향상된 애플리케이션 보안을 위한 통합 노력

향상된 애플리케이션 보안을 위한 통합 노력

​

분산된 노력은 분산된 보안으로 연결

최신 애플리케이션 보안의 복잡성을 탐색하는 것은 조직에 엄청난 부담입니다. 다양한 보안 도구와 이를 구현 및 유지 관리하려는 노력으로 인해 종종 얽힌 프로세스 웹이 생성되어 일관되지 않은 구현, 리소스 비효율성 및 위험에 대한 분산된 관점이 발생할 수 있습니다.

엔터프라이즈 조직에는 여러 사업부에 수백 명의 개발자가 분산되어있는 경우가 많습니다. 대부분은 개발 파이프라인과 배포 파이프라인 모두에서 서로 다른 도구를 사용하고 있으며, 각 팀은 SAST (정적 애플리케이션 보안 테스트), SCA(소프트웨어 구성 분석), 침투 테스트, 위협 모델링, 그리고 퍼징을 비롯한 수십 가지 유형의 보안 테스트를 실행합니다.

이와 같은 복잡성은 조직이 여러 개의 서로 다른 보안 도구를 사용하여 팀 간의 노력이 중복되는 문제를 직면하고 있음을 의미합니다. 이러한 툴링 및 테스트의 확산은 종종 애플리케이션 보안 프로그램의 일관성 없는 구현으로 이어집니다.

소프트웨어 취약점 보고서에 심각한 취약점이 지속되는 것으로 나타나

Synopsys가 최근 발표한 '2023년 소프트웨어 취약점 스냅샷' 보고서는 상용 소프트웨어 시스템 및 애플리케이션에 대한 3년간의 테스트에서 얻은 익명화된 데이터를 사용하여 취약점이 2020년 97%에서 2022년 83%로 크게 감소했음을 보여줍니다. 지속적으로 남아있는 취약점은 웹 및 소프트웨어 애플리케이션 보안에 심각한 문제를 야기합니다.

보고서는 코딩 결함을 식별하기 위한 정적 애플리케이션 보안 테스트(SAST), 실행 중인 애플리케이션을 검사하기 위한 동적 애플리케이션 보안 테스트(DAST), 써드 파티 구성 요소에 의해 발생한 취약점을 식별하기 위한 소프트웨어 구성 분석(SCA), 내부 테스트에서 놓쳤을 수도 있는 문제를 식별하기 위한 침투 테스트를 포함하는 다계층 보안 전략의 중요성을 강조했습니다. 수천 대의 시스템을 몇 초 만에 공격할 수 있는 자동화된 공격 도구를 사용하는 공격자가 많아지면서 고위험 및 치명적 취약점을 해결하는 것이 매우 중요해졌습니다. 특히 공개된 취약점의 절반 이상이 공개 후 일주일 이내에 악용되기 때문입니다. 조직이 주의해야 할 주요 위험은 다음과 같습니다.

• 정보 유출: 중요한 데이터를 승인되지 않은 당사자에게 노출하는 것은 2020년부터 2022년까지 가장 큰 보안 위험으로 남아 있습니다. 3년 동안의 테스트에서 발견된 전체 취약점 중 평균 19%는 정보 유출 문제와 직접적인 관련이 있었습니다.
• 크로스 사이트 스크립팅 증가: 2022년 테스트에서 발견된 모든 고위험 취약점 중 19%는 크로스 사이트 스크립팅 공격과 관련이 있었습니다.
• 써드 파티 소프트웨어로 인해 위험 증가: 2022년 상위 10개 보안 문제 중 25%는 취약한 써드 파티 라이브러리에서 공개되었습니다. 써드 파티 및 오픈 소스 구성 요소가 사용되는지 여부를 알 수 없다면 소프트웨어가 안전하지 않은 것입니다.

​

보고서는 효율성을 위해 여러 테스트 유형을 사용하는 것이 필요하지만 기업은 개발이나 분류 및 교정을 저해하지 않으면서 이를 수행하는 데 어려움을 겪고 있음을 발견했습니다. 재정이 부족한 상황에서는 통합을 통해 리소스 효율성을 높이고 위험 상태를 개선할 수 있습니다.

다계층 보안 관리를 위한 노력 통합

'소프트웨어 취약점 보고서'는 AppSec에 대한 다계층 접근 방식의 중요성을 설명하지만 어디서부터 시작해야 하는지에 대한 질문은 남아 있습니다. 여러분의 팀은 현재 보유하고 있는 도구와 프로세스에 익숙해졌을 가능성이 높으며, 수많은 도구와 팀에 분산된 위험 데이터로 인해 모든 것을 통제하고 이미 진행 중인 작업을 해제하는 것이 어렵습니다.

그렇기 때문에 개발팀과 보안 도구 사이에 추상화 계층을 삽입하여 통합 계획을 시작하는 것이 좋은 첫 번째 단계입니다. 이 레이어를 삽입하면 AppSec 프로그램의 세 가지 핵심 목표를 달성할 수 있습니다.

• 개발팀은 여러 UI를 배울 필요가 없습니다. 이미 알고 있는 도구를 사용하여 계속 작업할 수 있습니다.
• AppSec 팀은 회사 전체의 개발팀에서 사용하는 다양한 포인트 도구에 걸쳐 표준적이고 일관된 정책을 구현하여 이를 하나로 통합할 수 있습니다.
• 모든 보안 도구는 추상화된 단일 도구를 통해 실행되어 특정 시점에서 테스트된 내용, 발견된 내용, 수정된 내용 및 전반적인 위험에 대한 통합 창을 제공합니다.

​

ASPM(애플리케이션 보안 상태 관리) 도구는 이러한 추상화 계층을 제공합니다. 이는 AppSec과 개발 사이의 변환 계층 역할을 하여 AppSec 팀이 정책, SLA, 대시보드 및 보고를 제어 및 구현할 수 있도록 하는 동시에 수정해야 할 사항과 이미 사용 중인 도구 내에서 이를 수정하는 방법을 개발팀에 전달할 수 있습니다.

ASPM 도구는 이미 사용하고 있는 보안 도구에 대한 모든 결과를 한 곳에서 집계하고 정규화하며 우선 순위를 지정합니다. 이를 통해 개발팀은 수정 사항, 순서, 출시 날짜에 집중할 수 있어 개발 프로세스를 계속 진행할 수 있습니다. 애플리케이션, 구성 요소 및 관련 보안 데이터의 정확한 비즈니스 컨텍스트를 통해 중요한 문제를 식별하고 우선 순위를 지정하면 팀은 언제든지 전체 소프트웨어 위험에 대한 실행 가능한 그림을 얻을 수 있습니다.

AppSec과 개발팀 모두의 이러한 통합 노력은 비즈니스가 요구하는 속도로 보안 코드를 생성하는 능력을 간소화할 것입니다. 또한 더 이상 각 도구에 통합된 정책, 프로세스 또는 결과가 없기 때문에 도구 자체를 통합하거나 교체하도록 설정합니다.

Synopsys와 통합

Synopsys는 "3대" 테스트 유형인 SCA, SAST 및 DAST를 위한 시장을 선도하는 솔루션을 포함하여 애플리케이션 보안 분야에서 가장 포괄적인 포트폴리오를 제공합니다. 그리고 당사의 ASPM 솔루션은 개방형 에코시스템이므로 전체 보안 프로그램에서 기존 도구를 사용할 수 있는 유연성을 갖습니다. Synopsys는 애플리케이션 보안을 위한 원스톱 파트너입니다.

원문 게시일: 2023.12.14

원문 기고자: Shandra Gemmiti

출처: https://www.synopsys.com/blogs/software-security/consolidate-effort-for-enhanced-appsec.html