출처 : https://techcrunch.com/2018/02/27/hunter2-wants-to-teach-engineers-to-handle-web-app-security-with-a-hands-on-approach/?ncid=rss
작년 말 Equifax 가 최근 역사상 최대의 보안 침범 중 하나 인 Fletcher Heisler가 엔지니어가 바로 발생한 문제와 수정 방법을 정확히 알고 싶었던 때였습니다.
이는 Hunter2 의 목표 중 하나입니다. 이러한 온라인 학습 플랫폼은 이러한 종류의 위반 사항을보다 손쉽게 처리 할 수있는 방법을 가르쳐 주도록 고안되었습니다. Hunter2는 실제 시나리오를 중심으로하는 교육 실험실을 중심으로 엔지니어가 웹 앱이 왜 고장 났는지와이를 수정하는 방법을 정확히 가르치는 것을 목표로합니다. 엔지니어는 Equifax 해킹과 같은 실제 이벤트를 기반으로 구축 된 일부 시나리오가 포함 된 완벽한 기능의 서버에서 실행되는 반응 형 웹 앱을 통해 작업합니다. 그것은 본질적으로는 발생되지 않는 것을 제외하고 그들은 그것을 깰 그것을 해결하려고 게임처럼, 아주 현실 세계에서. Hunter2는 Y Combinator의 겨울 2018 클래스에서 시작됩니다.
"우리는 업계에서 일어나는 일과 야생에서 일어나는 일들의 맥락에서 모든 교훈을 유지하려고 노력합니다."라고 Heisler는 말했습니다. "우리는이 취약점을 완벽하게 복제하는 실험실을 20 분 안에 세웁니다. 엔지니어는 연습을 할 수 있습니다. 우리는 그들을 훈련시킵니다 - 여기에 무슨 일이 일어나는지, 그들이해야 할 일이 있습니다. 다음은 따라야 할 모범 사례이며 코드를 패치 할 것입니다. 초록에서 주제를 가르치고 SQL 인젝션을 조심하라고 말하면 그것은 일어난 일에 이것을 묶는 또 다른 문제입니다. "
Hunter2는 매년 웹에서 현재의 보안 환경에 대한 최신 소식을 확인하기 위해 매년 몇 시간 동안 체크인하는 회사 내의 엔지니어 교육 프로그램에 대한 응답으로 태어났습니다. 그러나 개발 언어가 계속해서 빠르게 발전하고 NodeJS와 같은 새로운 프레임 워크가 점점 더 대중화되면서 이러한 프로그램은 때때로 캐치 업 모드로 자리 매김하고 있다고 Heisler는 말했습니다. 즉, 일반적인 비디오 클래스보다는 접근 방식이 더 실용적 일 필요가 있습니다.
엔지니어들은 자신의 강점과 약점을 파악하기 위해 많은 도전 과제를 겪습니다. 문제가 생기면 일을해야하는 기술에 대해 더 깊이 들어갑니다. 발생하는 문제를 해결하기 위해 모든 올바른 기술을 알고 있는지 확인하는 일상적인 체크인을 제외하고는 대규모 조직에 필요한 규정 준수 교육과 같은 것으로 생각하십시오.
예를 들어 건강 관리와 같이 보안에 대해 더 많이 의식해야하는 산업이 많이 있으며, 엔지니어가 교육을 받고 새로운 시나리오가 준비 될 때이를 확인해야합니다. Hunter2는 이러한 회사에 합류하기위한 일종의 진입을 목표로하고 있으며, 엔지니어는 매월 2 시간 동안 다시 그 근육을 작동시키고 있는지 확인하기 위해 다시 점검 할 것입니다. 회사는보고있는 컨텐츠를 자신의 종류의 취약점으로 사용자 정의 할 수 있으며 Hunter2는 엔지니어가 작업 할 수 있도록 컨텐츠를 작성하는 데 도움을줍니다.
"슬라이드 데크와 비디오를 기반으로하기 때문에 전통적인 교육에 문제가 있습니다. 업데이트하는 것이 훨씬 어렵습니다."라고 Heisler는 말했습니다. "새로운 기술에 대한 최신 정보를 얻는 데는 많은 시간이 필요합니다. 우리가 기적적으로 다음 해 또는 2 년 사이에 50 만명의 사이버 보안 전문가를 창출하는 것은 아닙니다. 우리가 할 수있는 일은 단지 기본적인 기술을 개발자가 아닌 기술자가되는 수많은 사람들에게 가르치는 것입니다. 그것은 앞으로 2 년 동안 모든 역할에서 훨씬 더 근본적인 부분이 될 것입니다. 그렇게하면 우리는 보안 기술을 기술 분야에서 일하거나 기술에 익숙하지만 올바른 사고 방식을 가져줌으로써 많은 시간과 돈을 절약 할 수 있습니다. "
시뮬레이션 된 환경에서 가르치는 아이디어는 점점 더 많은 관심을 모으고있는 분야입니다. Codecademy와 같은 사이트를 살펴보면, 사람들이보다 현실적인 시나리오를 코딩하고 시작하는 방법을 가르치기 위해 시계 보다는 do 에 초점을 맞추려고하는 곳이 있습니다.
최대 동결의 종류 알아 내려고 - 당신이 프로그램하는 방법을 학습하는 과정에 있다면 결국, 당신에게 줄 것이다 충고 사람들의 조각 중 하나는 "프로젝트에 대한 작업을 이동"아마 어떤 프로젝트의 종류 이러한 기술을 적용하는 법을 배우기 위해 진입 장벽이 될 수 있습니다. Hunter2는 이러한 문제를 처리하는 방법을 가르치는 방법에 대한 고유 한 풍미를 제공하기 위해 시뮬레이션이 아닌 이러한 종류의 시나리오를 처리 할 자체 가상 환경을 구축하는 것을 목표로합니다.
"실제로 액세스 권한을 완전히 제어 할 수는 없습니다. 우리가 한 일은 왼쪽에 레슨을, 오른쪽에 서버를 놓는 것입니다 "라고 Heisler는 말했습니다. "몇 가지 비슷한 플랫폼이 있지만 액세스가 시뮬레이트됩니다. 차이점은 건반 연습에 시간이 있다는 것입니다. 악용하거나 패치 할 시간을 갖는 것이 교훈을 가르치는 올바른 방법 인 것처럼 보입니다. 나는 전통적인 보안으로부터 오는 많은 보안 교육이 사실이나 학문적 공간에서 오는 것이라고 생각한다. "