SBOM의 미래 차트 작성: CISA의 새로운 가이드에서 얻은 통찰력: 사이버 보안 위험의 균형 전환

모든 게시물

2023년 XNUMX월 CISA는 소프트웨어 보안을 위한 새로운 공동 가이드를 발표했습니다. 사이버 보안 위험의 균형 이동: 보안 기반 설계 및 기본 원칙. 이 가이드는 NSA, 호주 사이버 보안 센터(ACSC), 독일 연방 정보 보안국(BSI) 등 9개 기관의 협력으로 구성되었습니다. 전 세계의 여러 기관이 협력하여 사이버 보안 가이드를 준비했다는 사실은 현 시점에서 사이버 보안이라는 주제가 전 세계적으로 중요성을 갖고 있음을 강력히 입증하는 것입니다. 

CISA의 이사인 Jen Easterly는 피츠버그에 있는 Carnegie Mellon University의 학생과 교수진을 대상으로 한 최근 연설에서 사이버 보안 주제에 대한 자신의 생각을 공유했습니다. CISA 이사에 따르면, 이러한 지침 원칙은 향후 글로벌 소프트웨어 산업을 이끄는 데 도움이 될 것입니다.

  1. 안전의 책임은 결코 고객에게만 있어서는 안 됩니다. 소프트웨어 제조업체는 자사 제품과 코드에 대해 책임을 져야 합니다.
  2. 기술 제조업체는 제품에 대한 책임에 대한 약속으로 근본적인 투명성을 수용해야 합니다. 
  3. 기술 제조업체는 안전한 제품을 만드는 데 집중해야 하며, 설계상 안전하고 기본적으로도 안전한 제품을 개발해야 합니다.

CISA 가이드는 이러한 기본 원칙을 바탕으로 더욱 안전한 제품을 시장에 출시하기 위해 소프트웨어 제조업체가 취할 수 있는 실용적인 제안의 포괄적인 목록을 포함하여 이를 확장합니다.

많은 명시적인 제안이 다음을 기반으로 한다는 점은 흥미롭습니다. NIST의 SSDF 프레임워크 그러나 보다 실용적이고 덜 자발적인 방식으로 표현되었습니다.

급진적인 투명성과 직접적으로 관련된 가이드의 제안 중 하나는 소프트웨어 제조업체가 SBOM 소프트웨어 구성 요소에 대한 가시성을 제공합니다.

하지만 SBOM을 만들고 게시하는 것만으로도 충분할까요? 소프트웨어 생산자 또는 소프트웨어 소비자는 실제로 SBOM JSON 또는 XML 파일로 무엇을 할 수 있습니까?

이 기사에서는 오늘날 SBOM이 소프트웨어 제작자에게 제공할 수 있는 용도, SBOM을 강화하기 위해 SBOM에 추가할 수 있는 정보, 강화된 문서를 검토하여 얻을 수 있는 비즈니스 인텔리전스를 살펴보겠습니다. SBOM 사용의 규정 준수 측면과 소프트웨어 제작자, 소프트웨어 수집자 또는 오픈 소스 유지관리자로서 귀하의 책임이 어디에 있는지 간략하게 살펴보겠습니다. 위험 관리에 대해 이야기하고 CISA의 설계에 의한 보안 및 기본 보안 원칙이 사이버 보안 규정 준수 및 계몽된 위험 관리와 어떻게 결합되는지에 대해 이야기하면서 마무리하겠습니다. 

모든 SBOM이 동일하게 생성된 것은 아닙니다

오늘날 오픈 소스부터 독점 솔루션까지 SBOM 생성을 위해 사용할 수 있는 도구가 많이 있으며, SBOM 생성을 SOP에 포함시키려는 개인이나 회사는 쉽게 그렇게 할 수 있습니다. 하나는 다른 것 중에서 선택할 수 있습니다 기준 그들의 필요에 가장 적합한 것이지만, 그럼에도 불구하고 정보에 입각한 결정을 내리기에는 너무 많은 도구에 직면할 수 있습니다. 그렇다면 올바른 것을 결정할 때 무엇을 더 찾을 수 있습니까? SBOM 생성 당신을 위한 도구?

먼저 SBOM 생성 시 어떤 정보가 포함되거나 생략되었는지 확인해보세요. 개발 프로세스의 일부였지만 실제 제품의 일부는 아닌 도구와 코드를 포함하는 BOM에는 결과 파일에서 '정리'하기가 매우 어려운 중복 정보가 많이 포함되어 있을 수 있습니다. 가장 관련성이 높은 정보. 마찬가지로, 예를 들어 취약점을 검색하려는 경우 포함되지 않거나 의도적으로 생략된 도구나 코드가 눈에 띄게 누락될 수 있습니다.

소프트웨어 구성 요소 및 종속성 목록 자체는 대부분 의미가 없습니다. 그것은 당신이 선택할 수 있는 것 외에는 거의 목적을 달성하지 못합니다. 오늘날 SBOM의 가장 널리 사용되는 용도는 소프트웨어 구성 요소를 스캔하여 제품에 영향을 미칠 수 있는 취약점 목록을 얻는 것입니다.

발견한 취약점의 약 95%는 제품에서 악용될 수 없다는 점을 기억하는 것이 중요합니다. 비결은 파악하기 어려운 5%를 찾아 작업 계획을 세우고 이러한 악용 가능한 취약점을 처리하기 시작하는 것입니다. 무엇이 악용 가능하고 무엇이 악용되지 않는지 어떻게 알 수 있나요? 이는 보안 및 엔지니어링 인력을 밤잠 못 이루게 만드는 큰 질문입니다. 현재 제안 중 하나는 다음과 같은 솔루션을 사용하는 것입니다. VEX – 취약점 악용 교환(Vulnerability Exploitability eXchange), 보안 권고의 한 형태로, 사용되는 제품의 맥락에서 알려진 취약점이 있는 구성 요소의 악용 가능성을 전달하는 것이 목표입니다. 여전히 취약성 정보의 건초더미를 샅샅이 조사하고 악용 가능한 취약성을 찾는 작업은 대부분 엔지니어링 팀에게 맡겨져 있습니다. 결국, 코딩한 사람보다 자신의 제품을 더 잘 아는 사람이 누가 있겠습니까? 

하지만 할 수 있는 다른 작업도 있습니다. 특히 Docker 이미지의 상위 이미지나 종속성 체인의 훨씬 이전 종속성에서 발생하는 상속된 취약점의 경우 더욱 그렇습니다. 다음과 같은 오픈 소스 도구를 사용하여 부모 이미지 상위 이미지와 함께 제공된 취약점과 코드의 직접적인 결과인 취약점을 파악할 수 있습니다. 그러면 잠재적으로 큰 규모의 취약점 풀이 제거되고 선별 작업이 더 쉬워집니다. 다양한 취약점에 대한 다양한 권고를 사용하는 것도 좋은 생각입니다. 취약점이 악용될 수 없다고 판단한 후에는 모든 버전에서 동일한 취약점을 계속 확인하지 않도록 팀 구성원이나 사용자에게 알리는 것이 합리적입니다. 발견된 모듈을 수정하지도 않은 제품의 경우. 오픈 소스 및 타사 종속성을 따르는 것이 좋습니다. 그러면 악용 가능한 취약점을 찾아 수정한 후 제품에서 해당 코드를 업데이트하여 다음을 수행할 수 있습니다. 특정 잠재적인 문제로부터도 보호받을 수 있는지 확인하세요. 

SBOM에 무엇을 더 추가할 수 있나요?

위에서 설명한 대로 오늘날 SBOM의 가장 일반적인 용도 중 하나는 취약점 검색을 위한 체크리스트입니다. NVD(National Vulnerability Database)와 같이 무료로 제공되는 다양한 데이터베이스를 사용하면 SBOM에서 제공하는 것과 유사한 구성 요소 목록을 스캔하고 여기에 포함된 취약점을 확인할 수 있습니다. 취약점 목록이 있으면 심각도별로 정렬하고 기존 수정 사항이 있는지 확인하는 등의 작업을 수행할 수 있습니다. 

구성 요소에 대해 알고 있으면 유용한 또 다른 정보 계층은 해당 라이센스입니다. 많은 오픈 소스 구성 요소에는 상업적 사용과 호환되지 않는 라이선스가 함께 제공됩니다. 자신이 포함하지 않았지만 다른 구성 요소에 의해 포함된 모든 오픈 소스 구성 요소가 라이선스 측면에서 만들려는 모든 것과 호환되는지 확인하는 것이 중요합니다.

마지막 제안 중 하나는 다음과 같은 종속성에 대해 오픈 소스 보안 '상태' 측정기를 따르는 것입니다. OpenSSF 스코어카드. 오픈 소스 라이브러리의 사이버 보안 상태에 대한 상대적으로 간단한 객관적인 측정 방법을 갖는 것은 제품에 어떤 라이브러리를 포함하거나 생략할지 결정하는 데 큰 도움이 될 수 있습니다. 취약점 심각도와 결합된 이러한 점수는 먼저 작업하려는 취약점을 정렬하는 데 도움이 되는 좋은 방법입니다. 

비즈니스 인텔리전스 활동으로서의 위험 관리

여러개 존재함 보안 위험 요즘에는 소프트웨어 제작자라면 누구나 다뤄야 할 문제입니다. 맬웨어, 암호화폐 채굴자, 비밀번호 도용자, 랜섬웨어 사이에서 제조업체가 무엇이든 시장에 출시하는 것이 안전하다고 느끼는 것은 놀라운 일입니다. 누구도 모든 것을 한꺼번에 처리할 수 없기 때문에 기업은 위협 모델을 만들고 가장 취약하다고 생각하는 링크에 따라 위험을 관리하려고 노력합니다. 가장 쉬운 첫 번째 단계는 코드와 개발 프로세스가 관련 규정 및 모범 사례를 준수하는지 확인하는 것입니다. Nist의 SSDF 그리고 OpenSSF SLSA SBOM과 같은 것에 대한 미국 요구 사항뿐만 아니라 시작하기에 좋은 곳입니다. 규정과 모범 사례를 따르면 최소한 법률에 따른 소송으로부터 상대적인 안전을 약속할 수 있습니다. 피 난항 프로그램. 그러나 그것은 시작에 불과합니다.

CISA 가이드는 제조업체가 보안을 먼저 염두에 두고 제품을 제작할 것을 권장합니다. 제품이 완성된 후 일부 '추가' 보안은 제품 아키텍처의 일부인 일부 근본적인 약점을 완화할 수 없습니다. 가이드에 따르면 Secure-by-Design 제품은 단순한 기술적 기능이 아닌 고객의 보안이 핵심 비즈니스 목표인 제품입니다. 제조업체도 이를 수용하도록 권장됩니다. 급진적인 투명성 그리고 책임. 이는 무엇보다도 취약성 권고와 관련 공통 취약성 및 노출(CVE) 기록이 완전하고 정확합니다. 이는 또한 제조업체가 최소한 제품의 잠재적인 문제를 알고 있음을 사용자와 고객에게 보여주기 위한 방법으로 코드 구성 요소, 해당 종속성 및 취약점을 공유하도록 권장된다는 의미입니다.

Wikipedia에 따르면, 비즈니스 인텔리전스 (BI) 기업이 사용하는 전략과 기술로 구성됩니다. 데이터 분석 사업정보를 관리합니다. 상상할 수 있듯이, 각 빌드에 대한 SBOM과 취약점 보고서, 라이센스 정보, 어떤 취약점이 악용 가능하고 악용되지 않는지 분석하는 권고 등을 수집하는 것은 많은 정보입니다. 일반적인 소프트웨어 제품의 수명과 사용 중인 타사 코드나 도구, 포함된 오픈 소스 패키지에 대해 이 정보를 갖고 싶다는 사실을 고려하면 정보 포인트 수가 늘어납니다. 직접적으로 또는 일시적으로. 조직의 보안 권한(아마도 CISO와 그 아래 사람들)이 사용할 수 있는 방식으로 모든 것을 이해하려면 단일 '창' 플랫폼인 시스템이 필요합니다. 이를 통해 모든 정보를 정리하고, 효과적으로 검색하고, 필요할 때 유용한 보고서에 표시할 수 있습니다. BI 플랫폼이 사이버 보안 플랫폼에 얼마나 중요한지에 대한 한 가지 예를 들자면 다음과 같습니다. 로그4J 작년 드라마. 이 '새로운' 위협에 대해 몇 번의 키 입력만으로 종속성 및 타사 도구를 포함한 모든 제품을 검색할 수 있다면 정말 멋지지 않을까요? 방금 등장한 또 다른 위협적인 CVE가 있는지 확인하는 것은 어떨까요? 또는 회사의 전체 취약점 수가 시간이 지남에 따라 어떻게 점진적으로 감소하는지(또는 적어도 증가하지 않는지)에 대한 보고서를 준비합니다. 이는 사이버 보안 SBOM이 강화된 수집 플랫폼 위에 있는 BI 시스템만이 제공할 수 있는 일종의 유용한 '큰 그림' 정보입니다.  

모든 관련 정보를 확보한 후에만 현재 코드, 종속성 및 제품의 일부 타사 도구나 코드를 포함하거나 생략하도록 선택할 때의 위험을 진정으로 평가할 수 있습니다. 지속적으로 실행하면 이 위험 평가를 사용하여 빌드를 관리하고 의심스러운 활동이 발견되면 프로덕션 또는 제공을 중단할 수도 있습니다.

미래를 내다 보며

기술은 항상 발전하고 있습니다. 한때 조직 사무실에 있는 서버에 있는 모놀리식 코드 프로젝트가 표준이었다면 요즘은 멀티 클라우드 마이크로 서비스 아키텍처와 LLM이 이를 주도하고 있습니다. SBOM은 관련성과 유용성을 유지하기 위해 활용하는 복잡한 아키텍처나 인프라 소프트웨어가 무엇이든 지원할 수 있도록 계속해서 발전해야 합니다. 예를 들어 OWASP의 CycloneDX는 이미 다음을 포함하는 작업을 진행 중입니다. ML 투명성 SBOM 형식으로. 동일한 형식으로 미래를 계획할 때 VEX 기능과 SBOM 공유 API도 포함해야 합니다. 나는 다음과 같은 플랫폼이 점점 더 많아질 것으로 예상합니다. 학자 규제상의 이유와 이러한 풍부한 정보가 이를 적절하게 활용하는 조직에 제공하는 이익과 가치를 위해 SBOM을 포함한 보안 관련 정보의 축적 및 공유를 위해 생성됩니다.

Scribe의 플랫폼은 제가 제안한 모든 기능과 그 이상을 갖춘 기존 보안 플랫폼의 일부로 새로운 BI 도구를 출시할 예정입니다. 나는 당신이 시도 해봐, 시간이 지남에 따라 축적된 정보의 유용성을 확인하고 해당 정보를 무엇에 사용할 수 있는지 확인하십시오. Scribe 플랫폼을 SDLC에 통합하기로 선택했는지 여부에 관계없이 보다 안전한 생태계와 보다 포괄적이고 유용한 SBOM을 위한 경쟁은 아직 끝나지 않았습니다. 규제나 시장 압력으로 인해 급진적인 투명성이 강요되는 것보다 지금 투명성 마차를 타는 것이 더 낫습니다.

기치

이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.