공급망 위험으로 인해 실망하셨습니까? 침착하고 전략을 세우십시오!

소프트웨어에서 새로운 취약점이 발견되면 보안 업계는 총체적으로 정신을 잃습니다. OpenSSL도 예외는 아니며 2022년 XNUMX월 말과 XNUMX월 초에 두 가지 새로운 취약점이 뉴스 피드를 압도했습니다. 검색 및 공개는 이 끝없는 취약점 주기의 시작일 뿐입니다. 영향을 받는 조직은 치료에 직면하며, 이는 IT 일선에 있는 사람들에게 특히 고통스러운 일입니다. 보안 책임자는 효과적인 사이버 보안 전략을 유지하여 새로운 취약성에 대한 노이즈를 필터링하고 공급망에 미치는 영향을 인식하며 그에 따라 자산을 보호해야 합니다.

공급망 공격은 사라지지 않습니다

약 XNUMX년 동안 우리는 다음을 포함한 구성 요소의 심각한 취약성을 겪었습니다. 로그4j, 스프링 프레임 워크및 OpenSSL을. 오래된 취약점의 악용은 잘못 구성된 구현이나 알려진 취약한 종속성을 사용하는 구현에서도 중단되지 않습니다. 2022년 XNUMX월 대중은 연방 민간 행정부에 대한 공격 캠페인 (FCEB), 국가가 후원하는이란의 위협에 기인합니다. 이 미국 연방 기관은 초기 공격 벡터 역할을 하는 Log4Shell 취약점이 포함된 VMware Horizon 인프라를 실행하고 있었습니다. FCEB는 측면 이동, 자격 증명 손상, 시스템 손상, 네트워크 지속성, 엔드포인트 보호 우회 및 크립토재킹을 포함하는 복잡한 공격 체인에 맞았습니다.

조직은 "왜 OSS를 소비하는가?"라고 물을 수 있습니다. OpenSSL 또는 Log4j와 같은 취약한 패키지의 보안 사고 후. 공급망 공격은 구성 요소 재사용이 파트너와 공급업체에게 "훌륭한 비즈니스 감각"을 제공하기 때문에 계속해서 증가 추세를 보이고 있습니다. 우리는 처음부터 구축하는 대신 기존 코드의 용도를 변경하여 시스템을 엔지니어링합니다. 이는 엔지니어링 노력을 줄이고 운영 규모를 확장하며 신속하게 제공하기 위한 것입니다. 공개 소스 소프트웨어(OSS)는 일반적으로 공개 조사를 통해 신뢰할 수 있는 것으로 간주됩니다. 그러나 소프트웨어는 끊임없이 변화하고 있으며 코딩 실수 또는 연결된 종속성으로 인해 문제가 발생합니다. 테스트 및 악용 기술의 발전을 통해 새로운 문제도 발견됩니다.

공급망 취약성 해결

조직은 최신 설계를 보호하기 위해 적절한 도구와 프로세스가 필요합니다. 취약성 관리 또는 특정 시점 평가와 같은 기존 접근 방식만으로는 따라갈 수 없습니다. 규제는 여전히 이러한 접근 방식을 허용할 수 있으며, 이는 "보안"과 "규정 준수" 사이의 구분을 영속화합니다. 대부분의 조직은 일정 수준의 DevOps 성숙도를 얻기를 원합니다. "지속적" 및 "자동화"는 DevOps 사례의 일반적인 특성입니다. 보안 프로세스는 다를 수 없습니다. 보안 리더는 보안 전략의 일환으로 빌드, 제공 및 런타임 단계 전반에 걸쳐 초점을 유지해야 합니다.

• CI/CD에서 연속 스캔: 빌드 파이프라인을 보호하는 것을 목표로 하되(즉, shift-left) 모든 코드와 중첩된 코드를 스캔할 수 없다는 점을 인정하십시오. Shift-Left 접근 방식의 성공은 스캐너 효율성, 스캐너 출력의 상관 관계, 릴리스 결정 자동화 및 릴리스 창 내 스캐너 완성에 의해 제한됩니다. 도구는 결과의 위험을 우선적으로 처리하는 데 도움이 되어야 합니다. 모든 결과가 실행 가능한 것은 아니며 아키텍처에서 취약점을 악용할 수 없습니다.

• 배송 중 지속적으로 스캔: 구성 요소 손상 및 환경 드리프트가 발생합니다. 애플리케이션, 인프라 및 워크로드는 레지스트리 또는 리포지토리에서 소싱하고 부트스트랩할 때 디지털 공급망에서 무언가가 손상된 경우 배달되는 동안 스캔되어야 합니다.

• 런타임에 지속적으로 스캔: 런타임 보안은 많은 보안 프로그램의 시작점이며 보안 모니터링은 대부분의 사이버 보안 노력을 뒷받침합니다. 그러나 클라우드, 컨테이너 및 Kubernetes 환경을 포함하여 모든 유형의 환경에서 원격 분석을 수집하고 상호 연관시킬 수 있는 메커니즘이 필요합니다. 런타임에 수집된 인사이트는 이전 빌드 및 제공 단계로 피드백되어야 합니다. ID 및 서비스 상호 작용

• 런타임에 노출된 취약점의 우선 순위 지정: 모든 조직은 모든 ​​것을 스캔하고 수정할 수 있는 충분한 시간과 리소스를 확보하는 데 어려움을 겪고 있습니다. 위험 기반 우선 순위 지정은 보안 프로그램 작업의 기본입니다. 인터넷 노출은 하나의 요인일 뿐입니다. 다른 하나는 취약성 심각도이며, 조직은 가장 큰 영향을 미치는 것으로 간주되기 때문에 심각도가 높고 심각한 문제에 집중하는 경우가 많습니다. 이 접근 방식은 엔지니어링 및 보안 팀이 런타임에 로드되지 않고 악용할 수 없는 취약점을 추적할 수 있기 때문에 여전히 사이클을 낭비할 수 있습니다. 런타임 인텔리전스를 사용하여 실행 중인 애플리케이션 및 인프라에 실제로 로드되는 패키지를 확인하여 조직에 대한 실제 보안 위험을 파악하십시오.

우리가 만들었습니다 제품별 안내 최근의 OpenSSL 광기를 통해 고객을 안내합니다.

최신 OpenSSL 취약성과 Log4Shell은 사이버 보안 준비와 효과적인 보안 전략의 필요성을 상기시킵니다. CVE-ID는 공개 소프트웨어 또는 하드웨어의 알려진 문제일 뿐임을 기억해야 합니다. 많은 취약점, 특히 자체 개발 코드의 약점 또는 환경 구성 오류가 보고되지 않습니다. 사이버 보안 전략은 최신 설계의 분산되고 다양한 기술을 고려해야 합니다. 런타임 통찰력을 사용하여 엔지니어링 팀을 위한 수정 작업의 우선 순위를 지정하는 현대화된 취약성 관리 프로그램이 필요합니다. 또한 놀라움을 피하기 위해 환경 전반에서 신호를 상호 연관시키는 위협 탐지 및 대응 기능이 필요합니다.

저자에 관하여

Sysdig의 사이버 보안 전략 이사인 Michael Isbitski는 XNUMX년 이상 사이버 보안에 대해 연구하고 조언했습니다. 그는 클라우드 보안, 컨테이너 보안, Kubernetes 보안, API 보안, 보안 테스트, 모바일 보안, 애플리케이션 보호 및 안전한 지속적 전달에 정통합니다. 그는 전 세계 수많은 조직의 보안 이니셔티브를 안내하고 비즈니스를 지원했습니다.

연구 및 자문 경험 이전에 Mike는 애플리케이션 보안, 취약성 관리, 엔터프라이즈 아키텍처 및 시스템 엔지니어링에 중점을 둔 20년 이상의 실무자 및 리더십 경험을 통해 IT 일선에서 많은 어려운 교훈을 배웠습니다.