Industry Issue

DevSecOps 보고서: ASPM과 소프트웨어 보안에 미치는 영향

Software Risk Analysis
작성자
관리자
작성일
2024-03-12 12:47
조회
64

DevSecOps 보고서: ASPM과 소프트웨어 보안에 미치는 영향

 

최근 발표된 Synopsys "2023년 글로벌 DevSecOps 현황" 보고서("Global State of DevSecOps 2023" report)의 흥미로운 점은 애플리케이션 보안 오케스트레이션 및 상관관계(Application Security Orchestration and Correlation, ASOC)의 사용이 증가하고 있다는 점이며 현재는 애플리케이션 보안 태세 관리(Application Security Posture Management, ASPM)라고 더 일반적으로 불리고 있습니다.

2021년 데이터를 기반으로 한 Gartner의 연구 보고서에서는 조사 대상 조직의 약 5%가 ASPM 솔루션 또는 ASPM이 발전된 단계인 ASOC 도구를 채택하였으며, 이 수치는 빠르게 증가할 것으로 예상했습니다. 올해 설문조사에 참여한 1,000명의 응답자 중 28%가 이미 ASOC/ASPM을 사용 중이라고 답한 Synopsys DevSecOps 보고서를 미루어볼 때, Gartner의 예측이 정확하다는 것을 알 수 있습니다. 설문조사 대상에는 개발자, 앱 보안 전문가, DevOps 엔지니어, CISO 및 기술, 사이버 보안, 애플리케이션/소프트웨어 개발 분야에서 다양한 역할을 수행하는 전문가가 포함되었습니다. 설문조사 참가자는 미국, 영국, 프랑스, 핀란드, 독일, 중국, 싱가포르, 일본 국적의 전문가들입니다.

또한 Gartner는 ASPM의 얼리어답터는 보다 발달된 DevSecOps 프로그램을 갖춘 조직과 여러 보안 도구를 사용하는 경향이 있으며, Synopsys 보고서에서는 이 두 가지 특징이 프로파일링이 잘 된 조직의 특징이라고 언급했습니다. Gartner에 따르면, 오늘날의 소프트웨어 개발 환경에서는 여러 개발 및 보안 도구를 사용하는 모든 조직이 ASPM을 우선적으로 고려해야 한다고 말합니다. 실제로 엔터프라이즈 전략 그룹(Enterprise Strategy Group)의 논문인 'DevSecOps의 코드 해독'에 따르면 70% 이상의 기업이 10개 이상의 애플리케이션 보안 테스트(Application Security Testing, AST) 도구를 사용하고 있다고 합니다.

 

ASOC와 ASPM

ASOC 솔루션은 AST 도구의 취약점 정보를 결합하고 상호 연관시킨 최초의 솔루션 중 하나입니다. ASPM은 ASOC의 개념을 한 단계 더 발전시켜 프로덕션 모니터링 도구와 같은 더 많은 소스에서 데이터를 수집하여 애플리케이션 보안 관리에 대한 보다 포괄적이고 실행 가능한 접근 방식을 제공합니다.

ASOC는 일반적으로 사전 프로덕션 사용 사례에 중점을 두는 반면, ASPM은 사전 프로덕션과 프로덕션 모두에 사용할 수 있으므로 DevOps 팀에 더 다양하고 광범위하며 유용한 솔루션을 제공합니다. 예를 들어, 현업 관리자는 앱 보안 도구와 절차의 효율성을 이해하는데 중점을 둡니다. ASPM은 개발, 운영, 보안 팀 전반의 프로세스와 성능에 대한 완벽한 가시성을 제공할 수 있습니다. 반대로 DevOps 팀은 어떠한 큰 영향을 줄 수 있는 활동들을 식별할 수 있도록 이슈들을 한 군데로 모아 집중적으로 볼 수 있기를 원합니다. 그리고 보안에 중점을 두는 기업들은 중요한 이슈의 우선순위를 빠르게 정하기 위해 불필요 한 것들은 신속하게 처리해야 합니다.

ASOC 도구는 일반적으로 소프트웨어 취약점을 식별하고 보고하는 데 중점을 둡니다. 반면에 ASPM 도구는 위험도에 따라 취약점의 우선 순위를 정하고 취약점 해결을 모니터링 및 추적하는 데 도움을 줄 수 있습니다. 또한 ASPM은 프로덕션 환경에 대한 가시성을 제공함으로써 배포된 애플리케이션의 긴 수정 시간을 단축하는 데 도움이 됩니다. 대부분의 공격은 취약점이 공개된 후 며칠 이내에 나타난다는 점을 고려할 때 이는 특히 중요합니다.

Synopsys DevSecOps 보고서 설문조사에서 응답자들은 이미 배포되어 사용 중인 애플리케이션에 대한 중대한 보안 위험 및 취약점을 패치 그리고 해결하는 데 얼마나 시간이 걸리는지에 대한 질문을 받았습니다. 아래에서 볼 수 있듯이 거의 4분의 3에 달하는 응답자들은 조직에서 알려진 중요 취약점을 패치하는 데 2주에서 한 달까지 걸린다고 답했습니다.



그리고 신속하게 패치를 적용하지 않으면 수익에 빠르게 영향을 미칩니다. Synopsys 보고서에 참여한 응답자의 80% 이상이 배포된 소프트웨어의 중요한 취약점 또는 관련 보안 문제를 처리하는 것 때문에 2022~23년 동안 일정에 영향을 미쳤다고 답했습니다.

 

Synopsys 소프트웨어 위험 관리자: 실행 중인 ASPM

"2023 글로벌 DevSecOps 현황" 보고서는 보안 도구의 단편화된 결과, 과부하된 DevOps 팀, 느린 취약점 해결이 성공적인 DevSecOps의 근본적인 과제임을 강력하게 제시합니다. ASPM은 이러한 문제를 효과적으로 해결할 수 있는 열쇠가 될 수 있습니다.

ASPM이 실제로 작동하는 모습을 보고 싶으신가요? Synopsys의 Software Risk Manager는 포괄적인 ASPM 솔루션으로 팀이 다음을 수행할 수 있도록 지원합니다.


  • 앱 보안 관리 간소화
  • 앱 보안 위험에 대한 완전한 가시성 확보
  • 중요 문제의 우선 순위를  신속하게 지정
  • 앱 보안 워크플로 표준화
  • 비즈니스 욕구에 따른 신속한 테스트 
 

Software Risk Manager 더 알아보기 CLICK!!!

원문 게시일: 2023.10.18

원문 기고자: Fred Bals

출처: https://www.synopsys.com/blogs/software-security/devsecops-report-impact-of-aspm.html

/about-us/inquiry/
https://www.youtube.com/@softflow2018
https://blog.naver.com/softflow_group
#