2023년은 소프트웨어 공급망에 대한 공격이 강화되면서 정점에 이르렀습니다. 다음은 체크막스 소프트웨어 공급망 연구 팀이 12월 한 달 동안 공개하는 데 도움을 준 몇 가지 사항입니다.
북한은 GitHub 플랫폼을 통해 공개 오픈 소스 및 비공개 패키지 중독을 사용하여 조직에 침투하고 소프트웨어 공급망을 손상시켰습니다. (report)
공격자들은 악의적인 의도를 숨기기 위해 난독화와 암호화/복호화 방법을 결합하고, 탐지를 피하기 위해 파일리스 악성 코드를 사용하고, 매우 인기 있는 프로젝트의 평판을 활용하는 등 다양한 전술을 사용하여 악성 패키지를 PyPl에 게시했습니다. (report)
Ledger Connect Kit는 심각한 공급망 공격을 받아 사용자 지갑에서 700,000달러 이상을 도난당했습니다. 이 공격은 전 Ledger 직원의 npmjs 계정을 탈취함으로써 촉진되었으며, 이로 인해 손상된 버전이 공개되었습니다. 이번 사건은 그러한 공격을 탐지하기 위해 소프트웨어 자재 명세서(SBOM)에만 의존하는 것의 한계를 강조합니다. (report)
우리 모두는 새해의 시작이 새로운 소식을 가져오기를 바랬으나 불행하게도 PatrickJS라고도 불리는 NPM 사용자 계정 gdi2290은 "everything"이라는 패키지를 업로드하여 NPM 레지스트리에 트롤 캠페인을 게시했습니다. 이 패키지는 다른 모든 공개 NPM 패키지에 의존하여 수백만 개의 전이적 종속성을 초래했습니다(report). 또한, Cisco의 취약성 연구원인 Jerry Gamblin은 최근 LinkedIn에서 한 해에 처음으로 30,000개 이상의 CVE(30,000 CVE’s)가 게시되었다고 지적했습니다.
이러한 발전은 이전의 많은 것들 중에서도 전통적인 보안 조치의 제한된 용량과 이를 고급적이고 동적인 접근 방식으로 보완해야 할 필요성을 강조합니다.
2023년에 배운 4가지 교훈을 요약하면 다음과 같습니다.
공격자들은 다양한 전술을 교묘하게 조합하고 있습니다.
사회 공학 및 허위 기여로 대표되는 기만적인 책략은 공격자의 무기고(attackers’ arsenals)에서 주요 요소가 되었습니다.
버려진 디지털 자산은 과거의 유물이 아닙니다. 그들은 시한폭탄을 터뜨리고 있습니다.
위협 환경의 끊임없는 진화는 예측적 위협 헌팅(threat hunting)의 중요성을 강조합니다.
소프트웨어 공급망 보안을 위한 NSA의 권장 사례
2023년 12월은 또한 미국 정부의 새로운 지침이 필요한 달이었습니다. 국가안보국(NSA), 국가정보국장실(ODNI), 사이버보안 및 인프라 보안국(CISA) 및 업계 파트너들은 관리예산국(OMB)이 발표한 "보안 소프트웨어 개발 관행을 통한 소프트웨어 공급망의 보안 강화" 논문을 기반으로 하는 "소프트웨어 공급망의 보안: 오픈 소스 소프트웨어, 소프트웨어 자재 명세서 관리를 위한 권장 관행(Securing the Software Supply Chain: Recommended Practices for Managing Open Source Software and Software Bill of Materials)"이라는 사이버 보안 기술 보고서(CTR)를 발표했습니다.
이러한 심층적인 지침에도 불구하고 우리가 대화하는 대부분의 고객은 잘 정의된 SBOM(소프트웨어 자재 명세서)을 갖는 것이 소프트웨어 공급망 보안 전략에 대한 유일한 실질적인 접근 방식이라고 가정하고 있습니다.
Checkmarx’ Approach to Software Supply Chain Security
SLSA 증명을 용이하게 하는 Checkmarx의 엔드-투-엔드 소프트웨어 공급망 보안
체크막스의 비전은 SLSA(Supply-chain Levels for Software Artifacts) 프레임워크 하에서 개발 환경 자체와 함께 종속성 및 소프트웨어 아티팩트와 같은 프로세스를 통과하는 내용을 이해하는 아이디어를 통합하는 것입니다. 이러한 최초 시장 접근 방식은 SBOM이 제공할 수 있는 것 이상의 진정한 가시성을 창출하고 SLSA 규정 준수에 대한 증명 제공에 더 가까워지는 데 도움이 됩니다.
비밀 탐지를 통해 비밀이 외부 도구로 유출되는 것을 방지
비밀번호, API 키, 암호화 키 및 기타 기밀 데이터와 같은 비밀은 분산 공급망 공격의 빈번한 대상입니다. 위협 행위자들은 공개 문서, 공개 저장소, 손상된 개인 소프트웨어 저장소, 손상된 빌드 시스템을 폐기하여 비밀을 캐고 있습니다. 하드 코딩된 각 비밀은 이제 새로운 공격 벡터입니다. 비밀 탐지는 공급망 전체에서 사용되는 개발자 커뮤니케이션, 공유 도구 및 구성 요소를 확인하여 소프트웨어 공급망에서 하드 코딩된 암호를 제거하는 데 도움이 됩니다.
비밀 탐지는 200만 건이 넘는 다운로드를 기록한 비밀 탐지를 위한 가장 인기 있는 오픈 소스 도구 중 하나인 2MS의 심층적인 스캐닝 기능을 Checkmarx One에 직접 통합하고 확장합니다. 확장된 기능은 다음과 같습니다.
자동화된 SBOM을 통해 간소화된 수준의 책임 창출
SBOM은 SPDX 및 CycloneDX 형식으로 UI에서 직접 자동 생성될 수 있습니다. 이를 통해 시간과 노력을 절약하고 소프트웨어 공급망 내에서 사용되는 타사 패키지의 최신 인벤토리를 확보할 수 있습니다.
Checkmarx는 수행된 모든 스캔의 기록 기록을 유지하므로 이전 스캔 또는 코드 검사 이벤트에서 특정 시점 SBOM을 검색할 수 있습니다. 이를 통해 파일 공유에서 SBOM 파일 카탈로그를 유지 관리하고 백업할 필요가 없으므로 시간과 노력을 절약하는 동시에 기록 SBOM 요청을 준수할 수 있습니다. Checkmarx는 다양한 언어 및 패키지 관리자를 지원하므로 프로젝트별, 언어별, 수준별로 여러 SBOM 솔루션을 유지하거나 업데이트할 필요가 없습니다.
Security Scorecard Engine을 사용하여 가장 취약한 내부 프로젝트를 먼저 처리
Checkmarx Scorecard를 사용하면 조직은 자신의 프로젝트를 신속하게 확인하고 가장 취약하거나 위험에 처한 프로젝트를 확인하여 기업이 먼저 처리할 우선순위를 정할 수 있습니다. Scorecard는 일련의 자동화된 검사를 통해 오픈 소스 프로젝트의 보안 위험을 평가하는 널리 사용되는 도구인 OSSF Scorecard의 형식을 활용합니다. 이러한 검사는 소스 코드, 빌드, 종속성을 포함한 소프트웨어 공급망의 다양한 부분을 다루며 각 검사에 1~10점의 점수를 할당합니다. 자동 생성된 "보안 점수"는 사용자가 특정 애플리케이션에 대한 신뢰, 위험 및 보안 상태를 결정할 때 도움이 됩니다.
Scorecard를 사용하면 사용자는 다음을 포함한 일련의 검사를 기반으로 자신의 프로젝트에 대한 보안 점수를 자동 생성할 수 있습니다.
바이너리 아티팩트(Binary Artifacts) – 프로젝트에 체크인 바이너리가 없나요?
브랜치 보호(Branch Protection) – 프로젝트에서 브랜치 보호를 사용합니까?
CI(Continuous Integration) 테스트 – 프로젝트가 GitHub Actions, Prow와 같은 CI에서 테스트를 실행합니까?
코드 검토(Code review) – 코드가 병합되기 전에 프로젝트 실행 코드 검토가 수행됩니까?
위험한 작업 흐름(Dangerous workflow) – 프로젝트가 위험한 코딩 패턴을 피합니까?
취약점(Vulnerabilities) – 프로젝트에 수정되지 않은 취약점이 있습니까?
새로운 도구를 통합하는 것은 원활한 원클릭 통합입니다. 새 도구를 선택하면 해당 도구가 스캔되고 결과가 Checkmarx One 내의 전용 보기에 표시됩니다.
악성 코드 탐지를 통해 위협 인텔리전스를 확보하고 수동 분석 제거
SLSA 프레임워크에서 악성 패키지는 공격자가 개발자가 다운로드하여 애플리케이션에 구축하는 오픈 소스 프로젝트에 악성 코드를 삽입하거나 제공하는 종속성 공격의 한 형태입니다. 일단 다운로드되면, 공격자의 악성 코드는 패키지가 전달하는 알 수 없는 의도와 함께 애플리케이션 내에서 실행됩니다.
체크막스 연구팀은 모든 종류의 위협에 대해 800만 개 이상의 오픈 소스 패키지를 검사하여 200,000개 이상의 악성 패키지를 찾아냈습니다. 우리는 해당 위협 인텔리전스를 UI, 개발자 IDE에서 직접 또는 API 기반 위협 인텔리전스 피드를 통해 사용할 수 있도록 만듭니다.
공급망 전반에 걸쳐 컨테이너화된 애플리케이션 보호
컨테이너를 보호하는 것은 인프라 손상, 데이터 유출 및 기타 유형의 공격으로 이어질 수 있는 취약성을 제3자가 악용하는 것을 방지하는 데 있어 핵심적인 부분입니다. 프로덕션 중인 컨테이너 이미지의 87%에는 심각하거나 심각도가 높은 취약점이 있습니다.
Checkmarx 컨테이너 보안 솔루션은 이미지 스캔을 단순화하고 Docker 환경을 모니터링하며 취약점을 신속하게 해결하는 데 도움을 줍니다. SDLC 전체의 보안 결함을 식별하고 우선순위를 지정하고 해결하여 프로덕션 워크로드의 문제를 선제적으로 해결합니다.
컨테이너 이미지 스캐닝 - 정적 컨테이너 이미지를 스캔하여 오픈 소스 소프트웨어에서 취약한 코드를 식별하고 배포 전에 문제를 해결합니다.
런타임 인사이트 상관 관계 - 사전 프로덕션 데이터와 런타임 데이터의 상관 관계를 통해 실행 중인 컨테이너 이미지에서 악용 가능한 취약점을 식별하고, 노이즈를 최대 95%까지 줄이고, 해결 노력의 우선순위를 지정합니다.
소프트웨어 공급망 보안은 하나의 여정이므로 지금 소프트웨어 공급망을 보호하기 위한 조치를 취하는 것이 중요합니다. 체크막스는 코드 패키지에서 공급망 공격을 감지하여 개발자의 진화하는 워크스테이션을 보호하면 위험을 줄이면서 신속한 개발을 지원합니다.
Checkmarx 솔루션에 대한 상세 정보와 문의사항은 하기 홈페이지를 통해 확인 부탁드립니다.
▶ Checkmarx ONE & SCA
https://www.softwidesec.com/Checkmarx
2023년은 소프트웨어 공급망에 대한 공격이 강화되면서 정점에 이르렀습니다. 다음은 체크막스 소프트웨어 공급망 연구 팀이 12월 한 달 동안 공개하는 데 도움을 준 몇 가지 사항입니다.
북한은 GitHub 플랫폼을 통해 공개 오픈 소스 및 비공개 패키지 중독을 사용하여 조직에 침투하고 소프트웨어 공급망을 손상시켰습니다. (report)
공격자들은 악의적인 의도를 숨기기 위해 난독화와 암호화/복호화 방법을 결합하고, 탐지를 피하기 위해 파일리스 악성 코드를 사용하고, 매우 인기 있는 프로젝트의 평판을 활용하는 등 다양한 전술을 사용하여 악성 패키지를 PyPl에 게시했습니다. (report)
Ledger Connect Kit는 심각한 공급망 공격을 받아 사용자 지갑에서 700,000달러 이상을 도난당했습니다. 이 공격은 전 Ledger 직원의 npmjs 계정을 탈취함으로써 촉진되었으며, 이로 인해 손상된 버전이 공개되었습니다. 이번 사건은 그러한 공격을 탐지하기 위해 소프트웨어 자재 명세서(SBOM)에만 의존하는 것의 한계를 강조합니다. (report)
우리 모두는 새해의 시작이 새로운 소식을 가져오기를 바랬으나 불행하게도 PatrickJS라고도 불리는 NPM 사용자 계정 gdi2290은 "everything"이라는 패키지를 업로드하여 NPM 레지스트리에 트롤 캠페인을 게시했습니다. 이 패키지는 다른 모든 공개 NPM 패키지에 의존하여 수백만 개의 전이적 종속성을 초래했습니다(report). 또한, Cisco의 취약성 연구원인 Jerry Gamblin은 최근 LinkedIn에서 한 해에 처음으로 30,000개 이상의 CVE(30,000 CVE’s)가 게시되었다고 지적했습니다.
이러한 발전은 이전의 많은 것들 중에서도 전통적인 보안 조치의 제한된 용량과 이를 고급적이고 동적인 접근 방식으로 보완해야 할 필요성을 강조합니다.
2023년에 배운 4가지 교훈을 요약하면 다음과 같습니다.
공격자들은 다양한 전술을 교묘하게 조합하고 있습니다.
사회 공학 및 허위 기여로 대표되는 기만적인 책략은 공격자의 무기고(attackers’ arsenals)에서 주요 요소가 되었습니다.
버려진 디지털 자산은 과거의 유물이 아닙니다. 그들은 시한폭탄을 터뜨리고 있습니다.
위협 환경의 끊임없는 진화는 예측적 위협 헌팅(threat hunting)의 중요성을 강조합니다.
소프트웨어 공급망 보안을 위한 NSA의 권장 사례
2023년 12월은 또한 미국 정부의 새로운 지침이 필요한 달이었습니다. 국가안보국(NSA), 국가정보국장실(ODNI), 사이버보안 및 인프라 보안국(CISA) 및 업계 파트너들은 관리예산국(OMB)이 발표한 "보안 소프트웨어 개발 관행을 통한 소프트웨어 공급망의 보안 강화" 논문을 기반으로 하는 "소프트웨어 공급망의 보안: 오픈 소스 소프트웨어, 소프트웨어 자재 명세서 관리를 위한 권장 관행(Securing the Software Supply Chain: Recommended Practices for Managing Open Source Software and Software Bill of Materials)"이라는 사이버 보안 기술 보고서(CTR)를 발표했습니다.
이러한 심층적인 지침에도 불구하고 우리가 대화하는 대부분의 고객은 잘 정의된 SBOM(소프트웨어 자재 명세서)을 갖는 것이 소프트웨어 공급망 보안 전략에 대한 유일한 실질적인 접근 방식이라고 가정하고 있습니다.
Checkmarx’ Approach to Software Supply Chain Security
SLSA 증명을 용이하게 하는 Checkmarx의 엔드-투-엔드 소프트웨어 공급망 보안
체크막스의 비전은 SLSA(Supply-chain Levels for Software Artifacts) 프레임워크 하에서 개발 환경 자체와 함께 종속성 및 소프트웨어 아티팩트와 같은 프로세스를 통과하는 내용을 이해하는 아이디어를 통합하는 것입니다. 이러한 최초 시장 접근 방식은 SBOM이 제공할 수 있는 것 이상의 진정한 가시성을 창출하고 SLSA 규정 준수에 대한 증명 제공에 더 가까워지는 데 도움이 됩니다.
비밀 탐지를 통해 비밀이 외부 도구로 유출되는 것을 방지
비밀번호, API 키, 암호화 키 및 기타 기밀 데이터와 같은 비밀은 분산 공급망 공격의 빈번한 대상입니다. 위협 행위자들은 공개 문서, 공개 저장소, 손상된 개인 소프트웨어 저장소, 손상된 빌드 시스템을 폐기하여 비밀을 캐고 있습니다. 하드 코딩된 각 비밀은 이제 새로운 공격 벡터입니다. 비밀 탐지는 공급망 전체에서 사용되는 개발자 커뮤니케이션, 공유 도구 및 구성 요소를 확인하여 소프트웨어 공급망에서 하드 코딩된 암호를 제거하는 데 도움이 됩니다.
비밀 탐지는 200만 건이 넘는 다운로드를 기록한 비밀 탐지를 위한 가장 인기 있는 오픈 소스 도구 중 하나인 2MS의 심층적인 스캐닝 기능을 Checkmarx One에 직접 통합하고 확장합니다. 확장된 기능은 다음과 같습니다.
Confluence, Slack, Discord 지원
규칙 및 정책을 사용자 정의할 수 있는 기능
자동화된 SBOM을 통해 간소화된 수준의 책임 창출
SBOM은 SPDX 및 CycloneDX 형식으로 UI에서 직접 자동 생성될 수 있습니다. 이를 통해 시간과 노력을 절약하고 소프트웨어 공급망 내에서 사용되는 타사 패키지의 최신 인벤토리를 확보할 수 있습니다.
Checkmarx는 수행된 모든 스캔의 기록 기록을 유지하므로 이전 스캔 또는 코드 검사 이벤트에서 특정 시점 SBOM을 검색할 수 있습니다. 이를 통해 파일 공유에서 SBOM 파일 카탈로그를 유지 관리하고 백업할 필요가 없으므로 시간과 노력을 절약하는 동시에 기록 SBOM 요청을 준수할 수 있습니다. Checkmarx는 다양한 언어 및 패키지 관리자를 지원하므로 프로젝트별, 언어별, 수준별로 여러 SBOM 솔루션을 유지하거나 업데이트할 필요가 없습니다.
Security Scorecard Engine을 사용하여 가장 취약한 내부 프로젝트를 먼저 처리
Checkmarx Scorecard를 사용하면 조직은 자신의 프로젝트를 신속하게 확인하고 가장 취약하거나 위험에 처한 프로젝트를 확인하여 기업이 먼저 처리할 우선순위를 정할 수 있습니다. Scorecard는 일련의 자동화된 검사를 통해 오픈 소스 프로젝트의 보안 위험을 평가하는 널리 사용되는 도구인 OSSF Scorecard의 형식을 활용합니다. 이러한 검사는 소스 코드, 빌드, 종속성을 포함한 소프트웨어 공급망의 다양한 부분을 다루며 각 검사에 1~10점의 점수를 할당합니다. 자동 생성된 "보안 점수"는 사용자가 특정 애플리케이션에 대한 신뢰, 위험 및 보안 상태를 결정할 때 도움이 됩니다.
Scorecard를 사용하면 사용자는 다음을 포함한 일련의 검사를 기반으로 자신의 프로젝트에 대한 보안 점수를 자동 생성할 수 있습니다.
바이너리 아티팩트(Binary Artifacts) – 프로젝트에 체크인 바이너리가 없나요?
브랜치 보호(Branch Protection) – 프로젝트에서 브랜치 보호를 사용합니까?
CI(Continuous Integration) 테스트 – 프로젝트가 GitHub Actions, Prow와 같은 CI에서 테스트를 실행합니까?
코드 검토(Code review) – 코드가 병합되기 전에 프로젝트 실행 코드 검토가 수행됩니까?
위험한 작업 흐름(Dangerous workflow) – 프로젝트가 위험한 코딩 패턴을 피합니까?
취약점(Vulnerabilities) – 프로젝트에 수정되지 않은 취약점이 있습니까?
새로운 도구를 통합하는 것은 원활한 원클릭 통합입니다. 새 도구를 선택하면 해당 도구가 스캔되고 결과가 Checkmarx One 내의 전용 보기에 표시됩니다.
악성 코드 탐지를 통해 위협 인텔리전스를 확보하고 수동 분석 제거
SLSA 프레임워크에서 악성 패키지는 공격자가 개발자가 다운로드하여 애플리케이션에 구축하는 오픈 소스 프로젝트에 악성 코드를 삽입하거나 제공하는 종속성 공격의 한 형태입니다. 일단 다운로드되면, 공격자의 악성 코드는 패키지가 전달하는 알 수 없는 의도와 함께 애플리케이션 내에서 실행됩니다.
체크막스 연구팀은 모든 종류의 위협에 대해 800만 개 이상의 오픈 소스 패키지를 검사하여 200,000개 이상의 악성 패키지를 찾아냈습니다. 우리는 해당 위협 인텔리전스를 UI, 개발자 IDE에서 직접 또는 API 기반 위협 인텔리전스 피드를 통해 사용할 수 있도록 만듭니다.
공급망 전반에 걸쳐 컨테이너화된 애플리케이션 보호
컨테이너를 보호하는 것은 인프라 손상, 데이터 유출 및 기타 유형의 공격으로 이어질 수 있는 취약성을 제3자가 악용하는 것을 방지하는 데 있어 핵심적인 부분입니다. 프로덕션 중인 컨테이너 이미지의 87%에는 심각하거나 심각도가 높은 취약점이 있습니다.
Checkmarx 컨테이너 보안 솔루션은 이미지 스캔을 단순화하고 Docker 환경을 모니터링하며 취약점을 신속하게 해결하는 데 도움을 줍니다. SDLC 전체의 보안 결함을 식별하고 우선순위를 지정하고 해결하여 프로덕션 워크로드의 문제를 선제적으로 해결합니다.
컨테이너 이미지 스캐닝 - 정적 컨테이너 이미지를 스캔하여 오픈 소스 소프트웨어에서 취약한 코드를 식별하고 배포 전에 문제를 해결합니다.
런타임 인사이트 상관 관계 - 사전 프로덕션 데이터와 런타임 데이터의 상관 관계를 통해 실행 중인 컨테이너 이미지에서 악용 가능한 취약점을 식별하고, 노이즈를 최대 95%까지 줄이고, 해결 노력의 우선순위를 지정합니다.
소프트웨어 공급망 보안은 하나의 여정이므로 지금 소프트웨어 공급망을 보호하기 위한 조치를 취하는 것이 중요합니다. 체크막스는 코드 패키지에서 공급망 공격을 감지하여 개발자의 진화하는 워크스테이션을 보호하면 위험을 줄이면서 신속한 개발을 지원합니다.
Checkmarx 솔루션에 대한 상세 정보와 문의사항은 하기 홈페이지를 통해 확인 부탁드립니다.
▶ Checkmarx ONE & SCA
https://www.softwidesec.com/Checkmarx