소프트웨어 공급업체는 귀하만큼 보안에 신경을 쓰나요?
이 기사의 버전은 Security Magazine에 실렸습니다. 여기에서 업데이트되고 신디케이트되었습니다.
보안 전문가에게는 12 월 13 일에 특별한 것이 있습니다. 우리가 마침내 SQL 주입을 영원히 근절한 날입니까? 물론 아니에요. 아마도 그것은 "국제 안보 노동자 감사의 날"일까요? 또한 아니오. FireEye와 Mandiant가 SolarWinds로 알려지게 될 이전에 알려지지 않은 글로벌 침입 캠페인 에 대한 충격적인 보고서를 발표 한 날입니다. 이 보고서는 SolarWind의 인기있는 Orion 관리 소프트웨어의 소프트웨어 업데이트 깊숙이 악성 코드가 숨겨져있는 지속적이고 거의 믿을 수없는 공격에 대해 자세히 설명했습니다.
18,000명 이상의 SolarWinds 고객이 이미 손상된 업데이트를 다운로드했습니다. 그들 중 많은 사람들이 조직과 네트워크 내에서 수백 개의 다른 소프트웨어 업데이트와 마찬가지로 자동으로 수행했습니다. 공격자들은 SolarWinds 위반을 통해 액세스 할 수있는 공격을하기로 선택한 것에 대해 매우 선택적이었습니다. 정부 기관뿐만 아니라 많은 주요 기업들이 데이터를 도난 당하고 네트워크가 손상되었습니다. 그것은 모든 시간 중 가장 크고 아마도 가장 비용이 많이 드는 위반 중 하나였으며, 특히 정부 기관의 경우 피해의 전체 범위가 공개적으로 공유되지 않았기 때문에 특히 그렇습니다.
그리고 그것은 사람들이 자신의 활동을 제대로 확인하거나 조사하지 않고 소프트웨어 공급망 내에서 공급 업체를 신뢰했기 때문에 일어났습니다.
공급망 보안에 대한 대대적인 변화
경보가 울리면 기업, 조직 및 정부 기관이 신속하게 대응했습니다. SolarWinds 위반은 물론 중단되었지만 공격은 규제되지 않고 모니터링되지 않는 소프트웨어 공급망의 위험을 노출했습니다. SolarWinds 사건은 일단 발견되면 신속하게 해결되었지만 공급망이 공격 벡터로 어떻게 사용되었는지에 대한 함의는 여전히 진행 중입니다. 공격에서 다른 좋은 것이 없다면 적어도 사이버 보안의 중요하지만 간과 된 측면에 주목합니다.
SolarWinds 공격에 대한 가장 주목할만한 대응 중 하나는 바이든 대통령의 사이버 보안 개선에 관한 행정 명령 이었습니다. 이 명령은 미국에서 발행 된 가장 포괄적 인 사이버 보안 지침 중 하나입니다. 기관 및 정부와 거래하는 사람들에게 더 나은 사이버 보안을 요구하고, 제로 트러스트 네트워킹과 같은 고급 보호를 옹호하며, 소프트웨어 공급망 보안의 필요성을 강조합니다.
EO는 정부에 국한되어 있지만, 다른 그룹들도 또 다른 SolarWinds 스타일의 공격을 막기 위해 공급망 보안의 중요성을 강조하기 시작했습니다. 예를 들어, Palo Alto는 최근 "클라우드 보안을 위해 소프트웨어 공급망 보안"이라는 제목의 Unit 42 Cloud Threat Report 를 발표했습니다. 이 보고서는 소프트웨어 공급망 보안 없이는 클라우드 배포가 완전히 안전하지 않다고 말합니다. 그리고 클라우드 네이티브 컴퓨팅 재단은 SolarWinds의 여파로 따라야 할 중요한 소프트웨어 공급망 모범 사례를 자세히 설명하는 백서 를 발표하는 데 동의합니다.
지난 몇 년 동안 사이버 보안 표준에 큰 변화가 있었다고 해도 과언이 아니며, 의무 사항은 아니지만 모든 조직이 이를 준수하고 공급업체의 보안 관행을 자체 내부 보안 프로그램의 일부인 것처럼 면밀히 검토하는 것이 목표가 되어야 할 것입니다. CISA의 새로운 전략 계획과 같은 이니셔티브는 보안을 공동의 책임으로 접근하는 것이 모든 소프트웨어 제작자, 특히 중요 인프라 또는 소프트웨어 공급망에 관련된 사람들에게 새로운 표준의 일부가 되고 있다는 추가적인 증거를 제공합니다.
소프트웨어 공급망을 개선하기 위해 조직은 무엇을 할 수 있을까요?
이 상황은 많은 공급 업체가 자체 공급망을 보호하기 위해 할 수있는 일을 올바르게 요구하고 있습니다. 조직은 공급업체가 사이버 보안에 대해 그들만큼 신경을 쓸 수 있도록 하기 위해 무엇을 할 수 있습니까?
EO는 소프트웨어 개발자의 영향과 핵심 보안 기술을 통한 사람 주도 방어에 초점을 맞추기보다는 도구에 집착하는 산업에서 잊혀지는 경향이있는 보안 기술과 인식을 검증 할 필요성을 구체적으로 설명합니다.
요즘 사이버 보안에 대한 포괄적 인 접근 방식에는 상세한 타사 위험이 절대적으로 포함되어야한다는 것이 분명 해졌습니다. assessment, 기술 보안 통제를 제자리에두고 assessment 파트너가 자신의 조직 내에서 거버넌스, 위험 및 규정 준수를 보는 방법.
모든 타사 평가에는 소프트웨어 공급망에 속한 사람들이 검증된 인증서 서명으로 보안 프로그램 업데이트를 릴리스하는 방법과 모든 소프트웨어 및 장치의 ID를 관리하는 데 어떻게 도움이 되는지에 대한 보증 및 세부 계획이 포함되어야 합니다. 또한 제품에 대한 암호화 업그레이드 및 업데이트에 대한 명확한 경로를 보여 주어야 합니다.
그리고 이제 개발자들이 마침내 소프트웨어 공급망 보안의 중요한 구성 요소로 간주되고 있습니다. assessment 또한 개발 커뮤니티 내에서 안전한 코딩과 지속적인 개선을 장려하는 방법과 이상적으로는 기술 및 현재 교육을 벤치마킹하는 방법을 자세히 설명하는 보고서를 포함해야합니다. 개발자 업스킬링에 대한 강조가 개선되고 있다는 것을 알고 있지만 개발자의 48%는 취약한 코드를 고의로 제공하는 것을 인정했습니다.
시간 제약과 같은 요인과 보안이 단순히 세계에서 최우선 순위 (또는 성공의 척도)가 아니라는 현실은 코드 수준 취약점이 있어야하는만큼 빨리 해결되지 않는 환경에 기여합니다. 소프트웨어 공급망을 감염시키는 것을 막으려면 모든 조직이보다 개발자 친화적 인 보안 프로그램을 사용해야합니다.
다음 단계는?
보안 문제가 있는 공급업체의 소프트웨어를 사용하는 경우 이를 에코시스템에 상속하고 그 결과를 부담하기 때문에 위험 평가가 중요합니다. 그러나 조직은 공급 업체가 실제로 더 안전 할 수 있으며 개발자 커뮤니티를 지원하는 것이 더 나을 수도 있음을 인식해야합니다.
타사 위험을 사용할 수 있습니다. assessment 자신의 보안을 평가하는 보조 방법으로. 공급업체가 내부보다 보안의 일부 측면을 더 잘 처리하는 경우 해당 방법을 채택하여 조직을 개선할 수 있습니다.
마지막으로, 소프트웨어 공급망을 실제로 개선하기 위한 다음 큰 단계는 개발자를 위한 안전한 코딩 인증을 구현하는 것입니다. 좋은 계획을 수립하는 것이 첫 번째 단계이지만 실제로 준수되고 있으며 보안 코드를 생성하는 데 도움이되는지 확인하는 것도 필수적입니다.
개발자의 보안 코딩이 표준이 되는 시점에 도달할 때까지는 위협 행위자가 침투하기 전에 기회의 창을 닫는 데 항상 뒤처지게 됩니다. 하지만 적절한 지원을 통해 긍정적인 영향을 미치기에는 결코 늦지 않았습니다. 지금 바로 애자일 학습을 통해 개발자가 관련성이 높고 영향력 있는 보안 기술을 연마할 수 있는 방법을 알아보세요.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
소프트웨어 공급업체는 귀하만큼 보안에 신경을 쓰나요?
이 기사의 버전은 Security Magazine에 실렸습니다. 여기에서 업데이트되고 신디케이트되었습니다.
보안 전문가에게는 12 월 13 일에 특별한 것이 있습니다. 우리가 마침내 SQL 주입을 영원히 근절한 날입니까? 물론 아니에요. 아마도 그것은 "국제 안보 노동자 감사의 날"일까요? 또한 아니오. FireEye와 Mandiant가 SolarWinds로 알려지게 될 이전에 알려지지 않은 글로벌 침입 캠페인 에 대한 충격적인 보고서를 발표 한 날입니다. 이 보고서는 SolarWind의 인기있는 Orion 관리 소프트웨어의 소프트웨어 업데이트 깊숙이 악성 코드가 숨겨져있는 지속적이고 거의 믿을 수없는 공격에 대해 자세히 설명했습니다.
18,000명 이상의 SolarWinds 고객이 이미 손상된 업데이트를 다운로드했습니다. 그들 중 많은 사람들이 조직과 네트워크 내에서 수백 개의 다른 소프트웨어 업데이트와 마찬가지로 자동으로 수행했습니다. 공격자들은 SolarWinds 위반을 통해 액세스 할 수있는 공격을하기로 선택한 것에 대해 매우 선택적이었습니다. 정부 기관뿐만 아니라 많은 주요 기업들이 데이터를 도난 당하고 네트워크가 손상되었습니다. 그것은 모든 시간 중 가장 크고 아마도 가장 비용이 많이 드는 위반 중 하나였으며, 특히 정부 기관의 경우 피해의 전체 범위가 공개적으로 공유되지 않았기 때문에 특히 그렇습니다.
그리고 그것은 사람들이 자신의 활동을 제대로 확인하거나 조사하지 않고 소프트웨어 공급망 내에서 공급 업체를 신뢰했기 때문에 일어났습니다.
공급망 보안에 대한 대대적인 변화
경보가 울리면 기업, 조직 및 정부 기관이 신속하게 대응했습니다. SolarWinds 위반은 물론 중단되었지만 공격은 규제되지 않고 모니터링되지 않는 소프트웨어 공급망의 위험을 노출했습니다. SolarWinds 사건은 일단 발견되면 신속하게 해결되었지만 공급망이 공격 벡터로 어떻게 사용되었는지에 대한 함의는 여전히 진행 중입니다. 공격에서 다른 좋은 것이 없다면 적어도 사이버 보안의 중요하지만 간과 된 측면에 주목합니다.
SolarWinds 공격에 대한 가장 주목할만한 대응 중 하나는 바이든 대통령의 사이버 보안 개선에 관한 행정 명령 이었습니다. 이 명령은 미국에서 발행 된 가장 포괄적 인 사이버 보안 지침 중 하나입니다. 기관 및 정부와 거래하는 사람들에게 더 나은 사이버 보안을 요구하고, 제로 트러스트 네트워킹과 같은 고급 보호를 옹호하며, 소프트웨어 공급망 보안의 필요성을 강조합니다.
EO는 정부에 국한되어 있지만, 다른 그룹들도 또 다른 SolarWinds 스타일의 공격을 막기 위해 공급망 보안의 중요성을 강조하기 시작했습니다. 예를 들어, Palo Alto는 최근 "클라우드 보안을 위해 소프트웨어 공급망 보안"이라는 제목의 Unit 42 Cloud Threat Report 를 발표했습니다. 이 보고서는 소프트웨어 공급망 보안 없이는 클라우드 배포가 완전히 안전하지 않다고 말합니다. 그리고 클라우드 네이티브 컴퓨팅 재단은 SolarWinds의 여파로 따라야 할 중요한 소프트웨어 공급망 모범 사례를 자세히 설명하는 백서 를 발표하는 데 동의합니다.
지난 몇 년 동안 사이버 보안 표준에 큰 변화가 있었다고 해도 과언이 아니며, 의무 사항은 아니지만 모든 조직이 이를 준수하고 공급업체의 보안 관행을 자체 내부 보안 프로그램의 일부인 것처럼 면밀히 검토하는 것이 목표가 되어야 할 것입니다. CISA의 새로운 전략 계획과 같은 이니셔티브는 보안을 공동의 책임으로 접근하는 것이 모든 소프트웨어 제작자, 특히 중요 인프라 또는 소프트웨어 공급망에 관련된 사람들에게 새로운 표준의 일부가 되고 있다는 추가적인 증거를 제공합니다.
소프트웨어 공급망을 개선하기 위해 조직은 무엇을 할 수 있을까요?
이 상황은 많은 공급 업체가 자체 공급망을 보호하기 위해 할 수있는 일을 올바르게 요구하고 있습니다. 조직은 공급업체가 사이버 보안에 대해 그들만큼 신경을 쓸 수 있도록 하기 위해 무엇을 할 수 있습니까?
EO는 소프트웨어 개발자의 영향과 핵심 보안 기술을 통한 사람 주도 방어에 초점을 맞추기보다는 도구에 집착하는 산업에서 잊혀지는 경향이있는 보안 기술과 인식을 검증 할 필요성을 구체적으로 설명합니다.
요즘 사이버 보안에 대한 포괄적 인 접근 방식에는 상세한 타사 위험이 절대적으로 포함되어야한다는 것이 분명 해졌습니다. assessment, 기술 보안 통제를 제자리에두고 assessment 파트너가 자신의 조직 내에서 거버넌스, 위험 및 규정 준수를 보는 방법.
모든 타사 평가에는 소프트웨어 공급망에 속한 사람들이 검증된 인증서 서명으로 보안 프로그램 업데이트를 릴리스하는 방법과 모든 소프트웨어 및 장치의 ID를 관리하는 데 어떻게 도움이 되는지에 대한 보증 및 세부 계획이 포함되어야 합니다. 또한 제품에 대한 암호화 업그레이드 및 업데이트에 대한 명확한 경로를 보여 주어야 합니다.
그리고 이제 개발자들이 마침내 소프트웨어 공급망 보안의 중요한 구성 요소로 간주되고 있습니다. assessment 또한 개발 커뮤니티 내에서 안전한 코딩과 지속적인 개선을 장려하는 방법과 이상적으로는 기술 및 현재 교육을 벤치마킹하는 방법을 자세히 설명하는 보고서를 포함해야합니다. 개발자 업스킬링에 대한 강조가 개선되고 있다는 것을 알고 있지만 개발자의 48%는 취약한 코드를 고의로 제공하는 것을 인정했습니다.
시간 제약과 같은 요인과 보안이 단순히 세계에서 최우선 순위 (또는 성공의 척도)가 아니라는 현실은 코드 수준 취약점이 있어야하는만큼 빨리 해결되지 않는 환경에 기여합니다. 소프트웨어 공급망을 감염시키는 것을 막으려면 모든 조직이보다 개발자 친화적 인 보안 프로그램을 사용해야합니다.
다음 단계는?
보안 문제가 있는 공급업체의 소프트웨어를 사용하는 경우 이를 에코시스템에 상속하고 그 결과를 부담하기 때문에 위험 평가가 중요합니다. 그러나 조직은 공급 업체가 실제로 더 안전 할 수 있으며 개발자 커뮤니티를 지원하는 것이 더 나을 수도 있음을 인식해야합니다.
타사 위험을 사용할 수 있습니다. assessment 자신의 보안을 평가하는 보조 방법으로. 공급업체가 내부보다 보안의 일부 측면을 더 잘 처리하는 경우 해당 방법을 채택하여 조직을 개선할 수 있습니다.
마지막으로, 소프트웨어 공급망을 실제로 개선하기 위한 다음 큰 단계는 개발자를 위한 안전한 코딩 인증을 구현하는 것입니다. 좋은 계획을 수립하는 것이 첫 번째 단계이지만 실제로 준수되고 있으며 보안 코드를 생성하는 데 도움이되는지 확인하는 것도 필수적입니다.
개발자의 보안 코딩이 표준이 되는 시점에 도달할 때까지는 위협 행위자가 침투하기 전에 기회의 창을 닫는 데 항상 뒤처지게 됩니다. 하지만 적절한 지원을 통해 긍정적인 영향을 미치기에는 결코 늦지 않았습니다. 지금 바로 애자일 학습을 통해 개발자가 관련성이 높고 영향력 있는 보안 기술을 연마할 수 있는 방법을 알아보세요.
