코더들이 보안을 정복하다: Share & Learn 시리즈 - 알려진 취약점이 있는 구성 요소 사용
모든 응용 프로그램에 있는 한 가지는 무엇입니까?컴포넌트 (종속성 또는 라이브러리라고도 함).특정 시점에 다른 코드에 의존하지 않는 코드는 세상에 거의 없습니다.심지어 애플리케이션을 만들 때부터 산더미처럼 쌓인 종속성으로 시작하기도 하죠!
모든 애플리케이션은 대부분 사용자가 작성하지 않은 구성 요소를 사용하므로 사용하는 구성 요소 내의 취약성이 문제가 될 수 있습니다.취약성이 알려진 구성 요소를 사용하는 것이 무엇을 의미하는지, 얼마나 위험한지, 해결 방법에 대해 알아보겠습니다.
알려진 취약점이 있는 구성 요소 사용 이해
모든 복잡한 소프트웨어에는 취약점이 있습니다.그게 짐승의 본성이야.따라서 구성 요소가 100% 안전할 수는 없습니다.하지만 구성 요소에서 취약점이 발견되면 그 사실을 알고 계신가요?이에 대한 준비가 되셨나요?
구성 요소가 사용 수명이 지난 후 또는 취약점이 발견된 후에 사용할 때 문제가 가장 자주 발생합니다.대부분의 구성 요소 및 라이브러리는 취약성이 발표되는 시점 또는 그 이전에 보안 취약점에 대한 패치를 릴리스합니다.따라서 구성 요소의 취약점이 발견되어 발표되면 가능한 한 빨리 구성 요소를 업데이트하는 것이 가장 중요합니다.취약한 소프트웨어를 프로덕션 환경에 방치하지 마십시오.
구성 요소는 여러 출처에서 가져올 수 있습니다.사용자 지정 코드와 직접 통합되는 타사 공급업체 제품을 구매하는 경우도 있습니다.이러한 구성 요소는 코드의 일부가 되어 동일한 권한 수준에서 작동합니다.또 다른 소스는 GitHub와 같은 사이트에서 호스팅되는 오픈소스 프로젝트입니다.모든 오픈소스 라이브러리가 취약점을 면밀히 검사하거나 감사한 것은 아니기 때문에 오픈소스는 위험할 수 있습니다.
공격자는 구성 요소 취약성 정보를 유리하게 사용합니다.취약성이 공개적으로 발표되기 때문에 공격자는 사용자와 동시에 취약성에 대해 알게 됩니다.공격자는 또한 사용자가 어떤 구성 요소를 사용하고 있는지 알아내는 데 사용할 수 있는 기술을 가지고 있습니다.이 정보를 알게 되면 패치가 적용되지 않은 경우 애플리케이션을 공격하는 방법을 알게 될 것입니다.
취약한 구성 요소가 위험한 이유 알아보기
알려진 취약점이 있는 구성 요소를 사용하는 것이 얼마나 위험한지에 대한 증거를 찾고 있다면 2017년 Equifax 보안 침해 사건을 살펴보십시오.
2017년 7월에는 에퀴팩스미국 신용 조사 기관인 는 1억 4,700만 명이 넘는 사람들의 개인 식별 정보가 유출된 대규모 데이터 유출 사건을 발견했습니다.이 데이터 유출의 범위와 영향은 전례가 없습니다.최근에 뉴스가 나왔습니다. Equifax의 느슨한 보안 관행.
이러한 허술한 방법 중 하나가 패치 관리였습니다.Equifax에는 적절한 패치 관리 방법이 없었기 때문에 구성 요소가 패치를 적용하지 않고는 꽤 오랜 시간이 걸렸습니다. 이것이 위반의 직접적인 원인이었습니다..
Equifax의 웹 사이트는 다음을 사용했습니다. 아파치 스트럿츠 웹 프레임워크.공격자들이 네트워크를 해킹하기 몇 달 전, 스트럿츠 프레임워크인 아파치 스트럿츠 CVE-2017-5638 취약점이 발견되었습니다.하지만 Equifax는 이 취약점을 패치하지 않았습니다.공격자들은 이 취약점을 이용해 Equifax의 네트워크에 액세스했습니다.그곳에서 그들은 귀중한 개인 정보에 접근할 수 있었습니다.
많은 웹 사이트는 회사에서 작성하지 않은 웹 프레임워크를 기반으로 합니다.필요한 모든 기능을 처음부터 새로 구축하는 것은 너무 큰 작업이기 때문에 이는 일반적인 관행입니다.그러나 프레임워크에 크게 의존하면 취약점에 노출될 수 있습니다.차세대 Equifax가 되지 마세요.
취약한 구성 요소로부터 보호하는 방법
취약한 구성 요소 사용을 방지하는 데는 만능이 아닙니다.하지만 취약한 구성 요소가 시스템을 손상시키는 데 사용될 위험을 완화하는 데 사용할 수 있는 정책과 통제가 있습니다.
애플리케이션을 빌드하는 데 사용하는 구성 요소와 각 구성 요소의 버전을 알아야 합니다.종속성 관리 도구 (예: OWASP의 종속성 검사 사용 중인 종속성을 파악하는 데 도움이 됩니다.종속성 검사를 통해 해당 구성 요소 중 공개적으로 공개된 취약점이 있는지도 확인할 수 있습니다.
패치 관리 방법론도 필수적입니다.취약점이 발견되면 패치를 다운로드하여 테스트하고 프로덕션 환경에 원활하게 출시할 수 있는 시스템을 마련하십시오.소프트웨어를 계속 패치하면 몇 개월 된 취약점이 공격자에 의해 악용되는 것을 방지할 수 있습니다.
마지막으로, 오픈 소스 및 타사 구성 요소의 사용을 규제하는 정책을 마련하세요.개발자들은 관료주의를 끌기를 싫어하는데, 이는 충분히 이해할 수 있는 일입니다.하지만 조직에서 작성하지 않은 코드에 대해서는 심사 과정이 있어야 합니다.무거울 필요는 없지만 알 수 없는 구성 요소가 사용되는 것을 방지하려면 반드시 거쳐야 합니다.최소한 사용된 구성 요소의 인벤토리는 최신 상태로 유지해야 합니다.
타사 버그에 물리지 마세요
구성 요소에는 취약점이 있습니다.비즈니스 애플리케이션은 공급업체의 구성 요소든 오픈 소스 라이브러리의 구성 요소든 상관없이 사용할 것입니다.그렇다고 해서 조직이 공격에 취약할 필요는 없습니다.
공격자는 사용자와 동시에 어떤 취약점이 존재하는지 알지만 패치는 일반적으로 공개 발표와 동시에 제공됩니다.따라서 애플리케이션에서 무엇을 사용하고 있는지 반드시 숙지하세요.취약점을 파악하세요.구성 요소를 계속 패치하세요!
취약한 구성 요소를 발견하고 제거할 준비가 되셨나요?아레나로 가서 전투에 참여하세요: [여기서 시작]
모든 애플리케이션은 대부분 사용자가 작성하지 않은 구성 요소를 사용하므로 사용하는 구성 요소 내의 취약성이 문제가 될 수 있습니다.취약성이 알려진 구성 요소를 사용하는 것이 무엇을 의미하는지, 얼마나 위험한지, 해결 방법에 대해 알아보겠습니다.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
모든 응용 프로그램에 있는 한 가지는 무엇입니까?컴포넌트 (종속성 또는 라이브러리라고도 함).특정 시점에 다른 코드에 의존하지 않는 코드는 세상에 거의 없습니다.심지어 애플리케이션을 만들 때부터 산더미처럼 쌓인 종속성으로 시작하기도 하죠!
모든 애플리케이션은 대부분 사용자가 작성하지 않은 구성 요소를 사용하므로 사용하는 구성 요소 내의 취약성이 문제가 될 수 있습니다.취약성이 알려진 구성 요소를 사용하는 것이 무엇을 의미하는지, 얼마나 위험한지, 해결 방법에 대해 알아보겠습니다.
알려진 취약점이 있는 구성 요소 사용 이해
모든 복잡한 소프트웨어에는 취약점이 있습니다.그게 짐승의 본성이야.따라서 구성 요소가 100% 안전할 수는 없습니다.하지만 구성 요소에서 취약점이 발견되면 그 사실을 알고 계신가요?이에 대한 준비가 되셨나요?
구성 요소가 사용 수명이 지난 후 또는 취약점이 발견된 후에 사용할 때 문제가 가장 자주 발생합니다.대부분의 구성 요소 및 라이브러리는 취약성이 발표되는 시점 또는 그 이전에 보안 취약점에 대한 패치를 릴리스합니다.따라서 구성 요소의 취약점이 발견되어 발표되면 가능한 한 빨리 구성 요소를 업데이트하는 것이 가장 중요합니다.취약한 소프트웨어를 프로덕션 환경에 방치하지 마십시오.
구성 요소는 여러 출처에서 가져올 수 있습니다.사용자 지정 코드와 직접 통합되는 타사 공급업체 제품을 구매하는 경우도 있습니다.이러한 구성 요소는 코드의 일부가 되어 동일한 권한 수준에서 작동합니다.또 다른 소스는 GitHub와 같은 사이트에서 호스팅되는 오픈소스 프로젝트입니다.모든 오픈소스 라이브러리가 취약점을 면밀히 검사하거나 감사한 것은 아니기 때문에 오픈소스는 위험할 수 있습니다.
공격자는 구성 요소 취약성 정보를 유리하게 사용합니다.취약성이 공개적으로 발표되기 때문에 공격자는 사용자와 동시에 취약성에 대해 알게 됩니다.공격자는 또한 사용자가 어떤 구성 요소를 사용하고 있는지 알아내는 데 사용할 수 있는 기술을 가지고 있습니다.이 정보를 알게 되면 패치가 적용되지 않은 경우 애플리케이션을 공격하는 방법을 알게 될 것입니다.
취약한 구성 요소가 위험한 이유 알아보기
알려진 취약점이 있는 구성 요소를 사용하는 것이 얼마나 위험한지에 대한 증거를 찾고 있다면 2017년 Equifax 보안 침해 사건을 살펴보십시오.
2017년 7월에는 에퀴팩스미국 신용 조사 기관인 는 1억 4,700만 명이 넘는 사람들의 개인 식별 정보가 유출된 대규모 데이터 유출 사건을 발견했습니다.이 데이터 유출의 범위와 영향은 전례가 없습니다.최근에 뉴스가 나왔습니다. Equifax의 느슨한 보안 관행.
이러한 허술한 방법 중 하나가 패치 관리였습니다.Equifax에는 적절한 패치 관리 방법이 없었기 때문에 구성 요소가 패치를 적용하지 않고는 꽤 오랜 시간이 걸렸습니다. 이것이 위반의 직접적인 원인이었습니다..
Equifax의 웹 사이트는 다음을 사용했습니다. 아파치 스트럿츠 웹 프레임워크.공격자들이 네트워크를 해킹하기 몇 달 전, 스트럿츠 프레임워크인 아파치 스트럿츠 CVE-2017-5638 취약점이 발견되었습니다.하지만 Equifax는 이 취약점을 패치하지 않았습니다.공격자들은 이 취약점을 이용해 Equifax의 네트워크에 액세스했습니다.그곳에서 그들은 귀중한 개인 정보에 접근할 수 있었습니다.
많은 웹 사이트는 회사에서 작성하지 않은 웹 프레임워크를 기반으로 합니다.필요한 모든 기능을 처음부터 새로 구축하는 것은 너무 큰 작업이기 때문에 이는 일반적인 관행입니다.그러나 프레임워크에 크게 의존하면 취약점에 노출될 수 있습니다.차세대 Equifax가 되지 마세요.
취약한 구성 요소로부터 보호하는 방법
취약한 구성 요소 사용을 방지하는 데는 만능이 아닙니다.하지만 취약한 구성 요소가 시스템을 손상시키는 데 사용될 위험을 완화하는 데 사용할 수 있는 정책과 통제가 있습니다.
애플리케이션을 빌드하는 데 사용하는 구성 요소와 각 구성 요소의 버전을 알아야 합니다.종속성 관리 도구 (예: OWASP의 종속성 검사 사용 중인 종속성을 파악하는 데 도움이 됩니다.종속성 검사를 통해 해당 구성 요소 중 공개적으로 공개된 취약점이 있는지도 확인할 수 있습니다.
패치 관리 방법론도 필수적입니다.취약점이 발견되면 패치를 다운로드하여 테스트하고 프로덕션 환경에 원활하게 출시할 수 있는 시스템을 마련하십시오.소프트웨어를 계속 패치하면 몇 개월 된 취약점이 공격자에 의해 악용되는 것을 방지할 수 있습니다.
마지막으로, 오픈 소스 및 타사 구성 요소의 사용을 규제하는 정책을 마련하세요.개발자들은 관료주의를 끌기를 싫어하는데, 이는 충분히 이해할 수 있는 일입니다.하지만 조직에서 작성하지 않은 코드에 대해서는 심사 과정이 있어야 합니다.무거울 필요는 없지만 알 수 없는 구성 요소가 사용되는 것을 방지하려면 반드시 거쳐야 합니다.최소한 사용된 구성 요소의 인벤토리는 최신 상태로 유지해야 합니다.
타사 버그에 물리지 마세요
구성 요소에는 취약점이 있습니다.비즈니스 애플리케이션은 공급업체의 구성 요소든 오픈 소스 라이브러리의 구성 요소든 상관없이 사용할 것입니다.그렇다고 해서 조직이 공격에 취약할 필요는 없습니다.
공격자는 사용자와 동시에 어떤 취약점이 존재하는지 알지만 패치는 일반적으로 공개 발표와 동시에 제공됩니다.따라서 애플리케이션에서 무엇을 사용하고 있는지 반드시 숙지하세요.취약점을 파악하세요.구성 요소를 계속 패치하세요!
취약한 구성 요소를 발견하고 제거할 준비가 되셨나요?아레나로 가서 전투에 참여하세요: [여기서 시작]
모든 응용 프로그램에 있는 한 가지는 무엇입니까?컴포넌트 (종속성 또는 라이브러리라고도 함).특정 시점에 다른 코드에 의존하지 않는 코드는 세상에 거의 없습니다.심지어 애플리케이션을 만들 때부터 산더미처럼 쌓인 종속성으로 시작하기도 하죠!
모든 애플리케이션은 대부분 사용자가 작성하지 않은 구성 요소를 사용하므로 사용하는 구성 요소 내의 취약성이 문제가 될 수 있습니다.취약성이 알려진 구성 요소를 사용하는 것이 무엇을 의미하는지, 얼마나 위험한지, 해결 방법에 대해 알아보겠습니다.
알려진 취약점이 있는 구성 요소 사용 이해
모든 복잡한 소프트웨어에는 취약점이 있습니다.그게 짐승의 본성이야.따라서 구성 요소가 100% 안전할 수는 없습니다.하지만 구성 요소에서 취약점이 발견되면 그 사실을 알고 계신가요?이에 대한 준비가 되셨나요?
구성 요소가 사용 수명이 지난 후 또는 취약점이 발견된 후에 사용할 때 문제가 가장 자주 발생합니다.대부분의 구성 요소 및 라이브러리는 취약성이 발표되는 시점 또는 그 이전에 보안 취약점에 대한 패치를 릴리스합니다.따라서 구성 요소의 취약점이 발견되어 발표되면 가능한 한 빨리 구성 요소를 업데이트하는 것이 가장 중요합니다.취약한 소프트웨어를 프로덕션 환경에 방치하지 마십시오.
구성 요소는 여러 출처에서 가져올 수 있습니다.사용자 지정 코드와 직접 통합되는 타사 공급업체 제품을 구매하는 경우도 있습니다.이러한 구성 요소는 코드의 일부가 되어 동일한 권한 수준에서 작동합니다.또 다른 소스는 GitHub와 같은 사이트에서 호스팅되는 오픈소스 프로젝트입니다.모든 오픈소스 라이브러리가 취약점을 면밀히 검사하거나 감사한 것은 아니기 때문에 오픈소스는 위험할 수 있습니다.
공격자는 구성 요소 취약성 정보를 유리하게 사용합니다.취약성이 공개적으로 발표되기 때문에 공격자는 사용자와 동시에 취약성에 대해 알게 됩니다.공격자는 또한 사용자가 어떤 구성 요소를 사용하고 있는지 알아내는 데 사용할 수 있는 기술을 가지고 있습니다.이 정보를 알게 되면 패치가 적용되지 않은 경우 애플리케이션을 공격하는 방법을 알게 될 것입니다.
취약한 구성 요소가 위험한 이유 알아보기
알려진 취약점이 있는 구성 요소를 사용하는 것이 얼마나 위험한지에 대한 증거를 찾고 있다면 2017년 Equifax 보안 침해 사건을 살펴보십시오.
2017년 7월에는 에퀴팩스미국 신용 조사 기관인 는 1억 4,700만 명이 넘는 사람들의 개인 식별 정보가 유출된 대규모 데이터 유출 사건을 발견했습니다.이 데이터 유출의 범위와 영향은 전례가 없습니다.최근에 뉴스가 나왔습니다. Equifax의 느슨한 보안 관행.
이러한 허술한 방법 중 하나가 패치 관리였습니다.Equifax에는 적절한 패치 관리 방법이 없었기 때문에 구성 요소가 패치를 적용하지 않고는 꽤 오랜 시간이 걸렸습니다. 이것이 위반의 직접적인 원인이었습니다..
Equifax의 웹 사이트는 다음을 사용했습니다. 아파치 스트럿츠 웹 프레임워크.공격자들이 네트워크를 해킹하기 몇 달 전, 스트럿츠 프레임워크인 아파치 스트럿츠 CVE-2017-5638 취약점이 발견되었습니다.하지만 Equifax는 이 취약점을 패치하지 않았습니다.공격자들은 이 취약점을 이용해 Equifax의 네트워크에 액세스했습니다.그곳에서 그들은 귀중한 개인 정보에 접근할 수 있었습니다.
많은 웹 사이트는 회사에서 작성하지 않은 웹 프레임워크를 기반으로 합니다.필요한 모든 기능을 처음부터 새로 구축하는 것은 너무 큰 작업이기 때문에 이는 일반적인 관행입니다.그러나 프레임워크에 크게 의존하면 취약점에 노출될 수 있습니다.차세대 Equifax가 되지 마세요.
취약한 구성 요소로부터 보호하는 방법
취약한 구성 요소 사용을 방지하는 데는 만능이 아닙니다.하지만 취약한 구성 요소가 시스템을 손상시키는 데 사용될 위험을 완화하는 데 사용할 수 있는 정책과 통제가 있습니다.
애플리케이션을 빌드하는 데 사용하는 구성 요소와 각 구성 요소의 버전을 알아야 합니다.종속성 관리 도구 (예: OWASP의 종속성 검사 사용 중인 종속성을 파악하는 데 도움이 됩니다.종속성 검사를 통해 해당 구성 요소 중 공개적으로 공개된 취약점이 있는지도 확인할 수 있습니다.
패치 관리 방법론도 필수적입니다.취약점이 발견되면 패치를 다운로드하여 테스트하고 프로덕션 환경에 원활하게 출시할 수 있는 시스템을 마련하십시오.소프트웨어를 계속 패치하면 몇 개월 된 취약점이 공격자에 의해 악용되는 것을 방지할 수 있습니다.
마지막으로, 오픈 소스 및 타사 구성 요소의 사용을 규제하는 정책을 마련하세요.개발자들은 관료주의를 끌기를 싫어하는데, 이는 충분히 이해할 수 있는 일입니다.하지만 조직에서 작성하지 않은 코드에 대해서는 심사 과정이 있어야 합니다.무거울 필요는 없지만 알 수 없는 구성 요소가 사용되는 것을 방지하려면 반드시 거쳐야 합니다.최소한 사용된 구성 요소의 인벤토리는 최신 상태로 유지해야 합니다.
타사 버그에 물리지 마세요
구성 요소에는 취약점이 있습니다.비즈니스 애플리케이션은 공급업체의 구성 요소든 오픈 소스 라이브러리의 구성 요소든 상관없이 사용할 것입니다.그렇다고 해서 조직이 공격에 취약할 필요는 없습니다.
공격자는 사용자와 동시에 어떤 취약점이 존재하는지 알지만 패치는 일반적으로 공개 발표와 동시에 제공됩니다.따라서 애플리케이션에서 무엇을 사용하고 있는지 반드시 숙지하세요.취약점을 파악하세요.구성 요소를 계속 패치하세요!
취약한 구성 요소를 발견하고 제거할 준비가 되셨나요?아레나로 가서 전투에 참여하세요: [여기서 시작]
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
모든 응용 프로그램에 있는 한 가지는 무엇입니까?컴포넌트 (종속성 또는 라이브러리라고도 함).특정 시점에 다른 코드에 의존하지 않는 코드는 세상에 거의 없습니다.심지어 애플리케이션을 만들 때부터 산더미처럼 쌓인 종속성으로 시작하기도 하죠!
모든 애플리케이션은 대부분 사용자가 작성하지 않은 구성 요소를 사용하므로 사용하는 구성 요소 내의 취약성이 문제가 될 수 있습니다.취약성이 알려진 구성 요소를 사용하는 것이 무엇을 의미하는지, 얼마나 위험한지, 해결 방법에 대해 알아보겠습니다.
알려진 취약점이 있는 구성 요소 사용 이해
모든 복잡한 소프트웨어에는 취약점이 있습니다.그게 짐승의 본성이야.따라서 구성 요소가 100% 안전할 수는 없습니다.하지만 구성 요소에서 취약점이 발견되면 그 사실을 알고 계신가요?이에 대한 준비가 되셨나요?
구성 요소가 사용 수명이 지난 후 또는 취약점이 발견된 후에 사용할 때 문제가 가장 자주 발생합니다.대부분의 구성 요소 및 라이브러리는 취약성이 발표되는 시점 또는 그 이전에 보안 취약점에 대한 패치를 릴리스합니다.따라서 구성 요소의 취약점이 발견되어 발표되면 가능한 한 빨리 구성 요소를 업데이트하는 것이 가장 중요합니다.취약한 소프트웨어를 프로덕션 환경에 방치하지 마십시오.
구성 요소는 여러 출처에서 가져올 수 있습니다.사용자 지정 코드와 직접 통합되는 타사 공급업체 제품을 구매하는 경우도 있습니다.이러한 구성 요소는 코드의 일부가 되어 동일한 권한 수준에서 작동합니다.또 다른 소스는 GitHub와 같은 사이트에서 호스팅되는 오픈소스 프로젝트입니다.모든 오픈소스 라이브러리가 취약점을 면밀히 검사하거나 감사한 것은 아니기 때문에 오픈소스는 위험할 수 있습니다.
공격자는 구성 요소 취약성 정보를 유리하게 사용합니다.취약성이 공개적으로 발표되기 때문에 공격자는 사용자와 동시에 취약성에 대해 알게 됩니다.공격자는 또한 사용자가 어떤 구성 요소를 사용하고 있는지 알아내는 데 사용할 수 있는 기술을 가지고 있습니다.이 정보를 알게 되면 패치가 적용되지 않은 경우 애플리케이션을 공격하는 방법을 알게 될 것입니다.
취약한 구성 요소가 위험한 이유 알아보기
알려진 취약점이 있는 구성 요소를 사용하는 것이 얼마나 위험한지에 대한 증거를 찾고 있다면 2017년 Equifax 보안 침해 사건을 살펴보십시오.
2017년 7월에는 에퀴팩스미국 신용 조사 기관인 는 1억 4,700만 명이 넘는 사람들의 개인 식별 정보가 유출된 대규모 데이터 유출 사건을 발견했습니다.이 데이터 유출의 범위와 영향은 전례가 없습니다.최근에 뉴스가 나왔습니다. Equifax의 느슨한 보안 관행.
이러한 허술한 방법 중 하나가 패치 관리였습니다.Equifax에는 적절한 패치 관리 방법이 없었기 때문에 구성 요소가 패치를 적용하지 않고는 꽤 오랜 시간이 걸렸습니다. 이것이 위반의 직접적인 원인이었습니다..
Equifax의 웹 사이트는 다음을 사용했습니다. 아파치 스트럿츠 웹 프레임워크.공격자들이 네트워크를 해킹하기 몇 달 전, 스트럿츠 프레임워크인 아파치 스트럿츠 CVE-2017-5638 취약점이 발견되었습니다.하지만 Equifax는 이 취약점을 패치하지 않았습니다.공격자들은 이 취약점을 이용해 Equifax의 네트워크에 액세스했습니다.그곳에서 그들은 귀중한 개인 정보에 접근할 수 있었습니다.
많은 웹 사이트는 회사에서 작성하지 않은 웹 프레임워크를 기반으로 합니다.필요한 모든 기능을 처음부터 새로 구축하는 것은 너무 큰 작업이기 때문에 이는 일반적인 관행입니다.그러나 프레임워크에 크게 의존하면 취약점에 노출될 수 있습니다.차세대 Equifax가 되지 마세요.
취약한 구성 요소로부터 보호하는 방법
취약한 구성 요소 사용을 방지하는 데는 만능이 아닙니다.하지만 취약한 구성 요소가 시스템을 손상시키는 데 사용될 위험을 완화하는 데 사용할 수 있는 정책과 통제가 있습니다.
애플리케이션을 빌드하는 데 사용하는 구성 요소와 각 구성 요소의 버전을 알아야 합니다.종속성 관리 도구 (예: OWASP의 종속성 검사 사용 중인 종속성을 파악하는 데 도움이 됩니다.종속성 검사를 통해 해당 구성 요소 중 공개적으로 공개된 취약점이 있는지도 확인할 수 있습니다.
패치 관리 방법론도 필수적입니다.취약점이 발견되면 패치를 다운로드하여 테스트하고 프로덕션 환경에 원활하게 출시할 수 있는 시스템을 마련하십시오.소프트웨어를 계속 패치하면 몇 개월 된 취약점이 공격자에 의해 악용되는 것을 방지할 수 있습니다.
마지막으로, 오픈 소스 및 타사 구성 요소의 사용을 규제하는 정책을 마련하세요.개발자들은 관료주의를 끌기를 싫어하는데, 이는 충분히 이해할 수 있는 일입니다.하지만 조직에서 작성하지 않은 코드에 대해서는 심사 과정이 있어야 합니다.무거울 필요는 없지만 알 수 없는 구성 요소가 사용되는 것을 방지하려면 반드시 거쳐야 합니다.최소한 사용된 구성 요소의 인벤토리는 최신 상태로 유지해야 합니다.
타사 버그에 물리지 마세요
구성 요소에는 취약점이 있습니다.비즈니스 애플리케이션은 공급업체의 구성 요소든 오픈 소스 라이브러리의 구성 요소든 상관없이 사용할 것입니다.그렇다고 해서 조직이 공격에 취약할 필요는 없습니다.
공격자는 사용자와 동시에 어떤 취약점이 존재하는지 알지만 패치는 일반적으로 공개 발표와 동시에 제공됩니다.따라서 애플리케이션에서 무엇을 사용하고 있는지 반드시 숙지하세요.취약점을 파악하세요.구성 요소를 계속 패치하세요!
취약한 구성 요소를 발견하고 제거할 준비가 되셨나요?아레나로 가서 전투에 참여하세요: [여기서 시작]
%20(1).avif)
.avif)
