정부 공급망 파이프라인의 사이버 취약점에 대한 베일 해제

게시됨 Nov 11, 2021
작성자: 피터 댄히외
사례 연구

정부 공급망 파이프라인의 사이버 취약점에 대한 베일 해제

게시됨 Nov 11, 2021
작성자: 피터 댄히외
리소스 보기
리소스 보기

이 문서의 버전은 테크 크런치에등장. 여기에 업데이트되고 신디케이트되었습니다.

2021년에 는 이름을 지을 수 없는 한 해에 충분한 혼란을 겪었던 것처럼, 2021년은 기록상 최악의 데이터 유출 의 형태로 미국 정부에 대한 귀가 들리지 않는 강타로 시작되었습니다. 솔라윈즈 사건은 여러 정부 부처와 대규모 조직을 공포에 빠뜨리고 종점을 확보하기 위해 출격하는 파괴적이고 정교한 국가 국가 공격이었습니다. SolarWinds 소프트웨어의 거의 모든 최종 사용자가 손상되었으며, 이 사건으로 소프트웨어 공급망의 사이버 보안과 방어가 중요하다는 것을 분명히 했습니다.

사이버 보안이 중요하다는 것은 분명하지만 공급망의 맥락에서 실제로 무엇을 의미합니까?

평균 개발 팀의 사이버 보안 현황

매년 수십억 줄의 코드를 나타내는 엄청난 양의 소프트웨어가 매일 생산되고 있으며, 이는 점진적으로 디지털 라이프스타일에 의해 생성된 수요에 따라 증가하고 있습니다. 글로벌 개발자 인구는 2024년까지 거의 2,900만 명으로급증하고 있으며, 현재 는 안전하게 코딩할 수 있는 능력을 평가하고 인증할 수 있는 공식적인 인증이 존재하지 않습니다. 그렇다고 모든 개발자가 안전하지 않은 코드를 생성하거나 다시 사용하는 것은 아니지만, 의심할 여지 없이 기본적인 보안 약점이 당사의 데이터를 신뢰하는 소프트웨어에 도입될 수 있다는 지속적인 위험이 있습니다.

개발자는 가능한 한 빨리 기능 및 배송 코드를 만드는 능력에 대해 평가됩니다. 보안은 대부분의 조직에서 성공을 위한 벤치마크가 아니었지만, 소프트웨어 생성 초기에 공통 보안 버그를 방지하는 데 있어 더 많은 기업이 보유하고 있는 잠재력을 실현함에 따라 이러한 감정이 바뀌기 시작했습니다. 그러나 실현과 구현은 두 가지 이며, 대부분의 고등 개발 이후 courses 보안 코딩 관행에 대한 컨텍스트를 생략하는 것은 종종 부족을 만회하기 위해 개발자의 작업장까지 달려 있습니다. 기술 구축 및 지식 공유가 드물거나 관련이 없다면 효과가 없을 것입니다. 따라서 기술 개발 부족을 통해 반복되는 취약점의 주기는 끊어지지 않습니다. 

당연히, 세계의 사이버 보안 불황을 해결하는 것은 평균 소프트웨어 개발자의 책임이 아닙니다; 결국, 조직은 이유를 위해 매우 비싼 보안 전문가를 고용합니다. 그러나 보안 전문가는 공급이 부족하며 개발자는 확실히 부담을 줄이는 역할을 할 수 있습니다. 

그러나 파괴적인 사이버 공격을 방지하는 측면에서 중요한 인프라와 민감한 조직을 위한 소프트웨어를 만드는 공급업체와 공급업체는 어디에 있을까요? 최소한 소프트웨어 조달의 현상 유지에 변화가 필요할 것입니다.

보안 소프트웨어 공급망의 방해가 되는 함정

체인의 피곤한 속담은 가장 약한 링크만큼 강하기 만하면 불행히도 소프트웨어 공급에 관해서는 사실입니다. 회사가 보안 모범 사례를 강화하고 개발자 upskilling에 대한 투자, 기능적 DevSecOps 환경으로의 이동 (즉, 소프트웨어에 대한 책임을 공유하는 모든 사람 가능한 한 안전하게 만들어지는 경우)과 함께 파티에 왔는지 여부는 중요하지 않습니다. 보안 문제가 있는 공급업체의 소프트웨어를 사용하는 경우 해당 소프트웨어를 에코시스템에 상속하여 그 결과를 부담하게 됩니다.

물론 보안 팀은 기술 스택에 타사 추가의 안전을 평가하는 데 도움을 주어야 하지만 솔루션 중에서 선택의 여지가 없는 비즈니스 요구사항을 기반으로 결정을 내릴 수 있습니다. 이 시점에서 신뢰 운동이 될 수 있습니다. 공급업체가 회사만큼 이나 보안에 관심이 있습니까? 그리고 공급업체는 실제로 위험을 이해할 수 있는 위험과 보호하는 데 필요한 자산을 평가할 수 있습니까?

투명성은 공급업체 소프트웨어 추가의 보안 실행 가능성을 평가하는 데 중요한 요소입니다. 그들은 자신의 보안 관행을 선행하고있습니까? 그들은 데이터를 안전하게 유지하는 접근 방식에 자부심을 가져야하며, 이는 최우선 과제여야 합니다. 보안 관행이 아무 데도 게시되지 않거나 정보를 사용할 수 없는 경우 보안이 최상급으로 제공되지 않을 가능성이 큽분입니다. 공급업체는 기술적 질문에 답할 수 있어야 하며 ISO27001 및 SOC2와 같은 독립적인 인증도 해치지 않을 것입니다. 또한"후드 아래를 보고 자신의 내부 실사 및 보안 관행의 일환으로 취약점을 검사 할 수없는 경우 잊어 버리십시오.

특히 공급 업체 코드가 새로운 맥락에서 작업을 수행하기 위해 기존 시스템으로 접혀있는 경우 수요가 빠르게 진행되는 상황에서 공급 업체와 구매자 모두 게임의 맨 위에 있어야하며, 둘 다 개발자가 출시하기 전에 일반적인 보안 버그와 결함을 픽업하기 위해 지상의 부츠로 있어야합니다. 기술 솔루션의 기존 거미줄에 새로 추가하면 수백 또는 수천 개의 종속성이 손상될 수 있으며, 하나의 작은 실패가 치명적인 취소로 이어질 수 있습니다.

그렇다면 해결책은 무엇일까요? 처음부터 사내 모든 것을 코딩? 1998년이라면, 그것은 의미가 있을 것입니다. 그러나 가장 가까운 세차장인 "Jeeves에게 물어보세요"가 더 이상 없는 것처럼 오늘날의 맥락에서 작동하는 현실적인 안전 장치를 구현해야 합니다.

아직 은색 총알은 없지만 해결책이 있습니다.

구매자의 경우 보안 assessment 공급업체 소프트웨어 및 개발 관행의 우선 순위는 전체 보안 프로그램 및 위험 완화 계획의 우선 순위가 되어야 합니다. 개발자의 인증, 관행 및 보안 평판에 대해 질문하십시오.

공급업체(그리고 실제로 소프트웨어를 만드는 모든 회사)는 보안이 최우선이며 업스킬링에 집중해야 한다는 것을 입증할 준비가 되어 있어야 합니다. 보안 숙련도 개발자는 수요가 많으며 올바른 도구와 지원을통해 기존 팀에서 구축하고 일반적인 취약점으로 인한 공격을 방어할 수 있습니다. 그러나 그들에게 오래된 훈련을 던지지 마십시오. 기존 워크플로우와 보완적인 보안 툴링으로 번창할 시간을 제공합니다. 가능한 한 쉽게 만들고, 그 성가신 버그가 비즈니스에 전력을 공급하는 코드 사이에서 얇아질 것을 지켜보십시오.

결론은 공급망의 일부인 경우 소프트웨어 위험이 즉시 악화되어 모든 사용자와 취약한 구성 요소가 활용된 시스템에 영향을 미친다는 것입니다. 공급업체가 소프트웨어를 구현하는 회사또는 공급업체와 조직이 모두 보안 프로그램에 부족한 만큼 보안에 대해 심각하지 않다면 SolarWinds와 같은 광범위한 공급망 공격이 불가피하게 표준이 될 것이며 이는 모두에게 중요한 문제입니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

정부 공급망 파이프라인의 사이버 취약점에 대한 베일 해제

게시됨 Nov 11, 2021
By 피터 댄히외

이 문서의 버전은 테크 크런치에등장. 여기에 업데이트되고 신디케이트되었습니다.

2021년에 는 이름을 지을 수 없는 한 해에 충분한 혼란을 겪었던 것처럼, 2021년은 기록상 최악의 데이터 유출 의 형태로 미국 정부에 대한 귀가 들리지 않는 강타로 시작되었습니다. 솔라윈즈 사건은 여러 정부 부처와 대규모 조직을 공포에 빠뜨리고 종점을 확보하기 위해 출격하는 파괴적이고 정교한 국가 국가 공격이었습니다. SolarWinds 소프트웨어의 거의 모든 최종 사용자가 손상되었으며, 이 사건으로 소프트웨어 공급망의 사이버 보안과 방어가 중요하다는 것을 분명히 했습니다.

사이버 보안이 중요하다는 것은 분명하지만 공급망의 맥락에서 실제로 무엇을 의미합니까?

평균 개발 팀의 사이버 보안 현황

매년 수십억 줄의 코드를 나타내는 엄청난 양의 소프트웨어가 매일 생산되고 있으며, 이는 점진적으로 디지털 라이프스타일에 의해 생성된 수요에 따라 증가하고 있습니다. 글로벌 개발자 인구는 2024년까지 거의 2,900만 명으로급증하고 있으며, 현재 는 안전하게 코딩할 수 있는 능력을 평가하고 인증할 수 있는 공식적인 인증이 존재하지 않습니다. 그렇다고 모든 개발자가 안전하지 않은 코드를 생성하거나 다시 사용하는 것은 아니지만, 의심할 여지 없이 기본적인 보안 약점이 당사의 데이터를 신뢰하는 소프트웨어에 도입될 수 있다는 지속적인 위험이 있습니다.

개발자는 가능한 한 빨리 기능 및 배송 코드를 만드는 능력에 대해 평가됩니다. 보안은 대부분의 조직에서 성공을 위한 벤치마크가 아니었지만, 소프트웨어 생성 초기에 공통 보안 버그를 방지하는 데 있어 더 많은 기업이 보유하고 있는 잠재력을 실현함에 따라 이러한 감정이 바뀌기 시작했습니다. 그러나 실현과 구현은 두 가지 이며, 대부분의 고등 개발 이후 courses 보안 코딩 관행에 대한 컨텍스트를 생략하는 것은 종종 부족을 만회하기 위해 개발자의 작업장까지 달려 있습니다. 기술 구축 및 지식 공유가 드물거나 관련이 없다면 효과가 없을 것입니다. 따라서 기술 개발 부족을 통해 반복되는 취약점의 주기는 끊어지지 않습니다. 

당연히, 세계의 사이버 보안 불황을 해결하는 것은 평균 소프트웨어 개발자의 책임이 아닙니다; 결국, 조직은 이유를 위해 매우 비싼 보안 전문가를 고용합니다. 그러나 보안 전문가는 공급이 부족하며 개발자는 확실히 부담을 줄이는 역할을 할 수 있습니다. 

그러나 파괴적인 사이버 공격을 방지하는 측면에서 중요한 인프라와 민감한 조직을 위한 소프트웨어를 만드는 공급업체와 공급업체는 어디에 있을까요? 최소한 소프트웨어 조달의 현상 유지에 변화가 필요할 것입니다.

보안 소프트웨어 공급망의 방해가 되는 함정

체인의 피곤한 속담은 가장 약한 링크만큼 강하기 만하면 불행히도 소프트웨어 공급에 관해서는 사실입니다. 회사가 보안 모범 사례를 강화하고 개발자 upskilling에 대한 투자, 기능적 DevSecOps 환경으로의 이동 (즉, 소프트웨어에 대한 책임을 공유하는 모든 사람 가능한 한 안전하게 만들어지는 경우)과 함께 파티에 왔는지 여부는 중요하지 않습니다. 보안 문제가 있는 공급업체의 소프트웨어를 사용하는 경우 해당 소프트웨어를 에코시스템에 상속하여 그 결과를 부담하게 됩니다.

물론 보안 팀은 기술 스택에 타사 추가의 안전을 평가하는 데 도움을 주어야 하지만 솔루션 중에서 선택의 여지가 없는 비즈니스 요구사항을 기반으로 결정을 내릴 수 있습니다. 이 시점에서 신뢰 운동이 될 수 있습니다. 공급업체가 회사만큼 이나 보안에 관심이 있습니까? 그리고 공급업체는 실제로 위험을 이해할 수 있는 위험과 보호하는 데 필요한 자산을 평가할 수 있습니까?

투명성은 공급업체 소프트웨어 추가의 보안 실행 가능성을 평가하는 데 중요한 요소입니다. 그들은 자신의 보안 관행을 선행하고있습니까? 그들은 데이터를 안전하게 유지하는 접근 방식에 자부심을 가져야하며, 이는 최우선 과제여야 합니다. 보안 관행이 아무 데도 게시되지 않거나 정보를 사용할 수 없는 경우 보안이 최상급으로 제공되지 않을 가능성이 큽분입니다. 공급업체는 기술적 질문에 답할 수 있어야 하며 ISO27001 및 SOC2와 같은 독립적인 인증도 해치지 않을 것입니다. 또한"후드 아래를 보고 자신의 내부 실사 및 보안 관행의 일환으로 취약점을 검사 할 수없는 경우 잊어 버리십시오.

특히 공급 업체 코드가 새로운 맥락에서 작업을 수행하기 위해 기존 시스템으로 접혀있는 경우 수요가 빠르게 진행되는 상황에서 공급 업체와 구매자 모두 게임의 맨 위에 있어야하며, 둘 다 개발자가 출시하기 전에 일반적인 보안 버그와 결함을 픽업하기 위해 지상의 부츠로 있어야합니다. 기술 솔루션의 기존 거미줄에 새로 추가하면 수백 또는 수천 개의 종속성이 손상될 수 있으며, 하나의 작은 실패가 치명적인 취소로 이어질 수 있습니다.

그렇다면 해결책은 무엇일까요? 처음부터 사내 모든 것을 코딩? 1998년이라면, 그것은 의미가 있을 것입니다. 그러나 가장 가까운 세차장인 "Jeeves에게 물어보세요"가 더 이상 없는 것처럼 오늘날의 맥락에서 작동하는 현실적인 안전 장치를 구현해야 합니다.

아직 은색 총알은 없지만 해결책이 있습니다.

구매자의 경우 보안 assessment 공급업체 소프트웨어 및 개발 관행의 우선 순위는 전체 보안 프로그램 및 위험 완화 계획의 우선 순위가 되어야 합니다. 개발자의 인증, 관행 및 보안 평판에 대해 질문하십시오.

공급업체(그리고 실제로 소프트웨어를 만드는 모든 회사)는 보안이 최우선이며 업스킬링에 집중해야 한다는 것을 입증할 준비가 되어 있어야 합니다. 보안 숙련도 개발자는 수요가 많으며 올바른 도구와 지원을통해 기존 팀에서 구축하고 일반적인 취약점으로 인한 공격을 방어할 수 있습니다. 그러나 그들에게 오래된 훈련을 던지지 마십시오. 기존 워크플로우와 보완적인 보안 툴링으로 번창할 시간을 제공합니다. 가능한 한 쉽게 만들고, 그 성가신 버그가 비즈니스에 전력을 공급하는 코드 사이에서 얇아질 것을 지켜보십시오.

결론은 공급망의 일부인 경우 소프트웨어 위험이 즉시 악화되어 모든 사용자와 취약한 구성 요소가 활용된 시스템에 영향을 미친다는 것입니다. 공급업체가 소프트웨어를 구현하는 회사또는 공급업체와 조직이 모두 보안 프로그램에 부족한 만큼 보안에 대해 심각하지 않다면 SolarWinds와 같은 광범위한 공급망 공격이 불가피하게 표준이 될 것이며 이는 모두에게 중요한 문제입니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.