디지털 변환에 대한 놀라운 진실: 보안 건너뛰기
이 글은 디지털 혁신으로 인해 발생하는 과제를 다루는 시리즈의 세 번째 블로그입니다.
보안 건너뛰기.
많은 IT 전문가라면 앱 성능이 문제가 되면 보안을 가장 먼저 포기하는 경우가 많다는 사실을 알고 있을 것입니다. 공격을 받으면 방화벽이 무너지나요? 꺼주세요. 급격한 수요로 인해 서비스가 공급 부족에 시달리고 있나요? 끄세요.
20년 동안 우리는 애플리케이션 성능에 문제가 생기면 체계적으로 보안을 무시해 왔습니다.
따라서 파이프라인 성능이 중요한데도 보안이 간과되는 경우가 많다는 것은 놀라운 일이 아닙니다.
10명 중 9명의 임원이 디지털 혁신으로 인해 앱을 더 빠르고 더 자주 출시해야 한다는 압박을 받았다고 인정했습니다 .
임원진이 담당자에게 압력을 명시적으로 또는 암묵적으로 전달하는지는 중요하지 않습니다. 개발자와 운영진은 기록적인 시간 내에 앱을 출시해야 할 때 종종 압박감을 느낍니다.
그리고 아마도 그것 때문에 그들은 보안검색을 건너뛴 것을 인정했을 것입니다. IBM/Arxan에서 모바일 및 IoT 개발자를 대상으로 실시한 설문 조사에서 거의 절반(44%)이 그렇다고 답했으며, 다른 산업의 개발자도 마찬가지라고 인정할 가능성이 높습니다.
결국 보안은 어렵죠. 공격 표면은 매우 다양하며, 손상되지 않은 계층은 없습니다. 네트워크에서 플랫폼, 애플리케이션에 이르기까지 앱에 침투하고 데이터를 빼내는 방법은 네트워크의 계층보다 더 많습니다.
하지만 최근의 가장 큰 침해 사례를 살펴보면 모든 사람이 제한된 시간을 가장 위험한 것에 집중하도록 도울 수 있는 패턴이 나타납니다.
우리는 모두 Equifax 침해 사건에 대해 들어보았을 것입니다. 우리는 추악한 세부 사항을 알고 있으며, 다른 많은 조직과 마찬가지로 웹 플랫폼을 통해 패치되지 않은 타사 프레임워크에 실행된 공개된 취약점에 걸렸습니다. 발견 가능성은 높았지만 검증되지는 않았으며, 가능성 있는 대상을 검색하는 봇/자동화된 스크립트를 통해 이루어졌습니다. 요즘 봇 활동의 대부분이 공격 트래픽이 아니라 탐색 정찰 임무이기 때문일 가능성이 큽니다.
SSH나 네트워크 취약점을 통해 누군가가 침입한 지 꽤 오랜 시간이 지난 것으로 밝혀졌습니다. 오늘날의 공격자는 앱과 자격 증명을 노리고 있으며, 봇을 사용하여 수익성 있는 취약점을 찾고 공격을 수행합니다.
앱을 보호해야 하는 상위 3가지 보안 위험은 다음과 같습니다.
- OWASP 10대 요소. SQLi, XSS, 명령 주입, No-SQLi 주입, 경로 탐색 및 예측 가능한 리소스
- CVE(암호화폐기물). Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails, WordPress.
- 봇. 취약점 스캐너, 웹 스크래퍼, DDoS 도구, 포럼 스팸 도구.
이는 보안 플랫폼과 정책을 표준화하고 앱별 아키텍처를 적용하여 위험이 실존적 위협으로 확대되기 전에 효과적으로 위험을 해결할 방법을 제공하는 것입니다. 플랫폼을 표준화한다는 것은 정책을 표준화할 수 있는 능력을 의미합니다. 이러한 조합을 사용하면 보안 전문가는 모든 앱에 자동으로 배포할 수 있는 표준적인 기본 보안 정책을 만들어 최신 위협으로부터 즉시 보호할 수 있습니다. 애플리케이션별이므로 앱별 보호 기능을 추가하여 추가 보호를 제공할 수 있지만 최소한 가장 가능성 있는 공격 벡터가 보호된다는 사실을 더 확신할 수 있습니다.
앱별 아키텍처의 또 다른 이점은 일반적으로 WAF와 같은 것으로 보호되지 않는 앱이 WAF를 통해 보호받을 수 있다는 것입니다(그럴 이유가 있을까요? 하지만 믿으세요. 적절한 정책이 적용된 새 인스턴스를 필요한 기간 동안 앱 파이프라인에 주입하면 단기적으로 보호할 수 있는 방법이 있습니다. 따라서 해당 CVE가 공개되면(공개될 것입니다) 보안 전문가는 즉시 완화 정책을 구현하여 모든 취약한 애플리케이션의 경로에 삽입한 다음 악용되기 전에 차단할 수 있습니다.
디지털 혁신에 따른 압력으로 인해 개발자들이 보안을 건너뛸 경우, 그 답은 표준화입니다. 공통 애플리케이션 보안 플랫폼을 기반으로 표준화하면 정책을 표준화하고 전문가처럼 파이프라인에 적용할 수 있는 기능을 활용할 수 있습니다.
이 시리즈의 다음 게시물을 기대하세요. 이 게시물에서는 디지털 변환으로 인해 운영보다 더 많은 앱을 만드는 경향으로 인해 발생하는 규모의 불경제를 처리하는 방법을 자세히 살펴보겠습니다.