버그가 없는 소프트웨어는 없겠죠? 이것은 일반적인 정서이지만 우리는 일상적인 디지털 생활에서 소프트웨어에 버그가 없다는 전제에 의존하는 가정을 합니다. 우리는 ID 공급자(IDP)가 인증 권한을 얻고 운영 체제가 사양을 완벽하게 준수하며 금융 거래가 항상 의도한 대로 수행되도록 신뢰합니다. 훨씬 더 생생하게 우리는 물리적 안전과 함께 소프트웨어를 신뢰합니다. 비행기를 타다, 차선 준수 또는 앞차와의 거리를 적극적으로 교정하는 자동차를 운전하거나 특정 수술을 받는 것. 무엇이 이것을 가능하게 합니까? 또는 다른 말로 하면 나쁜 소프트웨어 때문에 비행기가 하늘에서 떨어지지 않는 이유는 무엇입니까?
소프트웨어 품질 보증은 과학 및 엔지니어링 도구에서 차용합니다. 소프트웨어 품질을 보장하고 개선하는 한 가지 방법은 소프트웨어를 홍보하고 가능한 한 많은 사람들에게 소프트웨어를 깨뜨리려는 동기를 부여하는 것입니다.
다른 하나는 엔지니어링에 기반을 둔 설계 패턴 또는 웰 아키텍처 프레임워크를 사용하는 것입니다. 예를 들어, 모든 소프트웨어 프로젝트가 수십 년 동안 정밀 조사를 받아온 Linux 커널과 같은 수준의 정밀 조사를 받을 수는 없지만, 소프트웨어 프로젝트는 소스 코드를 공개하여 조사를 요청하거나 코드를 제출하여 감사를 받을 수 있습니다. 보안이 보장됩니다.
물론 테스트도 있습니다. 정적이든 동적이든 실시간이든 개발자나 전담 팀이 수행하는 테스트는 소프트웨어 개발의 주요 부분입니다. 중요한 소프트웨어의 경우 테스트는 일반적으로 특정 전문 지식을 가진 별도의 팀에서 처리하는 완전히 별도의 프로젝트입니다.
테스트는 좋지만 포괄적이라고 주장하지는 않습니다. 우리가 모르는 버그가 무엇인지 모르기 때문에 모든 버그를 찾았다는 보장이 없습니다. 이미 Linux 커널 버그의 99%를 찾았습니까? 50%? 10%?
'절대적' 주장
공식적인 방법의 연구 분야는 주식 중개인이나 인증 기관과 같은 특정 소프트웨어에 버그가 없음을 확인하는 방법을 찾고 있습니다. 기본 아이디어는 소프트웨어를 모든 것이 잘 정의된 수학으로 변환한 다음 소프트웨어가 버그 없이 작동한다는 실제 증거를 만드는 것입니다. 그렇게 하면 모든 숫자를 소수의 곱으로 분해할 수 있는 것과 같은 방식으로 소프트웨어에 버그가 없는지 확인할 수 있습니다. (저는 버그가 무엇인지 정의하지 않는다는 점에 유의하십시오. 나중에 살펴보겠지만 이것은 문제가 될 것입니다.)
형식적 방법 기술은 중요한 소프트웨어에 오랫동안 사용되어 왔지만 극도로 컴퓨팅 및 노력 집약적이어서 칩 펌웨어 또는 인증 프로토콜의 제한된 부분과 같은 소프트웨어의 작은 부분에만 적용되었습니다. 최근 몇 년 동안 고급 정리 증명은 다음과 같습니다. Z3 와 콕 더 큰 맥락에서 이 기술을 적용할 수 있게 되었습니다. 이제 정식으로 확인된 프로그래밍 언어, 운영체제및 컴파일러 사양에 따라 작동하도록 100% 보장됩니다. 이러한 기술을 적용하려면 여전히 고급 전문 지식과 엄청난 컴퓨팅 성능이 모두 필요하므로 대부분의 조직에서는 엄청나게 많은 비용이 듭니다.
주요 클라우드 공급자는 높은 수준의 보안 보증에 도달하기 위해 기본 스택에 대한 정식 검증을 수행하고 있습니다. 아마존 와 Microsoft 스토리지 또는 네트워킹과 같은 중요한 인프라에 공식적인 검증 방법을 통합하기 위해 엔지니어링 팀과 협력하는 전담 연구 그룹이 있습니다. 예를 들면 다음과 같습니다. AWS S3 및 EBS 와 Azure 블록체인. 하지만 정말 흥미로운 사실은 지난 몇 년 동안 클라우드 제공업체가 노력 상품화하다 고객에게 판매하기 위한 공식 검증.
잘못된 구성을 결정적으로 해결하시겠습니까?
작년에 AWS는 공식 검증을 활용하여 오랫동안 고객을 괴롭혀 온 문제인 네트워크 및 ID 및 액세스 관리(IAM) 구성 오류에스. 네트워크 액세스 및 IAM 구성은 단일 계정의 경우에도 복잡하며 분산된 의사 결정 및 거버넌스를 사용하는 대규모 조직에서는 복잡성이 크게 증가합니다. AWS는 고객에게 "S3 버킷이 인터넷에 노출되어서는 안 됩니다" 또는 "EC2 인스턴스에 대한 인터넷 트래픽은 방화벽을 통과해야 합니다"와 같은 간단한 제어 기능을 제공하고 가능한 모든 구성 시나리오에 적용하도록 보장함으로써 문제를 해결합니다.
다음과 같은 AWS 관련 문제의 경우에도 구성 오류 문제를 해결한 것은 AWS가 처음이 아닙니다. 오픈 S3 버킷. CSPM(클라우드 보안 태세 관리) 공급업체는 가상 포트 채널(VPC) 구성 및 IAM 역할을 분석하고 권한이 너무 느슨한 경우, 보안 기능이 제대로 사용되지 않는 경우, 데이터가 노출될 수 있는 경우를 식별하여 한동안 이 문제를 해결해 왔습니다. 인터넷에. 새로운 소식있어?
글쎄, 이것은 절대적인 보증이 들어오는 곳입니다. A CSPM 솔루션 잘못된 구성 또는 알려진 구성 오류 목록을 생성하고 때로는 환경에서 컨텍스트를 추가하고 그에 따라 결과를 생성하는 방식으로 작동합니다. 네트워크 및 IAM 분석기는 잠재적인 모든 IAM 또는 네트워크 요청을 검사하고 사양에 따라 원하지 않는 액세스(예: "인터넷 액세스 없음")가 발생하지 않도록 보장함으로써 작동합니다. 차이점은 위음성에 대한 보장에 있습니다.
AWS는 아무것도 놓친 적이 없다고 주장하지만 CSPM 공급업체는 항상 카탈로그화하고 감지할 새로운 구성 오류를 경계하고 있다고 말합니다. 이는 이전에 이러한 구성 오류를 감지하지 못했다는 것을 인정하는 것입니다.
공식 검증의 일부 결함
공식 확인은 메모리 보안 문제와 같이 잘 정의된 문제를 찾는 데 유용합니다. 그러나 논리적 버그를 찾으려고 할 때 코드가 실제로 무엇을 해야 하는지 지정해야 하기 때문에 상황이 어려워집니다.
우선 공식적인 검증을 위해서는 잘 정의된 목표를 지정해야 합니다. 인터넷 액세스 방지와 같은 일부 목표는 간단해 보이지만 실제로는 그렇지 않습니다. AWS IAM 분석기 설명서에는 전체 섹션 "공공"의 의미를 정의하고 경고로 가득 차 있습니다. 그것이 제공하는 보증은 그것이 코딩한 수학적 주장만큼만 좋습니다.
적용 범위에 대한 질문도 있습니다. AWS 분석기는 몇 가지 주요 AWS 서비스만 다룹니다. 아웃바운드 연결 채널을 통해 트래픽을 네트워크로 라우팅하면 분석기가 알 수 없습니다. 일부 서비스가 두 개의 IAM 역할에 액세스할 수 있고 이를 결합하여 기밀 공용 버킷에서 읽고 공용 버킷에 쓸 수 있는 경우 분석기는 알 수 없습니다. 그럼에도 불구하고 잘못된 구성 문제의 일부 잘 정의된 하위 집합에 대해 공식 검증은 이전보다 더 강력한 보증을 제공합니다.
위에서 제기된 상대적 이점 질문으로 돌아가서 차이점은 IAM 및 네트워크 분석기는 감지된 문제 목록이 포괄적이라고 주장하는 반면 CSPM은 해당 목록이 오늘날 알려진 모든 잘못된 구성을 포함한다고 주장한다는 것입니다. 핵심 질문은 다음과 같습니다. 관심을 가져야 합니까?
절대 보장에 관심을 가져야 합니까?
다음 시나리오를 고려하십시오. CSPM을 소유하고 AWS 네트워크 및 IAM 분석기를 확인합니다. 둘의 결과를 비교하면 정확히 동일한 문제를 식별했음을 알 수 있습니다. 약간의 노력을 기울이면 해당 목록에 있는 모든 문제를 해결할 수 있습니다. CSPM에만 의존하면 현재 상태가 양호하다고 느끼고 다른 곳에 보안 리소스를 전담할 수 있습니다. 혼합에 AWS 분석기를 추가하면 이제 AWS 보증으로 좋은 위치에 있음을 알 수 있습니다. 동일한 결과입니까?
정식 검증의 주의 사항을 무시하고 문제를 100% 포착한다고 가정하더라도 CSPM과 같은 탐지 기반 서비스에 대한 이점을 측정하는 것은 자체 보안 위험 선호도가 있는 모든 개별 조직에 대한 연습이 될 것입니다. 어떤 사람들은 이러한 절대적인 보장이 획기적이라고 생각하는 반면 다른 사람들은 아마도 기존 통제를 고수할 것입니다.
이러한 질문은 CSPM에만 국한되지 않습니다. 예를 들면 SAST/DAST/IAST 웹 애플리케이션 보안 테스트 도구와 정식으로 검증된 소프트웨어에 대해 동일한 비교를 할 수 있습니다.
개별 조직의 선택과 상관없이 이 새로운 기술의 한 가지 흥미로운 부작용은 보안 솔루션의 거짓 부정률을 측정하기 시작하여 벤더가 더 나아지도록 하고 개선이 필요한 부분에 대한 명확한 증거를 제공하는 독립적인 방법이 될 것입니다. 이것은 그 자체로 사이버 보안 산업에 엄청난 기여를 합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/edge-articles/are-100-security-guarantees-possible-
