Threat Stack 애플리케이션 보안 모니터링으로 바로 확장
Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.
마지막 게시물 에서는 Threat Stack의 애플리케이션 보안 모니터링이 애플리케이션 개발 및 배포의 민첩성이나 속도에 부정적인 영향을 주지 않고 개발 프로세스에 보안을 내장하는 방법을 살펴보았습니다. 개발자가 소프트웨어 위험을 사전에 해결할 수 있는 역량을 강화하는 것은 전체 소프트웨어 개발 및 배포 라이프사이클에 보안을 구축하기 위해 "왼쪽으로 뻗어나가는" 조직에 매우 중요합니다. 하지만 최상의 보안 인식과 테스트, 조기 문제 식별 및 완화에도 불구하고 일부 위험은 항상 몰래 침투하여 실행 중인 애플리케이션에 침투할 수 있습니다.
최근 보고서에 따르면, 테스트한 웹 애플리케이션의 100%에서 적어도 하나 이상의 애플리케이션 취약점이 발견됐습니다. 이러한 취약점이 모두 가장 심각한 취약점은 아닐 수도 있고, 공격자가 성공적으로 악용할 수 없는 경우도 있지만, 이러한 취약점은 항상 숨어 있습니다. 이러한 지식을 갖춘 공격자는 끊임없이 웹 애플리케이션을 조사하여 공격을 수행하는 데 필요한 액세스 권한을 얻을 수 있는 취약점을 찾습니다. Threat Stack AppSec Monitoring이 제공하는 개발 시점의 위험 식별 및 해결 지침 외에도 런타임에 이러한 실시간 공격을 탐지하고 차단할 수 있습니다.
Threat Stack AppSec Monitoring은 4가지 요소로 런타임 보호 기능을 제공합니다. 감지, 차단, 알림, 안내. 이 네 가지 요소를 결합하면 사용자는 공격을 발견하고, 공격이 실행되지 않도록 예방(데이터 침해 및 기타 문제 방지)할 수 있으며, 개발자가 향후 공격을 예방하는 데 도움이 되는 보안을 구축하는 데 필요한 컨텍스트를 DevSecOps 워크플로에 제공할 수 있습니다.
감지하다
상위 웹 공격의 60% 이상이 기본 XSS 및 SQL 주입 공격에 집중되어 있습니다 . 이러한 공격 방식은 비교적 간단하고 이해하기 쉽지만, 여전히 공격자들이 선호하는 공격 방식입니다. Threat Stack AppSec Monitoring은 웹에서 애플리케이션으로 들어오는 페이로드를 검사하여 이러한 공격을 탐지할 수 있습니다. 페이로드는 단순히 애플리케이션 요청의 데이터 부분입니다. 즉, 웹 페이지 양식 제출의 필드 이름과 값이거나, API 호출의 이름/값 쌍이 될 수 있습니다. 실행 중인 애플리케이션 내의 페이로드를 분석하여 잠재적으로 악성이라고 식별할 수 있는 코드가 포함되어 있는지 확인합니다. 이 검사는 저희의 분석기가 페이로드를 잘 알려진 공격 시그니처(현재 2,000개가 넘습니다!)와 비교한 결과를 기반으로 합니다. 공항 내의 보안 검사대라고 생각하면 되는데, 경비원이 여행객의 짐 속 내용물을 검사해 총기나 폭발물과 같은 잠재적으로 위험한 품목을 찾는 곳입니다. 우리는 SQL이나 noSQL 주입 문자열이나 XSS 코드와 같이 잠재적으로 위험한 항목을 페이로드 내부에서 살펴봅니다. 하지만 공항 보안과는 달리 우리의 검사는 매우 빠릅니다!
차단하다
사용자는 다음 두 가지 모드 중 하나로 Threat Stack AppSec Monitoring을 실행할 수 있습니다. 감지만 하거나 자체 보호만 합니다. 실시간 방어를 위해서는 자체 보호 모드가 가장 좋은 옵션입니다. 이 모드에서는 악성 페이로드가 포함된 모든 요청이 즉시 차단됩니다. 마치 공항 보안 요원이 무기를 발견하고 공항 입장을 거부하는 것과 같습니다. 해당 애플리케이션은 개별 요청의 더 이상 실행을 중단하고 공격은 종료됩니다. 감지 전용 모드에서는 식별된 모든 악성 페이로드가 플래그로 지정되어 사용자에게 전달되지만(다음 요소인 알림 참조) 요청은 실행이 허용됩니다. 개발 중에 자동화된 테스트를 실행할 때 시뮬레이션된 공격이 성공적으로 감지되었는지 확인하는 데 도움이 되지만, 여전히 테스트를 계속 진행하고 싶을 때 이 기능이 유용할 수 있습니다.
알림
공격이 감지되고 차단되면 해당 사실을 알아야 피해를 완화하거나 향후 공격 위험을 줄이기 위한 조치를 취할 수 있습니다. Threat Stack AppSec Monitoring은 웹 포털에서 발생하는 공격에 대한 정보를 명확한 타임라인 형식으로 제공합니다. 하지만 모든 팀의 구성원이 Threat Stack 포털에 로그인하지는 않을 것이라는 점을 알고 있기 때문에 ChatOps 통합을 통해 공격에 대한 필수 정보를 제공해 드리고, Slack, Google 또는 기타 채팅 도구를 통해 팀에 정보를 전달할 수 있습니다. 공격 알림에는 실제 악성 페이로드 내용, 공격자의 IP 주소, 타겟이 된 URL 및 요청 방법과 함께 기타 필수 정보가 포함됩니다.
화면: 포털에서 공격 보기
가이드
모든 경험은 학습의 기회를 만듭니다. 웹 애플리케이션에 대한 공격은 개발팀에게 보안 기술을 향상시킬 수 있는 기회를 제공하며, 이는 향후 코드를 개선하는 데 도움이 될 수 있습니다. Threat Stack AppSec Monitoring은 학습 콘텐츠와 공격 포렌식 정보를 공유해 개발자 보안 IQ를 향상시키는 데 도움을 줍니다. 각 공격에는 개발자에게 해당 공격을 모국어로 설명하는 e러닝 콘텐츠, 코드 샘플 및 추가 외부 학습 콘텐츠에 대한 링크가 포함되어 있습니다. 또한, 개발자가 공격이 차단되기 전에 호출된 경로 핸들러와 실행된 호출 스택을 확인하는 데 도움이 되는 전체 스택 추적도 표시됩니다. 이를 통해 입력 무결성이 향상되거나 다른 애플리케이션이 개선될 수 있습니다.
화면: SQLi 지침
모두 함께 모으기
오늘날 빠르게 변화하는 클라우드 기반 DevOps 환경에서는 개발자가 스스로 보안 문제를 찾아 해결해야 하는 "왼쪽으로 이동"만으로는 애플리케이션을 보호할 수 없으며, 마지막 순간에 보안을 추가하거나 런타임 애플리케이션 보안 방화벽을 사용하는 방법으로도 애플리케이션을 보호할 수 없습니다. 보안은 개발자, 운영 및 보안 전문가 간의 협력과 협업을 가능하게 하는 방식으로 전체 소프트웨어 개발, 제공 및 운영 프로세스에 통합되어야 합니다. Threat Stack 애플리케이션 보안 모니터링은 개발 시점에 위험을 식별 하고 프로덕션 환경에서 실시간 공격으로부터 보호하며, 이러한 애플리케이션 계층 알림을 Threat Stack의 클라우드 기반 인프라 보안 모니터링의 더 넓은 맥락 내에 배치합니다.
추가 비용 없이 Threat Stack Cloud Security Platform®의 일부로 제공되는 Threat Stack의 애플리케이션 보안 모니터링에 대해 자세히 알아보려면 데모에 등록하세요. 당사의 보안 전문가가 고객의 구체적인 보안 및 규정 준수 요구 사항에 대해 기꺼이 상담해 드리겠습니다.
Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.