コーダーズ・コンカー・セキュリティ OWASP トップ 10 API シリーズ-不適切な資産管理
OWASP API 상위 10위권의 대부분의 취약점과 달리 부적절한 자산 관리는 코딩 결함에 특별히 중심을 두지 않습니다. 대신 이 취약점은 더 새롭고 안전한 버전으로 대체되어야 하는 오래된 API를 오래 동안 제자리에 유지할 수 있는 인간 또는 관리 문제에 가까울 수 있습니다. 또한 아직 개발 중인 API가 위협에 완전히 강화되기 전에 프로덕션 환경에 노출되는 경우에도 발생할 수 있습니다.
이 취약점은 마이크로 서비스 및 클라우드 컴퓨팅의 출현으로 인해 관리하기가 특히 어렵습니다. 이러한 환경에서는 일시적인 필요를 충족시키기 위해 새로운 서비스가 신속하게 스폰된 다음 잊어버렸고 결코 폐기되지 않을 수 있습니다. 이전 API가 프로덕션 환경에 연결되어 있으면 전체 네트워크를 위험에 빠뜨릴 수 있습니다.
이 보안 버그에 게임 챌린지를 시도하고 싶으신가요? 경기장으로 들어오세요: [여기에서 시작]
부적절한 자산 관리 결함이 API에 어떤 영향을 미칩니까?
부적절한 자산 관리 결함은 현대의 산물입니다. 비즈니스 속도로 이동하는 조직은 때때로 매일 수백 또는 수천 개의 서비스와 마이크로 서비스를 스핀업할 수 있습니다. 이 작업은 종종 수반되는 문서를 작성하거나 관련 API가 사용되는 것, 필요한 기간 또는 그 중요도에 대한 설명 없이 신속하게 수행됩니다. 이렇게 하면 시간이 지남에 따라 길들여질 수 없는 API 스프롤이 생성될 수 있으며, 특히 API가 얼마나 오래 존재할 수 있는지 를 정의하는 담요 정책이 없는 경우 더욱 그렇다.
이러한 환경에서일부 API가 손실되거나 잊혀지거나 폐기되지 않을 가능성이 큽분입니다.
정상적인 프로세스 이외의 새로운 서비스를 만들 수 있는 권한이 있는 사용자도 때때로 비난할 수 있습니다. 예를 들어 마케팅 그룹은 제품 출시와 같은 예정된 이벤트를 지원하는 데 도움이 되는 서비스를 만든 다음 이벤트가 완료된 후에는 다시 중단하지 않을 수 있습니다. 나중에 해당 서비스와 관련 API를 보는 사람은 왜 존재하는지 전혀 알지 못할 수 있으며 문서가 없으면 수수께끼로 남을 수 있습니다. 그들은 생산 환경에서 이러한 API를 제거하거나 그들이 얼마나 중요한지 또는 무엇을 하는지 전혀 알지 못하기 때문에 더 새로운 버전으로 업그레이드하는 것이 불편할 수 있습니다.
프레임워크의 API 보안이 시간이 지남에 따라 향상되므로 취약점이 위험해집니다. 연구원은 취약점을 발견하거나 점점 더 인기 있는 유형의 공격을 막기 위해 추가 보안을 추가할 수 있습니다. 이전 API는 업그레이드하지 않는 한 이러한 공격에 취약할 수 있으므로 해커는 종종 해당 API를 검색하거나 자동화된 도구를 사용하여 이를 검색합니다.
OWASP에서 제공하는 실제 예제에서 회사는 중요한 결함을 패치하기 위해 사용자 데이터베이스를 검색하는 데 사용되는 API를 업그레이드했습니다. 그러나 그들은 실수로 기존의 API를 제자리에 두드했습니다.
공격자는 새 API의 위치가 api.criticalservice.com/v2)와 같다는 것을 발견했습니다. URL을 (api.criticalservice.com/v1)로 대체하여 이전 API를 알려진 취약점으로 사용할 수 있었습니다. 이것은 궁극적으로 1 억 명 이상의 사용자의 개인 기록을 노출.
부적절한 자산 관리 결함 제거
사용자 환경에서 부적절한 자산 관리 결함을 제거하는 유일한 방법은 모든 API, 사용 및 버전에 대한 엄격한 인벤토리를 유지하는 것입니다. 이는 기존 API의 인벤토리로 시작하여 프로덕션 또는 개발과 같이 배포해야 하는 환경, 네트워크에 액세스할 수 있어야 하는 사용자 및 버전과 같은 요인에 중점을 두어야 합니다.
완료되면 작성된 새 API 또는 서비스에 문서가 자동으로 추가되는 프로세스를 구현해야 합니다. 여기에는 속도 제한, 요청 및 응답 처리 방법, 연결할 수 있는 엔드포인트, 적용되는 관련 정책, 나중에 감사하는 데 필요한 기타 모든 것을 포함하여 API의 모든 측면이 포함되어야 합니다. 또한 비생산 API 또는 프로덕션 환경에서 개발 환경의 API를 사용하지 않아야 합니다. 또한 자동 폐기를 방지하기 위해 소유자가 계속 사용해야 하는 API에 시간 제한을 추가하는 것도 고려해 보십시오.
활성 API의 새 버전을 사용할 수 있게 될 때마다 위험을 수행하십시오. assessment 업그레이드해야 하는지, 생산 환경의 방해를 피하기 위해 해당 프로세스가 어떻게 수행되어야 하는지 확인합니다. 새 API로 마이그레이션한 후 이전 API를 환경에서 완전히 제거합니다.
이러한 모든 작업을 수행하면 부적절한 자산 관리 취약점이 조직, 사용자 또는 네트워크에 해를 끼치지 않도록 할 수 있습니다. 체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
OWASP API 상위 10위권의 대부분의 취약점과 달리 부적절한 자산 관리는 코딩 결함에 특별히 중심을 두지 않습니다. 대신 이 취약점은 더 새롭고 안전한 버전으로 대체되어야 하는 오래된 API를 오래 동안 제자리에 유지할 수 있는 인간 또는 관리 문제에 가까울 수 있습니다. 또한 아직 개발 중인 API가 위협에 완전히 강화되기 전에 프로덕션 환경에 노출되는 경우에도 발생할 수 있습니다.
이 취약점은 마이크로 서비스 및 클라우드 컴퓨팅의 출현으로 인해 관리하기가 특히 어렵습니다. 이러한 환경에서는 일시적인 필요를 충족시키기 위해 새로운 서비스가 신속하게 스폰된 다음 잊어버렸고 결코 폐기되지 않을 수 있습니다. 이전 API가 프로덕션 환경에 연결되어 있으면 전체 네트워크를 위험에 빠뜨릴 수 있습니다.
이 보안 버그에 게임 챌린지를 시도하고 싶으신가요? 경기장으로 들어오세요: [여기에서 시작]
부적절한 자산 관리 결함이 API에 어떤 영향을 미칩니까?
부적절한 자산 관리 결함은 현대의 산물입니다. 비즈니스 속도로 이동하는 조직은 때때로 매일 수백 또는 수천 개의 서비스와 마이크로 서비스를 스핀업할 수 있습니다. 이 작업은 종종 수반되는 문서를 작성하거나 관련 API가 사용되는 것, 필요한 기간 또는 그 중요도에 대한 설명 없이 신속하게 수행됩니다. 이렇게 하면 시간이 지남에 따라 길들여질 수 없는 API 스프롤이 생성될 수 있으며, 특히 API가 얼마나 오래 존재할 수 있는지 를 정의하는 담요 정책이 없는 경우 더욱 그렇다.
이러한 환경에서일부 API가 손실되거나 잊혀지거나 폐기되지 않을 가능성이 큽분입니다.
정상적인 프로세스 이외의 새로운 서비스를 만들 수 있는 권한이 있는 사용자도 때때로 비난할 수 있습니다. 예를 들어 마케팅 그룹은 제품 출시와 같은 예정된 이벤트를 지원하는 데 도움이 되는 서비스를 만든 다음 이벤트가 완료된 후에는 다시 중단하지 않을 수 있습니다. 나중에 해당 서비스와 관련 API를 보는 사람은 왜 존재하는지 전혀 알지 못할 수 있으며 문서가 없으면 수수께끼로 남을 수 있습니다. 그들은 생산 환경에서 이러한 API를 제거하거나 그들이 얼마나 중요한지 또는 무엇을 하는지 전혀 알지 못하기 때문에 더 새로운 버전으로 업그레이드하는 것이 불편할 수 있습니다.
프레임워크의 API 보안이 시간이 지남에 따라 향상되므로 취약점이 위험해집니다. 연구원은 취약점을 발견하거나 점점 더 인기 있는 유형의 공격을 막기 위해 추가 보안을 추가할 수 있습니다. 이전 API는 업그레이드하지 않는 한 이러한 공격에 취약할 수 있으므로 해커는 종종 해당 API를 검색하거나 자동화된 도구를 사용하여 이를 검색합니다.
OWASP에서 제공하는 실제 예제에서 회사는 중요한 결함을 패치하기 위해 사용자 데이터베이스를 검색하는 데 사용되는 API를 업그레이드했습니다. 그러나 그들은 실수로 기존의 API를 제자리에 두드했습니다.
공격자는 새 API의 위치가 api.criticalservice.com/v2)와 같다는 것을 발견했습니다. URL을 (api.criticalservice.com/v1)로 대체하여 이전 API를 알려진 취약점으로 사용할 수 있었습니다. 이것은 궁극적으로 1 억 명 이상의 사용자의 개인 기록을 노출.
부적절한 자산 관리 결함 제거
사용자 환경에서 부적절한 자산 관리 결함을 제거하는 유일한 방법은 모든 API, 사용 및 버전에 대한 엄격한 인벤토리를 유지하는 것입니다. 이는 기존 API의 인벤토리로 시작하여 프로덕션 또는 개발과 같이 배포해야 하는 환경, 네트워크에 액세스할 수 있어야 하는 사용자 및 버전과 같은 요인에 중점을 두어야 합니다.
완료되면 작성된 새 API 또는 서비스에 문서가 자동으로 추가되는 프로세스를 구현해야 합니다. 여기에는 속도 제한, 요청 및 응답 처리 방법, 연결할 수 있는 엔드포인트, 적용되는 관련 정책, 나중에 감사하는 데 필요한 기타 모든 것을 포함하여 API의 모든 측면이 포함되어야 합니다. 또한 비생산 API 또는 프로덕션 환경에서 개발 환경의 API를 사용하지 않아야 합니다. 또한 자동 폐기를 방지하기 위해 소유자가 계속 사용해야 하는 API에 시간 제한을 추가하는 것도 고려해 보십시오.
활성 API의 새 버전을 사용할 수 있게 될 때마다 위험을 수행하십시오. assessment 업그레이드해야 하는지, 생산 환경의 방해를 피하기 위해 해당 프로세스가 어떻게 수행되어야 하는지 확인합니다. 새 API로 마이그레이션한 후 이전 API를 환경에서 완전히 제거합니다.
이러한 모든 작업을 수행하면 부적절한 자산 관리 취약점이 조직, 사용자 또는 네트워크에 해를 끼치지 않도록 할 수 있습니다. 체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
OWASP API 상위 10위권의 대부분의 취약점과 달리 부적절한 자산 관리는 코딩 결함에 특별히 중심을 두지 않습니다. 대신 이 취약점은 더 새롭고 안전한 버전으로 대체되어야 하는 오래된 API를 오래 동안 제자리에 유지할 수 있는 인간 또는 관리 문제에 가까울 수 있습니다. 또한 아직 개발 중인 API가 위협에 완전히 강화되기 전에 프로덕션 환경에 노출되는 경우에도 발생할 수 있습니다.
이 취약점은 마이크로 서비스 및 클라우드 컴퓨팅의 출현으로 인해 관리하기가 특히 어렵습니다. 이러한 환경에서는 일시적인 필요를 충족시키기 위해 새로운 서비스가 신속하게 스폰된 다음 잊어버렸고 결코 폐기되지 않을 수 있습니다. 이전 API가 프로덕션 환경에 연결되어 있으면 전체 네트워크를 위험에 빠뜨릴 수 있습니다.
이 보안 버그에 게임 챌린지를 시도하고 싶으신가요? 경기장으로 들어오세요: [여기에서 시작]
부적절한 자산 관리 결함이 API에 어떤 영향을 미칩니까?
부적절한 자산 관리 결함은 현대의 산물입니다. 비즈니스 속도로 이동하는 조직은 때때로 매일 수백 또는 수천 개의 서비스와 마이크로 서비스를 스핀업할 수 있습니다. 이 작업은 종종 수반되는 문서를 작성하거나 관련 API가 사용되는 것, 필요한 기간 또는 그 중요도에 대한 설명 없이 신속하게 수행됩니다. 이렇게 하면 시간이 지남에 따라 길들여질 수 없는 API 스프롤이 생성될 수 있으며, 특히 API가 얼마나 오래 존재할 수 있는지 를 정의하는 담요 정책이 없는 경우 더욱 그렇다.
이러한 환경에서일부 API가 손실되거나 잊혀지거나 폐기되지 않을 가능성이 큽분입니다.
정상적인 프로세스 이외의 새로운 서비스를 만들 수 있는 권한이 있는 사용자도 때때로 비난할 수 있습니다. 예를 들어 마케팅 그룹은 제품 출시와 같은 예정된 이벤트를 지원하는 데 도움이 되는 서비스를 만든 다음 이벤트가 완료된 후에는 다시 중단하지 않을 수 있습니다. 나중에 해당 서비스와 관련 API를 보는 사람은 왜 존재하는지 전혀 알지 못할 수 있으며 문서가 없으면 수수께끼로 남을 수 있습니다. 그들은 생산 환경에서 이러한 API를 제거하거나 그들이 얼마나 중요한지 또는 무엇을 하는지 전혀 알지 못하기 때문에 더 새로운 버전으로 업그레이드하는 것이 불편할 수 있습니다.
프레임워크의 API 보안이 시간이 지남에 따라 향상되므로 취약점이 위험해집니다. 연구원은 취약점을 발견하거나 점점 더 인기 있는 유형의 공격을 막기 위해 추가 보안을 추가할 수 있습니다. 이전 API는 업그레이드하지 않는 한 이러한 공격에 취약할 수 있으므로 해커는 종종 해당 API를 검색하거나 자동화된 도구를 사용하여 이를 검색합니다.
OWASP에서 제공하는 실제 예제에서 회사는 중요한 결함을 패치하기 위해 사용자 데이터베이스를 검색하는 데 사용되는 API를 업그레이드했습니다. 그러나 그들은 실수로 기존의 API를 제자리에 두드했습니다.
공격자는 새 API의 위치가 api.criticalservice.com/v2)와 같다는 것을 발견했습니다. URL을 (api.criticalservice.com/v1)로 대체하여 이전 API를 알려진 취약점으로 사용할 수 있었습니다. 이것은 궁극적으로 1 억 명 이상의 사용자의 개인 기록을 노출.
부적절한 자산 관리 결함 제거
사용자 환경에서 부적절한 자산 관리 결함을 제거하는 유일한 방법은 모든 API, 사용 및 버전에 대한 엄격한 인벤토리를 유지하는 것입니다. 이는 기존 API의 인벤토리로 시작하여 프로덕션 또는 개발과 같이 배포해야 하는 환경, 네트워크에 액세스할 수 있어야 하는 사용자 및 버전과 같은 요인에 중점을 두어야 합니다.
완료되면 작성된 새 API 또는 서비스에 문서가 자동으로 추가되는 프로세스를 구현해야 합니다. 여기에는 속도 제한, 요청 및 응답 처리 방법, 연결할 수 있는 엔드포인트, 적용되는 관련 정책, 나중에 감사하는 데 필요한 기타 모든 것을 포함하여 API의 모든 측면이 포함되어야 합니다. 또한 비생산 API 또는 프로덕션 환경에서 개발 환경의 API를 사용하지 않아야 합니다. 또한 자동 폐기를 방지하기 위해 소유자가 계속 사용해야 하는 API에 시간 제한을 추가하는 것도 고려해 보십시오.
활성 API의 새 버전을 사용할 수 있게 될 때마다 위험을 수행하십시오. assessment 업그레이드해야 하는지, 생산 환경의 방해를 피하기 위해 해당 프로세스가 어떻게 수행되어야 하는지 확인합니다. 새 API로 마이그레이션한 후 이전 API를 환경에서 완전히 제거합니다.
이러한 모든 작업을 수행하면 부적절한 자산 관리 취약점이 조직, 사용자 또는 네트워크에 해를 끼치지 않도록 할 수 있습니다. 체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
OWASP API 상위 10위권의 대부분의 취약점과 달리 부적절한 자산 관리는 코딩 결함에 특별히 중심을 두지 않습니다. 대신 이 취약점은 더 새롭고 안전한 버전으로 대체되어야 하는 오래된 API를 오래 동안 제자리에 유지할 수 있는 인간 또는 관리 문제에 가까울 수 있습니다. 또한 아직 개발 중인 API가 위협에 완전히 강화되기 전에 프로덕션 환경에 노출되는 경우에도 발생할 수 있습니다.
이 취약점은 마이크로 서비스 및 클라우드 컴퓨팅의 출현으로 인해 관리하기가 특히 어렵습니다. 이러한 환경에서는 일시적인 필요를 충족시키기 위해 새로운 서비스가 신속하게 스폰된 다음 잊어버렸고 결코 폐기되지 않을 수 있습니다. 이전 API가 프로덕션 환경에 연결되어 있으면 전체 네트워크를 위험에 빠뜨릴 수 있습니다.
이 보안 버그에 게임 챌린지를 시도하고 싶으신가요? 경기장으로 들어오세요: [여기에서 시작]
부적절한 자산 관리 결함이 API에 어떤 영향을 미칩니까?
부적절한 자산 관리 결함은 현대의 산물입니다. 비즈니스 속도로 이동하는 조직은 때때로 매일 수백 또는 수천 개의 서비스와 마이크로 서비스를 스핀업할 수 있습니다. 이 작업은 종종 수반되는 문서를 작성하거나 관련 API가 사용되는 것, 필요한 기간 또는 그 중요도에 대한 설명 없이 신속하게 수행됩니다. 이렇게 하면 시간이 지남에 따라 길들여질 수 없는 API 스프롤이 생성될 수 있으며, 특히 API가 얼마나 오래 존재할 수 있는지 를 정의하는 담요 정책이 없는 경우 더욱 그렇다.
이러한 환경에서일부 API가 손실되거나 잊혀지거나 폐기되지 않을 가능성이 큽분입니다.
정상적인 프로세스 이외의 새로운 서비스를 만들 수 있는 권한이 있는 사용자도 때때로 비난할 수 있습니다. 예를 들어 마케팅 그룹은 제품 출시와 같은 예정된 이벤트를 지원하는 데 도움이 되는 서비스를 만든 다음 이벤트가 완료된 후에는 다시 중단하지 않을 수 있습니다. 나중에 해당 서비스와 관련 API를 보는 사람은 왜 존재하는지 전혀 알지 못할 수 있으며 문서가 없으면 수수께끼로 남을 수 있습니다. 그들은 생산 환경에서 이러한 API를 제거하거나 그들이 얼마나 중요한지 또는 무엇을 하는지 전혀 알지 못하기 때문에 더 새로운 버전으로 업그레이드하는 것이 불편할 수 있습니다.
프레임워크의 API 보안이 시간이 지남에 따라 향상되므로 취약점이 위험해집니다. 연구원은 취약점을 발견하거나 점점 더 인기 있는 유형의 공격을 막기 위해 추가 보안을 추가할 수 있습니다. 이전 API는 업그레이드하지 않는 한 이러한 공격에 취약할 수 있으므로 해커는 종종 해당 API를 검색하거나 자동화된 도구를 사용하여 이를 검색합니다.
OWASP에서 제공하는 실제 예제에서 회사는 중요한 결함을 패치하기 위해 사용자 데이터베이스를 검색하는 데 사용되는 API를 업그레이드했습니다. 그러나 그들은 실수로 기존의 API를 제자리에 두드했습니다.
공격자는 새 API의 위치가 api.criticalservice.com/v2)와 같다는 것을 발견했습니다. URL을 (api.criticalservice.com/v1)로 대체하여 이전 API를 알려진 취약점으로 사용할 수 있었습니다. 이것은 궁극적으로 1 억 명 이상의 사용자의 개인 기록을 노출.
부적절한 자산 관리 결함 제거
사용자 환경에서 부적절한 자산 관리 결함을 제거하는 유일한 방법은 모든 API, 사용 및 버전에 대한 엄격한 인벤토리를 유지하는 것입니다. 이는 기존 API의 인벤토리로 시작하여 프로덕션 또는 개발과 같이 배포해야 하는 환경, 네트워크에 액세스할 수 있어야 하는 사용자 및 버전과 같은 요인에 중점을 두어야 합니다.
완료되면 작성된 새 API 또는 서비스에 문서가 자동으로 추가되는 프로세스를 구현해야 합니다. 여기에는 속도 제한, 요청 및 응답 처리 방법, 연결할 수 있는 엔드포인트, 적용되는 관련 정책, 나중에 감사하는 데 필요한 기타 모든 것을 포함하여 API의 모든 측면이 포함되어야 합니다. 또한 비생산 API 또는 프로덕션 환경에서 개발 환경의 API를 사용하지 않아야 합니다. 또한 자동 폐기를 방지하기 위해 소유자가 계속 사용해야 하는 API에 시간 제한을 추가하는 것도 고려해 보십시오.
활성 API의 새 버전을 사용할 수 있게 될 때마다 위험을 수행하십시오. assessment 업그레이드해야 하는지, 생산 환경의 방해를 피하기 위해 해당 프로세스가 어떻게 수행되어야 하는지 확인합니다. 새 API로 마이그레이션한 후 이전 API를 환경에서 완전히 제거합니다.
이러한 모든 작업을 수행하면 부적절한 자산 관리 취약점이 조직, 사용자 또는 네트워크에 해를 끼치지 않도록 할 수 있습니다. 체크 아웃 Secure Code Warrior 이 취약점에 대한 자세한 정보를 위한 블로그 페이지와 다른 보안 결함의 파괴로부터 조직과 고객을 보호하는 방법. 데모를 시도할 수도 있습니다. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하기 위한 교육 플랫폼을 제공합니다.
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
