Fortinet의 CISO인 Carl Windsor가 작성
사이버보안 제품은 제품 수명 주기의 모든 단계에서 강력한 보안을 통합해야 하며, 사이버보안 공급업체는 제품 수명 주기 동안 지속적인 혁신과 개선을 제공해야 합니다. 개발자가 아무리 조심하더라도 모든 소프트웨어와 애플리케이션 코드에는 항상 실수가 포함됩니다. 일부는 양성이지만 일부는 취약성으로 이어집니다.
가장 큰 문제는 오류가 발견되었을 때 어떻게 할 것인가입니다.
공급업체의 대응은 공개에서 존재를 인정하지 않고 조용히 수정하는 것까지 매우 다양합니다. 이러한 일관되지 않은 대응은 사용자를 모르게 취약하게 만들거나 짧은 통지로 수정을 구현하기 위해 애쓰게 합니다.
이러한 노력에 맞춰 책임 있는 공개 프로세스를 만드는 국제적 및 업계 모범 사례가 있지만, 이러한 접근 방식은 의무적이기보다는 자발적인 경우가 많습니다. 조직이 책임 있는 공개 프로세스를 채택하도록 하는 것은 강력한 사이버 보안 태세를 갖추고 사용자를 잠재적인 취약성으로부터 보호하는 데 매우 중요합니다.
조직은 표준화된 윤리 규칙과 모범 사례를 따르는 책임 있는 개발 및 공개 관행에 전념하는 공급업체와 협력하여 사이버 회복력을 강화해야 합니다. 중요하고 시기적절한 수정, 패치 및 업데이트를 구현하는 것은 새로운 취약성을 악용하려는 새로운 위협으로부터 조직을 안전하게 보호하는 데 필수적입니다.
따라서 잠재적인 공급업체를 평가할 때 다음 세 가지 질문을 하는 것이 중요합니다.
1. 공급업체가 철저한 제품 테스트를 실시합니까? 어떻게 합니까?
테스트에는 상당한 리소스, 즉 시간, 숙련된 인력, 재정 투자가 필요합니다. 일부 공급업체는 제품을 시장에 서둘러 출시하여, 종종 고객이나 제3자 연구원이 감지한 취약성만 해결합니다.
공급업체는 견고한 테스트를 실행하는 데 필요한 재정적, 구조적 또는 인적 자원이 부족할 수 있습니다. 취약점을 거의 공개하지 않거나 전혀 공개하지 않는 공급업체를 만나는 것은 이러한 제한에서 비롯될 수 있습니다.
동시에 공급업체의 취약성 수는 운영 규모와 제품 범위와 상관관계가 있는 경향이 있다는 점을 기억하는 것이 중요합니다. 취약성 수가 높다고 해서 자동으로 보안 조치나 제품 품질이 낮다는 것을 나타내는 것은 아닙니다. 중요한 요소는 제품 수명 종료까지 개발 주기 전반에 걸쳐 제품 보안을 보장하기 위해 구현된 프로세스에 있습니다.
신뢰할 수 있는 사이버 보안 공급업체는 모든 제품 개발 단계에 엄격한 내부 및 외부 테스트를 포함해야 합니다. 악의적인 개체가 악용하기 전에 시기적절한 취약성 탐지가 가장 중요합니다.
여기에는 엄격한 코드 검토와 감사, 정적 및 동적 애플리케이션 보안 테스트(SAST & DAST), 침투 테스트, 퍼징 및 악용 가능한 취약점을 탐지하기 위한 유사한 노력이 포함됩니다.
2. 공급업체는 내부적으로 발견된 취약점과 외부적으로 발견된 취약점 간의 균형을 어떻게 유지하고 있습니까?
이상적으로, 공급업체의 선제적 개발 및 테스트 접근 방식은 주로 내부 발견 비율을 가져올 것입니다. 이는 고객을 보호하려는 선제적 노력을 의미할 뿐만 아니라 공급업체가 견고한 테스트 및 공개에 전념하고 있음을 보여줍니다.
최근의 한 산업 분석에 따르면, 평균적인 소프트웨어 코드 샘플에는 백만 줄의 코드당 6,000개의 결함이 포함되어 있습니다. 그리고 카네기 멜론 대학의 소프트웨어 공학 연구소에서 수행한 연구에 따르면 이러한 결함의 약 5%가 악용될 수 있습니다. 이는 10,000줄의 코드당 약 3개의 악용 가능한 취약점이 있다는 것을 의미합니다.
결과적으로 광범위한 제품 포트폴리오를 가진 회사는 코드 베이스의 엄청난 크기 때문에 더 많은 취약점을 공개할 수 있습니다. 그렇기 때문에 숫자만으로는 완전한 그림을 그릴 수 없다는 것을 기억하는 것이 중요합니다.
더 많은 수의 취약점이 반드시 보안이 낮다는 것을 의미하지는 않습니다. 대신, 분석 대상인 더 많은 제품 풀을 반영합니다.
책임 있는 개발과 공개에 대한 선제적 접근 방식은 위험을 사전에 식별할 뿐만 아니라 즉각적인 해결책 개발 및 배포를 용이하게 하여 잠재적인 악용을 사전에 예방합니다.
3. 공급업체는 보고된 취약점을 어떻게 처리합니까?
자체 발견 외에도 위협 연구원, 산업 그룹 및 기타 사람들은 취약성 발견을 적극적으로 추진합니다. 이는 위협 행위자가 취약성을 악용하기 전에 취약성을 발견하고 해결하는 데 중요합니다.
많은 공급업체는 취약점이 공개적으로 보고되기 전에 수정 및 패치를 준비할 수 있도록 책임감 있는 공개를 장려하기 위해 외부 그룹과 공개적으로 협력합니다.
공급업체는 책임 있는 공개 관행에 대한 공개 토론에 참여해야 합니다. 외부 연구원과 협력하는 방식은 고객과 더 광범위한 사이버 환경의 보안에 대한 그들의 헌신을 강조합니다.
공급업체의 취약성 발견 및 공개에 대한 의지를 이해해야 합니다. 먼저 Cybersecurity and Infrastructure Security Agency(CISA)의 Secure-by-Design 원칙이나 Cyber Threat Alliance(CTA)의 취약성 공개 정책과 같은 신뢰할 수 있는 출처를 참조하세요.
CTA 취약성 공개 정책에 따르면, “하드웨어 및 소프트웨어 취약성을 식별, 보고 및 해결하는 것은 모든 조직의 사이버 보안 프로그램의 필수 구성 요소입니다.”
책임 있는 공개는 소비자와 같은 이해 관계자에게 발견된 취약점에 대해 즉시 알려서 선제적 조치를 취할 수 있도록 합니다. 대부분의 평판 좋은 공급업체는 문서화된 책임 있는 공개 정책을 유지합니다. 이를 보여달라고 요청해야 합니다.
일반적으로 이 프로세스는 연구자들이 발견한 취약점을 정해진 프로세스를 통해 개발자에게 보고하는 것으로 시작되며, 이를 통해 공급업체가 취약점을 수정할 시간을 갖게 되고, 경우에 따라서는 고객이 취약점을 완화할 수 있는 시간도 갖게 된다. 그런 다음 공개가 이루어진다.
이러한 프로세스는 사이버보안 커뮤니티 내에서 상당한 논란을 겪었고 일부 공급업체가 취약점 공개를 거부했지만, 이제 업계의 합의는 사이버보안 사용자에게 이익이 되는 책임 있는 공개 원칙을 따르는 쪽으로 기울고 있습니다.
책임 있는 개발 및 공개 관행은 당신을 보호합니다
사전적이고 투명한 정보 공개를 통해 소비자는 자산을 효과적으로 보호하는 데 필요한 정보를 얻을 수 있습니다.
책임 있는 개발과 공개의 기본 원칙을 이해한 후 고객, 독립 연구원, 업계 단체 및 동료와 협력하여 보안 조치를 강화하는 공급업체를 찾으세요.
예를 들어, CISA는 최근 Fortinet을 포함한 60개 이상의 공급업체가 서명한 Secure by Design 서약을 도입했습니다. 여기에는 “급진적인 투명성” 원칙의 요소가 통합되어 있으며, 여기에는 “급진적인 투명성의 정신에 따라 제조업체는 다른 사람들이 배울 수 있도록 접근 방식을 공개적으로 문서화하도록 권장됩니다.”가 포함됩니다. 공급업체가 이 서약을 했나요? 내부와 외부에서 발견된 취약성 비율에 대해 물어보세요.
보고된 취약점의 대부분은 스스로 발견해야 합니다. 내부적으로 발견된 것이든 외부적으로 발견된 것이든 수정된 문제는 투명하게 공개하고 책임감 있게 해결해야 합니다.
사이버 보안과 중요한 디지털 자산을 보호하는 데 있어서 햇빛은 최고의 살균제입니다.
Fortinet이 후원하고 작성했습니다.
