한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
CISO가 애플리케이션 보안에서 제품 보안으로 전환하는 방법
제품 보안 팀은 appsec 팀과 비교할 때 취하는 심층적인 보안 접근 방식으로 인해 점점 더 인기를 얻고 있습니다. 그러나 여기에는 보안을 의식하는 문화 조성이 포함됩니다.
Shift-Left 보안, 기본 제공 보안, 설계별 보안 등 오늘날 미래 지향적인 기업은 개별 애플리케이션뿐만 아니라 비즈니스 제품의 전체 라이프사이클에 걸쳐 보안을 고려해야 한다는 점을 이해하고 있습니다. 지원하다. 이를 위해 점점 더 많은 기업에서 제품 보안 팀과 제품 보안 담당자를 이러한 변화에 영향을 미치는 방법으로 활용하고 있습니다.
제품 보안은 기존 애플리케이션 보안의 범위를 테스트를 넘어 옹호, 비즈니스 그룹 간 협업, 디자인 사고, 위협 모델링, 아키텍처 계획 및 진정한 위험 관리 영역으로 확장합니다. Appdome의 최고 제품 책임자인 Chris Roeckl은 "제품 보안 팀은 개발 프로세스의 각 단계에 적극적으로 참여함으로써 소프트웨어의 설계, 아키텍처, 코딩, 테스트 및 릴리스에 보안 고려 사항을 포함시키는 데 도움을 줍니다."라고 말합니다. "이러한 사전 예방적 접근 방식은 선순환이며 취약점의 위험을 최소화하고 보안이 최종 제품의 필수 요소임을 보장합니다."
올바르게 수행되면 제품 보안은 DevSecOps 옹호자들이 수년 동안 약속한 것을 이행하는 중요한 수단이 됩니다.
애플리케이션 보안과 제품 보안은 조직이 안전한 소프트웨어를 출시하고 유지하도록 돕는다는 단일한 목적을 공유하지만, 이 목표를 달성하기 위해 각 기능이 수행하는 역할은 다릅니다. Google의 직원 클라우드 보안 옹호자인 Michele Chubirka는 "Appsec은 실제로 테스트, 검증 및 도구 체인에 중점을 두는 반면, 제품 보안은 소프트웨어 개발의 까다로운 인간 부분을 포함하여 전체 SDLC의 비즈니스 규칙을 포괄합니다."라고 설명합니다.
또한 애플리케이션 보안 팀은 강화 작업을 맡은 개별 애플리케이션을 심층 분석하는 반면, 제품 보안은 큰 그림을 그리며 특정 제품을 지원하는 데 도움이 되는 전체 스택의 보안을 엔드투엔드 방식으로 살펴봅니다. “제품 보안은 애플리케이션 보안의 확장입니다. 애플리케이션 보안은 단일 소프트웨어 애플리케이션의 코드와 기능을 보호하는 데 중점을 둡니다.”라고 Contrast Security의 CISO인 David Lindner는 말합니다. "제품 보안은 다양한 구성 요소 간의 통신에서 나타날 수 있는 광범위한 환경과 잠재적인 공격 벡터를 고려하여 전체 기술 제품에 대한 전체적인 관점을 취합니다."
이러한 광범위한 환경에는 동시에 수많은 애플리케이션, 하드웨어 구성 요소 및 관련 서비스가 포함될 수 있습니다. 제품 보안은 함께 배포될 때 보안 상태에 대한 계정입니다.
일부 회사에서는 제품 보안이 외부 고객에게만 집중될 수 있지만 다른 회사에서는 중요한 백엔드 재무 또는 HR 시스템과 같은 내부 프로젝트도 해당 제품 보안 범위 내에 포함되는 것으로 간주합니다. 어느 쪽이든 제품 보안 전망은 더욱 포괄적이라고 글로벌 소프트웨어 개발 회사인 EPAM Systems의 CISO인 Sam Rehman은 설명합니다. "여기에는 운영 및 기술 제어, 전반적인 환경, 클라이언트 ID는 물론 서비스의 잠재적인 문제를 감지하고 대응하기 위한 메커니즘을 포괄하는 더 넓은 범위가 포함됩니다."라고 그는 말합니다.
차이점을 생각하는 한 가지 방법은 애플리케이션을 케이크로 상상하는 것이라고 BlackBerry의 제품 보안 부사장인 Christine Gadsby는 말합니다. 애플리케이션 보안은 케이크 하나를 검사하여 누군가에게 제공하기 전에 케이크가 안전해 보이고 오염 물질이 없는지 확인하는 것과 유사합니다. 한편, 제품 보안은 베이커리에서 케이크를 만드는 방식과 모든 케이크가 안전하고 맛이 좋은지 확인하기 위해 사용하는 도구를 개선하는 프로세스입니다. “제품 보안은 '큰 그림' 접근 방식에 가깝습니다. 전체 베이킹 프로세스는 처음부터 끝까지 각 단계에서 올바른 작업과 프로세스를 구축하여 케이크가 정확히 올바른 구성을 갖고 고객의 섬세함과 요구 사항을 충족하는지 확인합니다. 예민한 팔레트일 수도 있고 수명이 다할 때까지 '신선한' 상태를 유지합니다.”라고 그녀는 말합니다. "조직으로서 제품 보안 팀은 전체 제품 또는 시스템 목록의 보안과 고객이 이를 사용하는 항목(여러 '성분' 또는 여러 케이크가 포함될 수 있음)을 고려해야 합니다."