디지털 제품 설계에 보안을 제공합니다

오늘날 디지털 제품 개발에서 가장 큰 문제 중 하나는 Infosec 또는 DevSecops 팀과 협력하지 못하는 것입니다. 불행히도, 위협은 어디에나 있고 점점 더 정교합니다. 그러나 보안 문제를 해결하는 데 소요되는 시간을 최대 50%까지 줄이는 방법이 있다는 것을 알고 있습니까?

2016 년 DevOps 보고서는 고성능 팀이 저 성과 팀에 비해 보안 문제를 해결하는 데 절반의 시간을 소비했음을 나타내는 연구를 발표했습니다. 그리고 이것에 대한 해결책은입니다 왼쪽으로 이동합니다.

오늘날 대부분의 회사는 분석/디자인, 코딩, 테스트 및 배포와 같은 4 단계 이상의 개발주기를 겪습니다. 보다 전통적인 환경에서 보안은 테스트 작업 중 하나로 세 번째 단계로 들어갑니다.

실제로, 이것은 이러한 문제가 이미 고칠 수없는 비용이 너무 비싸면 팀이 코딩 또는 건축 적 결함을 발견한다는 것을 의미합니다. 따라서 솔루션에 대한 은유는 다음과 같습니다. 우리가 칸반 보드에 이전에 제시된 4 단계를 매핑하면 왼쪽으로 이동하면 토론, 의심 및 위험 평가를 예상하는 것을 의미합니다. 이런 식으로 이러한 문제는 제품을 위해보다 강력하고 효과적이며 저렴한 방법으로 다룰 것입니다.

우리는 보안의 우선 순위가 일반적인 도전임을 알고 있습니다. 비록 중요한 문제이지만 신제품 개발의 배후에있는 대부분의 리더는 이러한 유형의 문제를 우선시하는 데 관심이 없습니다. 가능할 때마다 팀의 기능에 집중하려고합니다. 이러한 이유로,이 유형의 토론을위한 여지가 종종 없습니다. 그래서 우리는 무엇을해야합니까?

다행히도 여러 가지 가능한 솔루션이 있습니다. 주제에 접근하는 한 가지 방법은 제품 발견과 같은 공동 작업 및 몰입 형 세션의 기회를 활용하는 것입니다. 그것은 모든 사람들과 함께 시간과 에너지를 주제에 전념하기에 완벽한시기입니다. 따라서 위협과 취약점을 식별하고 해결하는 두 가지 방법을 보여 드리겠습니다. 페르소나를 통해 그리고 사용자 여행의 기회를 식별함으로써.

적대적인 페르소나와 그들의 여행

사용될 수있는 첫 번째 기술은 적의 또는 기회 주의적 윤곽. 예를 들어, 프리랜서 전문가와 그의 조수가 온라인 서비스의 비밀번호를 공유하는 상황을 생각해보십시오. 이것은 의사의 비서가 환자 및 건강 보험 계획과의 관계를 구축하는 데 많은 노력을 기울이는 의료 부문에서 매우 흔한 사례입니다.

어떤 이유로 든 비우호적 인 방식으로 비즈니스 관계가 고장 나면 사람이 어떤 종류의 손상을 일으키는 방식으로 이러한 자격 증명을 사용할 가능성이 있습니다. 이러한 유형의 상황에서는 지불 설정의 중요한 변경, 다른 환자와의 원치 않는 접촉 및 일정 또는 진단 변경과 같은 유해한 조치를 취할 수 있습니다.

일반적으로 제품 발견 세션에는 페르소나를 매핑하는 제안 된 활동이 있습니다. 이런 종류의 행동을 매핑하려면 제안 된 동일한 페르소나 모델을 사용하는 것이 좋습니다. 거기에서 위의 그림에서와 같이 바이오, 목표, 관심사 및 좌절과 같은 섹션에서 적대적인 특성에 대해 더 깊이 들어가십시오.

페르소나가 설명 된 후에는 여정을 매핑하여 토론을 심화시키는 것이 중요합니다. 여기서 목표는 위협을 올바르게 다루는 방법에 대한 아이디어를 제공하는 행동과 행동을 식별하는 것입니다. AN을 사용할 때 기억하십시오 가해자 배우자료는 그 관점에서 작성해야합니다. 이를 통해 일반적으로 여러 본성의 원치 않는 사건에 대한 설명이 있으며, 예를 들어 솔루션 사용자의 기밀성, 무결성 또는 가용성을 위협 할 수 있습니다.

참여하는 역학의 유형에 따라 일부 사용자 스토리를 작성할 수있는 공간이있을 수 있습니다. 이것이 당신의 경우라면, 세션 촉진자가 모든 사람들을 함께 모아서 활동을 올바르게 수행하는 것이 필수적입니다. 일반적으로 보안 팀원들은 항상 이야기를 작성하는 방법을 알지 못하므로 기여를하는 데 도움이 필요합니다.

다른 사용자 여행에서의 공격자 행동

가능성있는 공격자 행동으로 사용자 여행을 보완하는 것은 소프트웨어 개발 팀이 가능한 빨리 보안을 매핑, 계획 및 해결하는 데 도움이되는 또 다른 기술입니다. 이 접근법에서는 사용자 여행 자료를 활용하고 Insights Zone에 새 행을 추가합니다. 공격자 행동 비슷하게 행동합니다 영형pportunities아래 그림과 같이.

여행 매핑 프로세스를 사용하여 사용자 경험을 설명함으로써 잠재적 인 취약점의 포인트를 강조 할 수있는 좋은 기회가 있습니다. 통찰력과 아이디어가 토론에서 나오면서 사용자와 시스템 간의 상호 작용 지점과 관련하여 문서화되고 위치해야합니다.

이 순간 경제적이지 마십시오. 이미 소프트웨어 아키텍처 구성 요소에 대한 이해가 있다면 플래그를 표시하십시오. 이는 향후 디자인 토론 세션에서 트레이드 오프가 명확 해지고 문제를 관리하는 방법에 대한 더 나은 토론을 생성하고 현재 가장 적합한 솔루션을 제안하는 것이 중요합니다.

공격자 행동에 중점을 둔 적응 된 사용자 여행 모델

위의 그림에서 우리는 친구와의 거래를 목표로 금융 기관 고객의 여정을 볼 수 있습니다. 은행에 대한 글을 읽는 사람들의 비교적 간단한 운영으로, 공격자의 행동의 관점에서 분석 할 수있는 몇 가지 요소가 있습니다. 단순화하기 위해 우리는 여행에서 4 단계 만 취해 보안 관점에서 대화를 심화시키는 세 가지 가능성을 식별했습니다.

이러한 식별을 바탕으로 제기 된 위험을 완화하기 위해 조치 포인트를 설정해야합니다. 질문을 장려하여 주제를 더욱 강조하고보다 강력한 솔루션에 대한 입력을 생성하는 대화의 순간을 확립하는 것이 촉진자의 역할입니다.

이제 제품과 여행에 대해 생각해보십시오. 공격자가 악용 할 수있는 기회를 식별 할 수 있습니까?

마무리

마무리하기 전에 이러한 종류의 세션을 올바르게 계획하는 것의 중요성을 강조 할 기회를 얻으십시오. 귀하의 팀이 주제에 대해 경험이없는 경우, 대안은 기본 정보 보안 개념에만 초점을 맞춘 설계를위한 준비 회의입니다. 그리고 활동 중에, 사례는 개발 팀에 의해 호평을받을 것입니다.

또한, 촉진자의 역할은 매우 중요합니다. 보안 문제를 설계 프로세스에 가져 오는 목표를 맥락화 할 책임이 있습니다. 참가자가 자신에게 기대되는 것을 이해하는 것이 매우 중요합니다.

다음 프로젝트를 설계 할 때 안전을 명심하시기 바랍니다. 위의 기술을 자유롭게 사용하고 결과를 공유하십시오!