가장 기본적인 수준에서 보안을 우선시하는 소프트웨어는 추가 기능이 아닌 고객 보안을 핵심 목표로 하여 시스템을 설계하는 것을 의미합니다. 그리고 공격자가 공급망을 더 자주 표적으로 삼기 시작하면서 설계에 따른 보안이라는 개념이 점점 더 중요해지고 있습니다.
NetRise의 CEO인 Thomas Pace는 “그들은 공급망을 성공적으로 활용함으로써 더 큰 영향을 미칠 수 있다는 것을 이해하고 있습니다.”라고 말합니다. EDR, 방화벽, 스팸 필터와 같은 기존 보안 솔루션은 정면 공격을 효과적으로 차단해 왔기 때문에 공격자는 체인에서 더 높은 곳을 찾아야 한다고 말합니다.
그리고 함께 붙여넣은 시스템은 바로 그런 종류의 개방성을 제공합니다. ForAllSecure의 CEO인 David Brumley는 "기업과 공급업체가 사후에 보안을 '강화'하려고 하면 사이버 공격이 더 쉬워집니다."라고 말합니다. "이것은 자동차에 애프터마켓 스테레오를 설치하는 것과 같습니다. 정확히 작동하지 않습니다."
전 세계적으로 소프트웨어 보안을 강화하기 위해 CISA(사이버보안 및 인프라 보안국)는 소프트웨어 개발 수명 주기에서 "설계에 따른 보안" 원칙을 수용하여 개발 방식을 혁신하는 것을 목표로 하는 이니셔티브를 제안했습니다. 이는 사전 예방적 보안 조치를 향한 중추적인 변화를 반영합니다.
XNUMXD덴탈의 정보를 요구하다 반복되는 소프트웨어 취약점을 해결하고, 운영 기술을 강화하며, 보안 관행이 비용에 미치는 영향을 평가하는 데 중점을 둡니다. 20년 2024월 XNUMX일까지 공개되는 의견 요청에서는 기술이 본질적으로 안전하고 안전한 미래를 육성하는 데 있어 기술 제조업체와 소비자의 공동 책임을 강조합니다.
Brumley는 "설계에 의한 보안은 보안이 처음부터 소프트웨어를 구축하는 방법의 일부라는 것을 의미합니다."라고 설명합니다. "이는 공격에 훨씬 더 강력하다는 것을 의미합니다."
기본 수준의 보안
Qualys Threat Research Unit의 사이버 위협 책임자인 Ken Dunham은 조직이 클라우드로 마이그레이션하거나 클라우드 사용을 시작하기 전에 설계에 따른 보안이 운영의 아키텍처 및 위험 관리 원칙에서 시작된다고 설명합니다.
“이것은 현대적이고 복잡한 하이브리드 인프라의 중요한 요소입니다.”라고 그는 말합니다. “책임 공유의 세계에서 조직은 사내에서 완전히 소유하고 관리하는 위험과 제3자와 공유해도 되는 위험, 잠재적으로 더 높은 위험에 처할 수 있는 위험을 결정해야 합니다.”
그는 소프트웨어 제조의 라이프사이클이 점점 더 복잡해지고 있으며, 위험을 줄이기 위해 보안을 유지해야 하는 이해관계자가 많다고 지적합니다. Dunham은 "기능과 사용자 경험에 관심이 있는 개발자가 보안 코딩 원칙, 현대 공격, 보안 대책 및 SecOps에 능숙합니까?"라고 묻습니다.
조직의 보안 기대는 온보딩 팀에게 비즈니스 아키텍처 내에서 소프트웨어를 적절하게 출시, 구성 및 모니터링하도록 압력을 가하고 있습니다. "귀사의 사고 대응 및 사이버 위협 인텔리전스 서비스는 얼마나 성숙합니까?" 그는 묻습니다. "엄청난 속도로 복잡한 침입 공격이 발생할 수 있는 하이브리드 클라우드 세계에서 이들을 신뢰하십니까?"
Brumley는 “적절한 인력을 확보하면 프로세스를 잘 이해할 수 있습니다.”라고 동의합니다. "심층적인 방어를 통해 제품을 설계하고, 종속성과 타사 소프트웨어가 최신 상태인지 확인하고, 퍼징과 같은 최신 기술을 사용하여 알려지지 않은 취약점을 찾아냅니다."
Brumley에게 기본적으로 보안이란 사람들이 소프트웨어를 사용하는 방식에 맞춰 보안을 설계하는 것을 의미합니다. "여러 원칙을 포괄하는 설계 원칙이 있습니다. 초고층 건물을 지을 때와 마찬가지로 구조적 지원부터 에어컨까지 모든 것을 고려해야 합니다."라고 그는 설명합니다.
IT 보안에 패러다임 전환이 필요하다
Dunham은 2023년이 예제로 가득 어디에 경쟁 조건 0일 동안 존재했습니다. 취약점은 이전보다 더 빠르게 악의적인 행위자에 의해 역전되고 무기화되었습니다. 조직에서는 패치를 적용할 수 있습니다..
“이런 시간이 지나도 여전히 Log4J 취약점을 패치하는 데 어려움을 겪는 조직이 있습니다.”라고 그는 지적합니다.
그는 취약점과 관련된 악용 및 공격 위험이 증가할 때 앞서 나가기 위해서는 조직이 내부 및 외부의 공격 표면을 식별하고 이에 따라 자산 및 위험 관리의 우선순위를 지정해야 한다고 말했습니다.
Pace의 관점에서 IT 보안 산업은 위험을 고려하는 방법과 위험의 우선순위를 가장 잘 지정하는 방법에 대한 패러다임의 변화를 거쳐야 하며 이는 공급망에 대한 가시성이 있어야만 가능합니다. 그는 "매우 큰 조직"이 해당 시스템을 성실하게 업데이트할 때 보안 시스템에 어떤 종속성이 있는지 알지 못했던 예를 공유했습니다. “업데이트 후 취약점 스캐너로 검사한 결과 최근에 발생한 것으로 확인되었습니다. 심각한 Apache Struts 취약점 참석했다”고 말했다. "이제 이 조직은 조직에 심각한 위험을 초래했습니다."
IoT 시대의 보안 설계
Viakoo의 Viakoo Labs 부사장인 John Gallagher는 처음에는 설계 고려 사항으로 보안을 고려하지 않았을 수도 있는 사물 인터넷(IoT)의 일부와 같이 수명이 긴 장치에 보안을 설계하는 것이 핵심 과제 중 하나라고 말했습니다.
“이를 위해서는 보다 광범위한 테스트가 필요하며 새로운 엔지니어링 리소스가 필요할 수 있습니다.”라고 그는 말합니다. "마찬가지로 새로운 보안 기능을 구축하는 것은 새로운 보안 취약점을 발생시키는 방법입니다."
Gallagher는 소프트웨어 제조업체가 취약점을 보다 신속하게 찾아 해결하기 위해 소프트웨어 자재 명세서(SBOM)를 활용해야 한다고 말했습니다. 그는 기업들이 설계 방식에 따른 보안을 신제품에 통합하고 있으며 이는 궁극적으로 시장에서 경쟁 요소가 될 것이라고 지적합니다.
“MFA 및 제한된 액세스 권한 외에도 기본 비밀번호를 제거하고 펌웨어를 보다 쉽고 빠르게 업데이트할 수 있는 메커니즘을 제공하는 등의 다른 조치도 제품에 설계되고 있습니다.”라고 그는 말합니다.
"모호함을 통한 보안"을 피하는 것도 보안 설계의 또 다른 원칙이라고 Gallagher는 지적합니다. 예를 들어 SBOM 및 오픈 소스 소프트웨어는 소프트웨어 코드에 대한 투명성을 제공하여 보안을 제공합니다.
Pace는 기본 보안 및 설계 보안과 관련하여 가장 기대되는 영역 중 하나가 소프트웨어 공급망에 대한 가시성이 훨씬 향상된다는 점이라고 말합니다. "이러한 가시성이 달성되면 우리는 근본적인 수준에서 문제가 어디에 있는지 진정으로 이해하기 시작한 다음 합리적인 방식으로 문제의 우선순위를 지정하기 시작할 수 있습니다."라고 그는 말합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
