블로그

Threat Stack 애플리케이션 보안 모니터링으로 왼쪽으로 스트레칭

F5 썸네일
F5
2020년 8월 10일 업데이트

Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.

개발자들은 항상 과로에 시달려 왔습니다. 그들은 비즈니스 측면에서 기능 중심의 작업을 끊임없이 받고 있으며, 이를 성과, 품질, 안정성, 기술 부채와 관련된 작업과 균형 있게 조정해야 합니다. DevOps와 고도로 자동화된 CI/CD 파이프라인은 낮은 가치의 비개발 작업을 제거하여 개발자의 생산성을 높였지만, 실제로는 제공에 대한 압력이 더 커졌습니다. 2018년 DORA Accelerate에 따르면: DevOps 보고서에 따르면 성과가 좋은 DevOps 팀은 성과가 낮은 팀보다 코드를 46배 더 자주 배포합니다. 개발자에게는 훨씬 더 많은 작업이 필요합니다. 기쁘게도 영향력이 더 큰 작업이기는 하지만, 그래도 작업량이 더 많아지는 셈입니다. 

이제 보안 업계에서는 이러한 조직에 "보안을 왼쪽으로 전환"하고 DevSecOps를 도입해야 한다고 말합니다. 즉, 보안에 대한 책임을 개발 프로세스 초기부터 이전하고 소프트웨어 개발 및 제공에 대한 DevOps 접근 방식에 보안을 구축하는 것을 의미합니다. 이론적으로는 훌륭하게 들리지만 DevSecOps 대화가 추가 소프트웨어 엔지니어를 고용하라는 권장으로 시작되는 경우는 거의 없습니다. 그렇다면 이미 과로한 개발자들이 기능, 품질, 성능, 기술 부채에 더해 보안 부담까지 떠안게 된다는 말인가? 그들이 신경 쓰지 않는 것이 아니라, 단지 시간 문제일 뿐입니다. 최근 Threat Stack 보고서에 따르면, DevOps 전문가의 44%가 보안 관련 문제에 대해 다른 사람에게 의존해야 한다고 답했습니다. 개발자들이 보안에 시간을 할애하더라도 애플리케이션의 보안을 개선하는 방법을 알 수 있는 전문 지식이 부족한 경우가 많습니다. 2016년 연구에 따르면 미국 내 상위 10개 컴퓨터 과학 프로그램 중 졸업을 위해 사이버보안 과목을 요구하는 프로그램은 하나도 없었습니다. 

많은 개발자에게 "왼쪽으로 이동"은 "우리에게 더 많은 작업을 맡겨라"와 매우 비슷하게 들립니다.

보안팀도 동정심을 느끼지 않는 것은 아닙니다. 그들은 수년간 너무 많은 소프트웨어와 너무 적은 보안 범위로 인해 어려움을 겪어 왔습니다. 많은 조직에는 전담 애플리케이션 보안팀이 없으며, 전담 애플리케이션 보안팀이 있더라도 엄청나게 어려움을 겪습니다. 최근 BSIMM 설문 조사 에 따르면, 정식 소프트웨어 보안팀을 갖춘 회사는 개발자 75명당 평균 보안팀 구성원 1명만으로도 충분합니다! 단 한 명의 보안 전문가가 기업에 약속된 고객 가치를 전달하는 75명의 개발자를 방해하고 싶어하지 않는다는 점은 확실합니다! 올해의 RSA 컨퍼런스에서 설문에 참여한 응답자의 40%는 애플리케이션 보안 프로그램을 구현하는 데 있어 가장 큰 장애물은 애플리케이션 개발 또는 배포의 민첩성과 속도에 미치는 영향이라고 답했습니다. 

그렇다면 해결책은 무엇일까요? 보안은 준비가 되지 않고 과로한 개발 팀의 백로그에 간단히 넘겨질 수 없습니다. 그러나 AppSec 팀은 프로세스 초기에 애플리케이션 위험을 해결할 인력과 SDLC에 대한 액세스가 부족합니다.

최근 Threat Stack Cloud Security Platform®의 일부로 Threat Stack Application Security Monitoring(일명 AppSec Monitoring)을 풀스택 클라우드 보안 관찰 솔루션에 도입했습니다(추가 비용 없음). AppSec Monitoring은 이러한 DevSecOps 과제를 정면으로 해결하기 위해 설계되었습니다. 우리는 DevOps 세계에서 애플리케이션 보안은 다음 세 가지 목표를 충족할 때 가능하다고 믿습니다.

  1. 프로세스의 가능한 한 일찍 애플리케이션 보안을 해결할 수 있는 기회를 만드십시오.
  2. 보안 전문가가 개발자가 가장 큰 영향을 미치는 작업의 우선순위를 정할 수 있도록 돕는 방법 제공
  3. 개발자에게 최소한의 도움으로 위험을 줄일 수 있는 맥락과 교육을 제공하십시오.

개발자는 개발을 처음 시작할 때 다른 타사 구성 요소와 마찬가지로 종속성으로 AppSec 모니터링을 애플리케이션에 추가합니다. 애플리케이션에 한 줄짜리 초기화 함수만 추가하면 됩니다. 시작하기 위해 필요한 것은 전부입니다. 서버나 추가 도구를 설치할 필요가 없으며, 테스트를 작성하거나 관리할 필요도 없습니다. AppSec 모니터링은 애플리케이션이 실행될 때마다 백그라운드에서 자동으로 작동하므로 개발자는 속도를 늦추지 않고 개발 작업에 집중할 수 있습니다. 그 시점부터 SDLC의 나머지 기간 동안 AppSec Monitoring은 팀이 위험을 보호하고 줄이는 데 도움이 되도록 애플리케이션 내부에서 계속 실행됩니다.

 

단일 줄 코드 추가는 모든 Node.js 애플리케이션에 Threat Stack AppSec 모니터링을 추가합니다.

(단일 줄의 코드 추가만으로 Threat Stack AppSec 모니터링 기능이 모든 Node.js 애플리케이션에 추가됩니다.)

개발자의 로컬 머신, 빌드 환경, 테스트 또는 프로덕션에서 애플리케이션이 실행될 때마다 Threat Stack은 애플리케이션을 분석하여 잠재적 위험을 식별합니다. 취약한 암호화, 안전하지 않은 메서드 호출, 부적절한 데이터베이스 구성 또는 알려진 취약한 타사 구성 요소를 사용하는 것으로 인해 위험이 발생할 수 있습니다. 팀의 보안 전문가(또는 개발자)는 결과를 검토하여 어떤 문제를 먼저 해결해야 할지 결정할 수 있으며 Threat Stack은 이를 위험 수준별로 분류하여 도움을 줍니다. 

개발자가 위험 해결에 필요한 정보를 확보했을 때에만 위험을 줄일 수 있습니다. AppSec Monitoring은 개발자에게 위험을 모국어로 설명하는 e러닝 콘텐츠 형태로 코드 샘플과 추가 외부 학습 콘텐츠에 대한 링크를 제공합니다. 또한 이 기능은 개발자가 애플리케이션에서 위험의 정확한 위치를 파악하는 데 도움이 됩니다. 위험이 자체 네이티브 코드에 있는지 아니면 타사 구성 요소에 있는지 여부에 관계없이 메서드 및 모듈 이름, 파일 이름, 심지어 줄 번호까지 강조 표시합니다. 개발자는 문제를 이해하고 코드에서 문제를 찾아 수정할 수 있는 맥락을 갖게 되며, 이는 개발 초기 단계에서 더 쉽고 저렴하게 수정할 수 있기 때문입니다.

이러한 세 가지 이점(조기 위험 식별, 우선순위 지정 지원, 위험 해결을 위한 맥락 및 교육)을 통해 애플리케이션 보안이 왼쪽으로 이동 하지 않습니다. 왼쪽으로 늘어났어요 . 이 기능은 프로세스에 내장되어 있어 개발팀과 보안팀 간의 협력을 용이하게 합니다.

최고의 개발 시간 보안 노력에도 불구하고 악의적인 행위자는 여전히 프로덕션 단계의 애플리케이션을 공격하려고 시도할 수 있습니다. 그렇다면 Threat Stack Application Security Monitoring을 통해 해당 공격을 실시간으로 탐지하고 차단할 수 있습니다. 다음 게시물에서는 이것이 정확히 어떻게 작동하는지 다루겠습니다. 

추가 비용 없이 Threat Stack Cloud Security Platform의 일부로 제공되는 Threat Stack의 애플리케이션 보안 모니터링에 대해 자세히 알아보려면 데모에 등록하세요. 당사의 보안 전문가가 귀하의 구체적인 보안 및 규정 준수 요구 사항에 대해 기꺼이 상담해 드리겠습니다.

Threat Stack은 이제 F5 Distributed Cloud App Infrastructure Protection (AIP)입니다. 오늘부터 팀과 함께 분산 클라우드 AIP를 사용해 보세요.