관행과 통합되는 방식을 간소화하기 위해 개발자 및 운영 전문가와 더 잘 통합되어야한다는 요청을 받았습니다.
개발 및 운영과 긴밀한 관계를 조성하면 보안 팀이 DevOps 작업 환경 내에서 의미가 있고 보안 테스트 작업을 자동화하며 개발 및 프로덕션 환경을 지원하는 빠르게 변화하는 클라우드 인프라를 원활하게 검증하고 보호하는 도구를 제공하는 데 이상적으로 도움이됩니다. 또한 협업은 보안을위한 커뮤니케이션 채널을 설정하여 DevOps 팀이 소프트웨어 수명주기 동안 위험을 관리하는 방식을 바꾸는 방법을 교육합니다.
그러나 이러한 모든 목표를 달성하기 위해 보안 조직이 DevSecOps 협업 노력에서 무시하는 하나의 큰 관계 구멍이 있습니다. 이는 경영진과 애플리케이션 소유자 모두에서 비즈니스와 관련이 있습니다.
"프로세스와 절차를 구축 할 때 우리는 보안 그룹으로 비즈니스에 통합되어야합니다."라고 애플리케이션 보안 컨설팅 회사 인 Zero Day Consulting의 CEO이자 발표자 인 Brad Causey는 말합니다. 사이버 보안 크래시 코스 다음 달 초 Interop Digital에서 Dark Reading에서 개최됩니다. “그래서 우리는 그들이 처음 앉아서 [응용 프로그램] 요구 사항에 대해 이야기하기 시작할 때부터 이해하고 참여하고 통합해야합니다. … 보안 팀이 참여해야합니다. "
DevSecOps의 성공을 보장하기위한 이러한 종류의 디자인 사고 방식은“Capgemini 글로벌 DevSecOps Insights 보고서 2020,”컨설팅 회사가 몇 주 전에 발표했습니다. Capgemini 전문가들은 고성능 팀이 하위 50 분위 팀보다 소프트웨어 개발의 설계 및 구축 단계에 보안을 포함 할 가능성이 XNUMX % 더 높다고 설명했습니다.
그러나이를 달성하는 데 방해가되는 큰 장애물은 초기 DevSecOps 프로그램이 성숙 단계를 넘어서 진행되는 것을 방해하는 보안-비즈니스 협업 간극입니다. Causey에 따르면 그 이유는 다음과 같습니다.
“이러한 앱을 소유하고 있기 때문에 비즈니스 측면에서 약간의 동의와 최소한 어느 정도의 이해와 교육을 받아야합니다. 예를 들어 제가 큰 은행에있는 경우 모기지 부서에서 온라인 모기지 신청서를 소유하고 있습니다.”라고 그는 설명합니다. "따라서 그들은 응용 프로그램을 제작할뿐만 아니라 이와 관련된 위험 관리 작업을 이해하고 지시 할 책임이 있습니다."
이러한 애플리케이션 소유자는 DevOps 팀의 우선 순위를 결정하므로 보안에 버그가 발생하지 않는 경우 개발자와의 관계 보안이 얼마나 좋은지는 중요하지 않습니다. 개발자는 이러한 비즈니스 이해 관계자가 설정 한 비트에 맞춰 행진 할 것입니다. .
"저는 경력을 통해 웹 앱에서 펜 테스트를 수행하고 개발자에게 돌아가서"좋아요, 발견 한 취약점이 있습니다. "라고 말하면서이 문제를 수백만 번 본 적이 있습니다. "음, 멋지지만 이번 주에이 새로운 기능을 사용해야하는이 새로운 릴리스에 대해 80 시간을 작업하고 있습니다. 그래서 제가 무엇에 집중하길 원하십니까? '라고 Causey는 말합니다. “그건 내 결정이 아니죠? 그것은 사업부와 응용 프로그램의 후원자에게 달려 있습니다.”
이것은 DevSecOps 팀에서도 보안 전문가의 약 69 %가 개발자가 실제로 버그 수정의 우선 순위를 정하게하는 것이 여전히 어렵다고 말하는 큰 이유 중 하나 일 것입니다.DevSecOps 환경 매핑”GitLab의 설문 조사 보고서.
Interop Digital의 다가오는 세션에서“DevOps 세계에서 애플리케이션 보안 만들기," Causey는 보안과 비즈니스 이해 관계자의 단절의 역학 관계를 파악하고이를 극복하는 방법에 대한 조언을 제공 할 것입니다. 그중 첫 번째는 CISO가 비즈니스 이해 관계자가 AppSec 프로그램을 활용하고 AppSec 목표를 비즈니스 우선 순위에 연결하기 위해 최고 영업 담당자이자 청취자가되어야한다는 것입니다.
Causey는 "그들은 [C-suite] 테이블에 자리가 있기 때문에 독특한 위치에 있습니다."라고 말합니다. “[펜 테스터로서] 저는 그 자리가없고 보안 관리자 나 appsec 담당자 또는 그 어떤 실무자도 마찬가지입니다. 따라서 CISO는 프로그램을 판매하기 위해 조직 내에서 영향력있는 사람들이 많이 있다는 사실을 활용해야합니다.”
프로그램 관리를 보안 실무자에게 넘겨야 할 때가되면 전체 팀은 가치를 추가하고 비즈니스 이해 관계자에게 입증하는 메트릭 및 지원으로 초기 영업 작업을 백업해야합니다. 이는 취약성뿐 아니라 모든 사람이이를 해결하는 데 걸리는 시간과 리소스의 감소를 의미합니다.
그런 다음 관계가 성장함에 따라 CISO는 정치를 관리하고 사이버 보안 통찰력을 비즈니스 언어로 변환하는 대사 역할을 계속해야합니다. 모든 사람이 위험 관리와 기능 제공 사이의 균형을 맞추려고 할 때 마찰이 불가피하게 발생할 때 이는 매우 중요하다고 Causey는 설명합니다.
“그 사람들은 다른 언어를 사용하며, 우리는 그런 문제에 부딪 힐 때 CISO가 우리 뒷주머니에 대사 역할을 맡길 원합니다.”라고 그는 설명합니다.
Ericka Chickowski는 정보 기술 및 비즈니스 혁신 분야를 전문으로합니다. 그녀는 XNUMX 년 동안 정보 보안에 중점을 두 었으며 Dark Reading의 기고자로서 보안 산업에 대해 정기적으로 글을 씁니다. 전체 자료보기
추천 자료 :
더 많은 통찰력
