코드 시리즈로 보안 인프라를 정복하는 코더 시리즈: 장애인 보안 기능
오늘날 사이버 보안에 대한 위협은 어디에나 존재하며 끊임없이 이어집니다. 우리 삶의 더 많은 부분이 디지털화됨에 따라 사이버 범죄자들의 위험도 커집니다. 보안을 유지해야 할 코드는 너무 많고 개인 데이터는 너무 소중합니다. 그리고 프로그램을 배포한 후 공격 표면의 모든 측면을 따라잡고 방어하는 것은 거의 불가능해졌습니다.
이러한 증상 중 일부를 완화할 수 있는 방법이 있는데, 그중 하나는 현명한 조직이 IaC(Infrastructure as Code) 개념을 받아들일 때 분명히 드러납니다. 물론 다른 개발 분야와 마찬가지로 극복해야 할 몇 가지 보안 문제가 있습니다. 또한 개발자는 애플리케이션을 호스팅하기 위한 필수 인프라를 생성하는 코드를 개발하고 있기 때문에 프로세스의 모든 단계에서 보안 인식이 매우 중요합니다.
그렇다면 클라우드 서버 환경을 처음 접하는 개발자가 기술을 익히고, 요령을 익히며, 보안 인식을 강화하면서 빌드에 접근하는 방법은 정확히 무엇일까요? 일반적인 IaC 취약점을 해결하기 위해 차기 Coders Conquer Security 시리즈를 만들었습니다.그리고 다음 몇 개의 블로그에서는 개발자가 자신의 조직에 코드 형태로 보안 인프라를 배포하기 시작하기 위해 취할 수 있는 단계에 초점을 맞출 것입니다 .
시작해 볼까요.
미국 구서부(American Old West)에 나오는 한 남자에 관한 우화가 있습니다. 산적들이 농가를 공격해 강탈할 것이라는 망상증적 증세를 보였던 한 남자에 관한 이야기입니다. 이를 보완하기 위해 그는 매우 튼튼한 현관문을 설치하고, 창문을 모두 닫고, 손이 닿는 곳에 총을 많이 보관하는 등 온갖 종류의 보안에 투자했습니다.어느 날 밤 그는 옆문을 잠그는 것을 잊었기 때문에 잠자는 동안 여전히 강도를 당했습니다.도적들은 그저 경비원이 자리를 비운 틈을 노려 재빨리 상황을 악용했습니다.
인프라에서 보안 기능을 비활성화하는 것도 이와 비슷합니다. 네트워크에 강력한 보안 인프라가 있더라도 요소가 비활성화되면 별로 도움이 되지 않습니다.
본격적으로 시작하기 전에 한 가지 도전을 해보겠습니다.
위의 링크를 방문하면 게임화된 교육 플랫폼으로 이동합니다. 여기서 비활성화된 보안 기능 취약점을 바로 해결할 수 있습니다.(주의: 쿠버네티스에서 열리지만 드롭다운 메뉴를 사용하면 도커, 클라우드포메이션, 테라폼, 앤서블 중에서 선택할 수 있습니다..
어떻게 지내셨나요? 아직 해야 할 일이 있다면 아래 내용을 읽어보세요.
보안 기능은 다양한 이유로 비활성화될 수 있습니다. 일부 애플리케이션 및 프레임워크에서는 기본적으로 비활성화되어 있을 수 있으며 작동을 시작하려면 먼저 켜야 합니다. 또한 관리자가 지속적인 도전이나 차단을 당하지 않고 특정 작업을 더 쉽게 수행할 수 있도록 특정 보안 기능을 비활성화했을 수도 있습니다 (예: AWS S3 버킷을 공개로 설정). 작업이 완료된 후에는 비활성화된 기능을 다시 활성화하는 것을 잊어버릴 수 있습니다. 또한 나중에 더 쉽게 작업할 수 있도록 기능을 끈 상태로 두는 것을 선호할 수도 있습니다.
비활성화된 보안 기능이 위험한 이유
보안 기능을 하나 이상 사용하지 않도록 설정하는 것은 몇 가지 이유로 좋지 않습니다. 그 중 하나는 알려진 익스플로잇, 위협 또는 취약점으로부터 보호하기 위해 보안 기능을 인프라 리소스에 추가했다는 점입니다. 이 기능을 사용하지 않도록 설정하면 리소스를 보호할 수 없습니다.
공격자는 항상 쉽게 악용될 수 있는 취약점을 먼저 찾으려고 시도하며 스크립트를 사용하여 일반적인 약점을 찾아낼 수도 있습니다. 도둑이 거리의 모든 차를 뒤져 문이 열렸는지 확인하는 것과 다르지 않습니다. 창문을 부수는 것보다 훨씬 쉽습니다. 해커들은 일반적인 보안 방어가 비활성화되어 있다는 사실에 놀랄 수도 있습니다. 하지만 이런 일이 발생하면 해커들이 이를 악용하는 데 오래 걸리지 않을 것입니다.
둘째, 보안을 잘 갖추고 있다가 사용하지 않도록 설정하면 잘못된 보안 인식이 생깁니다. 관리자는 누군가가 이러한 방어 체계를 무력화했다는 사실을 모른다면 자신이 일반적인 위협으로부터 보호받고 있다고 생각할 수 있습니다.
공격자가 비활성화된 보안 기능을 악용할 수 있는 방법의 예로, 퍼블릭 액세스 차단이라는 AWS S3 보안 기능을 고려해 보십시오.Amazon S3 블록 퍼블릭 액세스를 사용하면 계정 관리자와 버킷 소유자가 손쉽게 중앙 집중식 제어를 설정하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다.그러나 S3 버킷에 접근할 때 문제가 발생하는 일부 관리자는 최대한 빨리 작업을 완료하기 위해 버킷을 공개하기로 결정합니다. 보안 기능을 활성화하는 것을 잊어버리면 공격자는 해당 S3 버킷에 저장된 정보에 완전히 접근할 수 있게 되어 정보가 유출될 뿐만 아니라 데이터 전송 요금으로 인해 추가 비용이 발생합니다.
실제 코드를 비교해 보겠습니다. 다음 CloudFormation 스니펫을 확인해 보세요.
취약:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: false
공개 정책 차단: false
퍼블릭 ACL 무시: false
퍼블릭 버킷 제한: false
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
보안:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: 참
공개 정책 차단: 참
퍼블릭 ACL 무시: true
퍼블릭 버킷 제한: true
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
비활성화된 보안 기능 방지
비활성화된 보안 기능이 조직에 부정적인 영향을 주지 않도록 하는 것은 관행만큼이나 정책의 문제입니다.매우 특정한 상황에서만 보안 기능을 사용하지 않도록 설정해야 한다는 확고한 정책이 있어야 합니다.문제를 해결하거나 응용 프로그램을 업데이트하기 위해 기능을 일시적으로 비활성화해야 하는 사건은 기록해야 합니다.필요한 작업을 완료한 후에는 기능이 완전히 다시 활성화되었는지 확인해야 합니다.
보안 기능을 영구적으로 비활성화해야 하는 경우, 기본 보호 기능이 없는 상태에서 해커가 해당 데이터에 접근하지 못하도록 영향을 받는 데이터에 다른 보호 기능을 제공해야 합니다. 필요한 보호 기능이 비활성화된 경우, 공격자가 잠기지 않은 문을 찾아 상황을 악용하는 것은 시간 문제일 뿐입니다.
자세히 알아보고 자신에게 도전해 보세요.
시큐어 코드 워리어의 블로그 페이지를 참조하여 이 취약점에 대한 자세한 정보와 다른 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보십시오.
게시물을 읽었으니 이 취약점을 찾아 수정할 준비가 되셨나요? 이제 해볼 시간입니다.iAC 게임화된 보안 챌린지를 시도해 보세요. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하십시오.
이 시리즈는 Infrastructure as Code의 8가지 주요 취약점을 다루는 주간 시리즈입니다. 자세한 내용은 다음 주에 다시 확인하세요!
공격자는 항상 쉽게 악용될 수 있는 취약점을 먼저 찾으려 시도하며 스크립트를 사용해 일반적인 약점을 찾아낼 수도 있습니다. 도둑이 거리의 모든 차를 뒤져 문이 열려 있는지 확인하는 것과 다르지 않습니다. 창문을 부수는 것보다 훨씬 쉽습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
오늘날 사이버 보안에 대한 위협은 어디에나 존재하며 끊임없이 이어집니다. 우리 삶의 더 많은 부분이 디지털화됨에 따라 사이버 범죄자들의 위험도 커집니다. 보안을 유지해야 할 코드는 너무 많고 개인 데이터는 너무 소중합니다. 그리고 프로그램을 배포한 후 공격 표면의 모든 측면을 따라잡고 방어하는 것은 거의 불가능해졌습니다.
이러한 증상 중 일부를 완화할 수 있는 방법이 있는데, 그중 하나는 현명한 조직이 IaC(Infrastructure as Code) 개념을 받아들일 때 분명히 드러납니다. 물론 다른 개발 분야와 마찬가지로 극복해야 할 몇 가지 보안 문제가 있습니다. 또한 개발자는 애플리케이션을 호스팅하기 위한 필수 인프라를 생성하는 코드를 개발하고 있기 때문에 프로세스의 모든 단계에서 보안 인식이 매우 중요합니다.
그렇다면 클라우드 서버 환경을 처음 접하는 개발자가 기술을 익히고, 요령을 익히며, 보안 인식을 강화하면서 빌드에 접근하는 방법은 정확히 무엇일까요? 일반적인 IaC 취약점을 해결하기 위해 차기 Coders Conquer Security 시리즈를 만들었습니다.그리고 다음 몇 개의 블로그에서는 개발자가 자신의 조직에 코드 형태로 보안 인프라를 배포하기 시작하기 위해 취할 수 있는 단계에 초점을 맞출 것입니다 .
시작해 볼까요.
미국 구서부(American Old West)에 나오는 한 남자에 관한 우화가 있습니다. 산적들이 농가를 공격해 강탈할 것이라는 망상증적 증세를 보였던 한 남자에 관한 이야기입니다. 이를 보완하기 위해 그는 매우 튼튼한 현관문을 설치하고, 창문을 모두 닫고, 손이 닿는 곳에 총을 많이 보관하는 등 온갖 종류의 보안에 투자했습니다.어느 날 밤 그는 옆문을 잠그는 것을 잊었기 때문에 잠자는 동안 여전히 강도를 당했습니다.도적들은 그저 경비원이 자리를 비운 틈을 노려 재빨리 상황을 악용했습니다.
인프라에서 보안 기능을 비활성화하는 것도 이와 비슷합니다. 네트워크에 강력한 보안 인프라가 있더라도 요소가 비활성화되면 별로 도움이 되지 않습니다.
본격적으로 시작하기 전에 한 가지 도전을 해보겠습니다.
위의 링크를 방문하면 게임화된 교육 플랫폼으로 이동합니다. 여기서 비활성화된 보안 기능 취약점을 바로 해결할 수 있습니다.(주의: 쿠버네티스에서 열리지만 드롭다운 메뉴를 사용하면 도커, 클라우드포메이션, 테라폼, 앤서블 중에서 선택할 수 있습니다..
어떻게 지내셨나요? 아직 해야 할 일이 있다면 아래 내용을 읽어보세요.
보안 기능은 다양한 이유로 비활성화될 수 있습니다. 일부 애플리케이션 및 프레임워크에서는 기본적으로 비활성화되어 있을 수 있으며 작동을 시작하려면 먼저 켜야 합니다. 또한 관리자가 지속적인 도전이나 차단을 당하지 않고 특정 작업을 더 쉽게 수행할 수 있도록 특정 보안 기능을 비활성화했을 수도 있습니다 (예: AWS S3 버킷을 공개로 설정). 작업이 완료된 후에는 비활성화된 기능을 다시 활성화하는 것을 잊어버릴 수 있습니다. 또한 나중에 더 쉽게 작업할 수 있도록 기능을 끈 상태로 두는 것을 선호할 수도 있습니다.
비활성화된 보안 기능이 위험한 이유
보안 기능을 하나 이상 사용하지 않도록 설정하는 것은 몇 가지 이유로 좋지 않습니다. 그 중 하나는 알려진 익스플로잇, 위협 또는 취약점으로부터 보호하기 위해 보안 기능을 인프라 리소스에 추가했다는 점입니다. 이 기능을 사용하지 않도록 설정하면 리소스를 보호할 수 없습니다.
공격자는 항상 쉽게 악용될 수 있는 취약점을 먼저 찾으려고 시도하며 스크립트를 사용하여 일반적인 약점을 찾아낼 수도 있습니다. 도둑이 거리의 모든 차를 뒤져 문이 열렸는지 확인하는 것과 다르지 않습니다. 창문을 부수는 것보다 훨씬 쉽습니다. 해커들은 일반적인 보안 방어가 비활성화되어 있다는 사실에 놀랄 수도 있습니다. 하지만 이런 일이 발생하면 해커들이 이를 악용하는 데 오래 걸리지 않을 것입니다.
둘째, 보안을 잘 갖추고 있다가 사용하지 않도록 설정하면 잘못된 보안 인식이 생깁니다. 관리자는 누군가가 이러한 방어 체계를 무력화했다는 사실을 모른다면 자신이 일반적인 위협으로부터 보호받고 있다고 생각할 수 있습니다.
공격자가 비활성화된 보안 기능을 악용할 수 있는 방법의 예로, 퍼블릭 액세스 차단이라는 AWS S3 보안 기능을 고려해 보십시오.Amazon S3 블록 퍼블릭 액세스를 사용하면 계정 관리자와 버킷 소유자가 손쉽게 중앙 집중식 제어를 설정하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다.그러나 S3 버킷에 접근할 때 문제가 발생하는 일부 관리자는 최대한 빨리 작업을 완료하기 위해 버킷을 공개하기로 결정합니다. 보안 기능을 활성화하는 것을 잊어버리면 공격자는 해당 S3 버킷에 저장된 정보에 완전히 접근할 수 있게 되어 정보가 유출될 뿐만 아니라 데이터 전송 요금으로 인해 추가 비용이 발생합니다.
실제 코드를 비교해 보겠습니다. 다음 CloudFormation 스니펫을 확인해 보세요.
취약:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: false
공개 정책 차단: false
퍼블릭 ACL 무시: false
퍼블릭 버킷 제한: false
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
보안:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: 참
공개 정책 차단: 참
퍼블릭 ACL 무시: true
퍼블릭 버킷 제한: true
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
비활성화된 보안 기능 방지
비활성화된 보안 기능이 조직에 부정적인 영향을 주지 않도록 하는 것은 관행만큼이나 정책의 문제입니다.매우 특정한 상황에서만 보안 기능을 사용하지 않도록 설정해야 한다는 확고한 정책이 있어야 합니다.문제를 해결하거나 응용 프로그램을 업데이트하기 위해 기능을 일시적으로 비활성화해야 하는 사건은 기록해야 합니다.필요한 작업을 완료한 후에는 기능이 완전히 다시 활성화되었는지 확인해야 합니다.
보안 기능을 영구적으로 비활성화해야 하는 경우, 기본 보호 기능이 없는 상태에서 해커가 해당 데이터에 접근하지 못하도록 영향을 받는 데이터에 다른 보호 기능을 제공해야 합니다. 필요한 보호 기능이 비활성화된 경우, 공격자가 잠기지 않은 문을 찾아 상황을 악용하는 것은 시간 문제일 뿐입니다.
자세히 알아보고 자신에게 도전해 보세요.
시큐어 코드 워리어의 블로그 페이지를 참조하여 이 취약점에 대한 자세한 정보와 다른 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보십시오.
게시물을 읽었으니 이 취약점을 찾아 수정할 준비가 되셨나요? 이제 해볼 시간입니다.iAC 게임화된 보안 챌린지를 시도해 보세요. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하십시오.
이 시리즈는 Infrastructure as Code의 8가지 주요 취약점을 다루는 주간 시리즈입니다. 자세한 내용은 다음 주에 다시 확인하세요!
오늘날 사이버 보안에 대한 위협은 어디에나 존재하며 끊임없이 이어집니다. 우리 삶의 더 많은 부분이 디지털화됨에 따라 사이버 범죄자들의 위험도 커집니다. 보안을 유지해야 할 코드는 너무 많고 개인 데이터는 너무 소중합니다. 그리고 프로그램을 배포한 후 공격 표면의 모든 측면을 따라잡고 방어하는 것은 거의 불가능해졌습니다.
이러한 증상 중 일부를 완화할 수 있는 방법이 있는데, 그중 하나는 현명한 조직이 IaC(Infrastructure as Code) 개념을 받아들일 때 분명히 드러납니다. 물론 다른 개발 분야와 마찬가지로 극복해야 할 몇 가지 보안 문제가 있습니다. 또한 개발자는 애플리케이션을 호스팅하기 위한 필수 인프라를 생성하는 코드를 개발하고 있기 때문에 프로세스의 모든 단계에서 보안 인식이 매우 중요합니다.
그렇다면 클라우드 서버 환경을 처음 접하는 개발자가 기술을 익히고, 요령을 익히며, 보안 인식을 강화하면서 빌드에 접근하는 방법은 정확히 무엇일까요? 일반적인 IaC 취약점을 해결하기 위해 차기 Coders Conquer Security 시리즈를 만들었습니다.그리고 다음 몇 개의 블로그에서는 개발자가 자신의 조직에 코드 형태로 보안 인프라를 배포하기 시작하기 위해 취할 수 있는 단계에 초점을 맞출 것입니다 .
시작해 볼까요.
미국 구서부(American Old West)에 나오는 한 남자에 관한 우화가 있습니다. 산적들이 농가를 공격해 강탈할 것이라는 망상증적 증세를 보였던 한 남자에 관한 이야기입니다. 이를 보완하기 위해 그는 매우 튼튼한 현관문을 설치하고, 창문을 모두 닫고, 손이 닿는 곳에 총을 많이 보관하는 등 온갖 종류의 보안에 투자했습니다.어느 날 밤 그는 옆문을 잠그는 것을 잊었기 때문에 잠자는 동안 여전히 강도를 당했습니다.도적들은 그저 경비원이 자리를 비운 틈을 노려 재빨리 상황을 악용했습니다.
인프라에서 보안 기능을 비활성화하는 것도 이와 비슷합니다. 네트워크에 강력한 보안 인프라가 있더라도 요소가 비활성화되면 별로 도움이 되지 않습니다.
본격적으로 시작하기 전에 한 가지 도전을 해보겠습니다.
위의 링크를 방문하면 게임화된 교육 플랫폼으로 이동합니다. 여기서 비활성화된 보안 기능 취약점을 바로 해결할 수 있습니다.(주의: 쿠버네티스에서 열리지만 드롭다운 메뉴를 사용하면 도커, 클라우드포메이션, 테라폼, 앤서블 중에서 선택할 수 있습니다..
어떻게 지내셨나요? 아직 해야 할 일이 있다면 아래 내용을 읽어보세요.
보안 기능은 다양한 이유로 비활성화될 수 있습니다. 일부 애플리케이션 및 프레임워크에서는 기본적으로 비활성화되어 있을 수 있으며 작동을 시작하려면 먼저 켜야 합니다. 또한 관리자가 지속적인 도전이나 차단을 당하지 않고 특정 작업을 더 쉽게 수행할 수 있도록 특정 보안 기능을 비활성화했을 수도 있습니다 (예: AWS S3 버킷을 공개로 설정). 작업이 완료된 후에는 비활성화된 기능을 다시 활성화하는 것을 잊어버릴 수 있습니다. 또한 나중에 더 쉽게 작업할 수 있도록 기능을 끈 상태로 두는 것을 선호할 수도 있습니다.
비활성화된 보안 기능이 위험한 이유
보안 기능을 하나 이상 사용하지 않도록 설정하는 것은 몇 가지 이유로 좋지 않습니다. 그 중 하나는 알려진 익스플로잇, 위협 또는 취약점으로부터 보호하기 위해 보안 기능을 인프라 리소스에 추가했다는 점입니다. 이 기능을 사용하지 않도록 설정하면 리소스를 보호할 수 없습니다.
공격자는 항상 쉽게 악용될 수 있는 취약점을 먼저 찾으려고 시도하며 스크립트를 사용하여 일반적인 약점을 찾아낼 수도 있습니다. 도둑이 거리의 모든 차를 뒤져 문이 열렸는지 확인하는 것과 다르지 않습니다. 창문을 부수는 것보다 훨씬 쉽습니다. 해커들은 일반적인 보안 방어가 비활성화되어 있다는 사실에 놀랄 수도 있습니다. 하지만 이런 일이 발생하면 해커들이 이를 악용하는 데 오래 걸리지 않을 것입니다.
둘째, 보안을 잘 갖추고 있다가 사용하지 않도록 설정하면 잘못된 보안 인식이 생깁니다. 관리자는 누군가가 이러한 방어 체계를 무력화했다는 사실을 모른다면 자신이 일반적인 위협으로부터 보호받고 있다고 생각할 수 있습니다.
공격자가 비활성화된 보안 기능을 악용할 수 있는 방법의 예로, 퍼블릭 액세스 차단이라는 AWS S3 보안 기능을 고려해 보십시오.Amazon S3 블록 퍼블릭 액세스를 사용하면 계정 관리자와 버킷 소유자가 손쉽게 중앙 집중식 제어를 설정하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다.그러나 S3 버킷에 접근할 때 문제가 발생하는 일부 관리자는 최대한 빨리 작업을 완료하기 위해 버킷을 공개하기로 결정합니다. 보안 기능을 활성화하는 것을 잊어버리면 공격자는 해당 S3 버킷에 저장된 정보에 완전히 접근할 수 있게 되어 정보가 유출될 뿐만 아니라 데이터 전송 요금으로 인해 추가 비용이 발생합니다.
실제 코드를 비교해 보겠습니다. 다음 CloudFormation 스니펫을 확인해 보세요.
취약:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: false
공개 정책 차단: false
퍼블릭 ACL 무시: false
퍼블릭 버킷 제한: false
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
보안:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: 참
공개 정책 차단: 참
퍼블릭 ACL 무시: true
퍼블릭 버킷 제한: true
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
비활성화된 보안 기능 방지
비활성화된 보안 기능이 조직에 부정적인 영향을 주지 않도록 하는 것은 관행만큼이나 정책의 문제입니다.매우 특정한 상황에서만 보안 기능을 사용하지 않도록 설정해야 한다는 확고한 정책이 있어야 합니다.문제를 해결하거나 응용 프로그램을 업데이트하기 위해 기능을 일시적으로 비활성화해야 하는 사건은 기록해야 합니다.필요한 작업을 완료한 후에는 기능이 완전히 다시 활성화되었는지 확인해야 합니다.
보안 기능을 영구적으로 비활성화해야 하는 경우, 기본 보호 기능이 없는 상태에서 해커가 해당 데이터에 접근하지 못하도록 영향을 받는 데이터에 다른 보호 기능을 제공해야 합니다. 필요한 보호 기능이 비활성화된 경우, 공격자가 잠기지 않은 문을 찾아 상황을 악용하는 것은 시간 문제일 뿐입니다.
자세히 알아보고 자신에게 도전해 보세요.
시큐어 코드 워리어의 블로그 페이지를 참조하여 이 취약점에 대한 자세한 정보와 다른 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보십시오.
게시물을 읽었으니 이 취약점을 찾아 수정할 준비가 되셨나요? 이제 해볼 시간입니다.iAC 게임화된 보안 챌린지를 시도해 보세요. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하십시오.
이 시리즈는 Infrastructure as Code의 8가지 주요 취약점을 다루는 주간 시리즈입니다. 자세한 내용은 다음 주에 다시 확인하세요!
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
오늘날 사이버 보안에 대한 위협은 어디에나 존재하며 끊임없이 이어집니다. 우리 삶의 더 많은 부분이 디지털화됨에 따라 사이버 범죄자들의 위험도 커집니다. 보안을 유지해야 할 코드는 너무 많고 개인 데이터는 너무 소중합니다. 그리고 프로그램을 배포한 후 공격 표면의 모든 측면을 따라잡고 방어하는 것은 거의 불가능해졌습니다.
이러한 증상 중 일부를 완화할 수 있는 방법이 있는데, 그중 하나는 현명한 조직이 IaC(Infrastructure as Code) 개념을 받아들일 때 분명히 드러납니다. 물론 다른 개발 분야와 마찬가지로 극복해야 할 몇 가지 보안 문제가 있습니다. 또한 개발자는 애플리케이션을 호스팅하기 위한 필수 인프라를 생성하는 코드를 개발하고 있기 때문에 프로세스의 모든 단계에서 보안 인식이 매우 중요합니다.
그렇다면 클라우드 서버 환경을 처음 접하는 개발자가 기술을 익히고, 요령을 익히며, 보안 인식을 강화하면서 빌드에 접근하는 방법은 정확히 무엇일까요? 일반적인 IaC 취약점을 해결하기 위해 차기 Coders Conquer Security 시리즈를 만들었습니다.그리고 다음 몇 개의 블로그에서는 개발자가 자신의 조직에 코드 형태로 보안 인프라를 배포하기 시작하기 위해 취할 수 있는 단계에 초점을 맞출 것입니다 .
시작해 볼까요.
미국 구서부(American Old West)에 나오는 한 남자에 관한 우화가 있습니다. 산적들이 농가를 공격해 강탈할 것이라는 망상증적 증세를 보였던 한 남자에 관한 이야기입니다. 이를 보완하기 위해 그는 매우 튼튼한 현관문을 설치하고, 창문을 모두 닫고, 손이 닿는 곳에 총을 많이 보관하는 등 온갖 종류의 보안에 투자했습니다.어느 날 밤 그는 옆문을 잠그는 것을 잊었기 때문에 잠자는 동안 여전히 강도를 당했습니다.도적들은 그저 경비원이 자리를 비운 틈을 노려 재빨리 상황을 악용했습니다.
인프라에서 보안 기능을 비활성화하는 것도 이와 비슷합니다. 네트워크에 강력한 보안 인프라가 있더라도 요소가 비활성화되면 별로 도움이 되지 않습니다.
본격적으로 시작하기 전에 한 가지 도전을 해보겠습니다.
위의 링크를 방문하면 게임화된 교육 플랫폼으로 이동합니다. 여기서 비활성화된 보안 기능 취약점을 바로 해결할 수 있습니다.(주의: 쿠버네티스에서 열리지만 드롭다운 메뉴를 사용하면 도커, 클라우드포메이션, 테라폼, 앤서블 중에서 선택할 수 있습니다..
어떻게 지내셨나요? 아직 해야 할 일이 있다면 아래 내용을 읽어보세요.
보안 기능은 다양한 이유로 비활성화될 수 있습니다. 일부 애플리케이션 및 프레임워크에서는 기본적으로 비활성화되어 있을 수 있으며 작동을 시작하려면 먼저 켜야 합니다. 또한 관리자가 지속적인 도전이나 차단을 당하지 않고 특정 작업을 더 쉽게 수행할 수 있도록 특정 보안 기능을 비활성화했을 수도 있습니다 (예: AWS S3 버킷을 공개로 설정). 작업이 완료된 후에는 비활성화된 기능을 다시 활성화하는 것을 잊어버릴 수 있습니다. 또한 나중에 더 쉽게 작업할 수 있도록 기능을 끈 상태로 두는 것을 선호할 수도 있습니다.
비활성화된 보안 기능이 위험한 이유
보안 기능을 하나 이상 사용하지 않도록 설정하는 것은 몇 가지 이유로 좋지 않습니다. 그 중 하나는 알려진 익스플로잇, 위협 또는 취약점으로부터 보호하기 위해 보안 기능을 인프라 리소스에 추가했다는 점입니다. 이 기능을 사용하지 않도록 설정하면 리소스를 보호할 수 없습니다.
공격자는 항상 쉽게 악용될 수 있는 취약점을 먼저 찾으려고 시도하며 스크립트를 사용하여 일반적인 약점을 찾아낼 수도 있습니다. 도둑이 거리의 모든 차를 뒤져 문이 열렸는지 확인하는 것과 다르지 않습니다. 창문을 부수는 것보다 훨씬 쉽습니다. 해커들은 일반적인 보안 방어가 비활성화되어 있다는 사실에 놀랄 수도 있습니다. 하지만 이런 일이 발생하면 해커들이 이를 악용하는 데 오래 걸리지 않을 것입니다.
둘째, 보안을 잘 갖추고 있다가 사용하지 않도록 설정하면 잘못된 보안 인식이 생깁니다. 관리자는 누군가가 이러한 방어 체계를 무력화했다는 사실을 모른다면 자신이 일반적인 위협으로부터 보호받고 있다고 생각할 수 있습니다.
공격자가 비활성화된 보안 기능을 악용할 수 있는 방법의 예로, 퍼블릭 액세스 차단이라는 AWS S3 보안 기능을 고려해 보십시오.Amazon S3 블록 퍼블릭 액세스를 사용하면 계정 관리자와 버킷 소유자가 손쉽게 중앙 집중식 제어를 설정하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 제한할 수 있습니다.그러나 S3 버킷에 접근할 때 문제가 발생하는 일부 관리자는 최대한 빨리 작업을 완료하기 위해 버킷을 공개하기로 결정합니다. 보안 기능을 활성화하는 것을 잊어버리면 공격자는 해당 S3 버킷에 저장된 정보에 완전히 접근할 수 있게 되어 정보가 유출될 뿐만 아니라 데이터 전송 요금으로 인해 추가 비용이 발생합니다.
실제 코드를 비교해 보겠습니다. 다음 CloudFormation 스니펫을 확인해 보세요.
취약:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: false
공개 정책 차단: false
퍼블릭 ACL 무시: false
퍼블릭 버킷 제한: false
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
보안:
기업 버킷:
유형: AWS: :S3: :버킷
속성:
퍼블릭 액세스 차단 구성:
퍼블릭 ACL 차단: 참
공개 정책 차단: 참
퍼블릭 ACL 무시: true
퍼블릭 버킷 제한: true
버전 관리 구성:
상태: 활성화됨
버킷 암호화:
서버 측 암호화 구성:
- 기본적으로 서버 측 암호화:
SSE 알고리즘: “AES 256"
비활성화된 보안 기능 방지
비활성화된 보안 기능이 조직에 부정적인 영향을 주지 않도록 하는 것은 관행만큼이나 정책의 문제입니다.매우 특정한 상황에서만 보안 기능을 사용하지 않도록 설정해야 한다는 확고한 정책이 있어야 합니다.문제를 해결하거나 응용 프로그램을 업데이트하기 위해 기능을 일시적으로 비활성화해야 하는 사건은 기록해야 합니다.필요한 작업을 완료한 후에는 기능이 완전히 다시 활성화되었는지 확인해야 합니다.
보안 기능을 영구적으로 비활성화해야 하는 경우, 기본 보호 기능이 없는 상태에서 해커가 해당 데이터에 접근하지 못하도록 영향을 받는 데이터에 다른 보호 기능을 제공해야 합니다. 필요한 보호 기능이 비활성화된 경우, 공격자가 잠기지 않은 문을 찾아 상황을 악용하는 것은 시간 문제일 뿐입니다.
자세히 알아보고 자신에게 도전해 보세요.
시큐어 코드 워리어의 블로그 페이지를 참조하여 이 취약점에 대한 자세한 정보와 다른 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보십시오.
게시물을 읽었으니 이 취약점을 찾아 수정할 준비가 되셨나요? 이제 해볼 시간입니다.iAC 게임화된 보안 챌린지를 시도해 보세요. Secure Code Warrior 모든 사이버 보안 기술을 연마하고 최신 상태로 유지하십시오.
이 시리즈는 Infrastructure as Code의 8가지 주요 취약점을 다루는 주간 시리즈입니다. 자세한 내용은 다음 주에 다시 확인하세요!
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
