소프트웨어 공급망 보안을 위한 3단계

컴퓨터 코드는 스마트폰에서 로봇, 그리고 이를 연결하는 네트워크에 이르기까지 모든 기술의 기초입니다. 오늘날의 디지털 세계에서 코드는 대부분은 아닐지라도 많은 비즈니스와 서비스의 기반이 됩니다.

해커는 이 사실을 인식하고 활용합니다. 최근의 세간의 이목을 끄는 예는 SolarWinds 소프트웨어에 대한 여러 트로이 목마 업데이트를 사용한 FireEye에 대한 공격입니다. 해커는 소프트웨어 제공자를 표적으로 삼아 회사에 백도어를 설치할 수 있었고, 그 결과 의도한 목표, 즉 해당 회사로부터 서비스를 받은 정부 기관에 도달할 수 있었습니다.

이 공격 방법은 또한 신뢰를 활용합니다. 기업, 정부 및 기타 고객은 소프트웨어 또는 펌웨어 업데이트가 공급업체에서 제공되는 경우 설치하는 것이 안전하다고 가정합니다. 일부는 신뢰하지만 확인합니다. 공급업체의 웹사이트에서 업데이트의 해시 값을 확인한 다음 다운로드와 비교합니다. 일치하면 취약점이 없다고 가정합니다.

이러한 신뢰는 개발 프로세스 중에 소스 코드를 조작할 수 있는 악의적인 행위자에게 기회를 제공합니다. 결과적으로 사용자는 자신도 모르는 사이에 익스플로잇을 다운로드합니다. 이 익스플로잇은 종종 몇 주 또는 몇 달 동안 조용히 머무르다가 조직 전체에 퍼져 궁극적으로 파트너, 공급업체 또는 고객 명단을 공격합니다. 조직은 어떻게 스스로를 보호할 수 있습니까?

나쁜 행위자를 차단합니다. SCRM(공급망 위험 관리) 프로그램은 타사 제품 및 서비스의 채택 및 통합에 내재된 위협 및 취약성을 완화하는 데 중요합니다. 여기에는 사람, 프로세스 및 기술이 포함되며 보안, IT, 인사(HR), 조달 및 법률을 비롯한 여러 부서에 걸쳐 있습니다. 회사의 SCRM 프로그램을 소프트웨어 개발 수명 주기(SDLC)로 확장하는 것이 특히 중요합니다. 그 과정에서 SCRM 프로그램은 모든 사람이 참여하고 동일한 목표를 향해 정렬되는 보안 문화를 조성합니다.

SDLC 내에서 SCRM 프로그램은 코드 및 도구 세트와 같은 관련 리소스를 만질 필요가 있는 사람들에 중점을 둡니다. 당연히 이러한 직원은 범죄 활동 및/또는 국가에 대한 잠재적인 연결을 식별하기 위한 배경 조사를 포함하여 고용 과정에서 철저한 조사를 받아야 합니다.

직원 채용 회사를 활용하는 회사는 회사가 고유하고 구체적인 요구 사항을 이해하고 있는지 확인해야 합니다. 예를 들어, 회사는 직원 채용 회사가 누구인지, 국가가 후원하는 사이버 범죄의 역사가 있는 국가에 회사가 있는지 알아야 합니다. 회사가 독점 및 기밀 정보를 다룰 때 직원을 채용하는 회사의 원격 사무실에서 잠재적인 내부 위협 공장이 될 이력서와 후보자를 제공하는 것을 원하지 않습니다. 국가 공격자들은 사람들을 표적 조직으로 끌어들이는 데 점점 더 집중하고 있습니다. 그들은 탐나는 코딩 기술과 이력서를 최고로 끌어올리는 기타 자격 증명을 보여주는 사람들을 훈련시킬 재정적 자원을 가지고 있습니다. 이는 인사팀과 고용 관리자가 인지해야 할 사항입니다.

어떤 나쁜 배우들은 가장 세심한 심사와 채용 과정을 거치더라도 실수할 가능성이 있습니다. 그렇기 때문에 시스템, 프로그램 및 애플리케이션에 대한 무단 승격 및 액세스 권한과 같은 비정상적이고 의심스러운 행동을 식별하기 위해 잘 정의된 내부 위협 프로그램을 통해 직원 활동을 모니터링하는 것이 중요합니다.

SCRM 프로그램은 또한 코드 및 도구 세트와 같은 관련 리소스를 만질 필요가 있는 사람을 식별한 다음 다른 모든 사람이 이를 볼 수 없도록 보호 장치를 구현해야 합니다. 코드에 라이선스가 부여되면 승인된 개발자의 유일한 소스여야 합니다. 즉, 외부 소스에서 추가 코드를 가져올 수 없습니다. 기본적으로 코드가 이미 평가 및 제어되면 기업은 개발자가 보안 위험에 대해 아직 평가되지 않은 새로운 소스에서 코드를 얻는 것을 원하지 않습니다. 이 모범 사례는 승인된 개발자가 무의식적으로 사용하는 승인되지 않은 코드에 묻힌 백도어 또는 승인되지 않은 사용자가 숨긴 문서화되지 않은 포털과 같은 취약점을 완화합니다.

조사하고 통제합니다. 엄격한 제어 기술은 또 다른 보호 계층을 제공합니다. 예를 들어 직원이 조직 내에서 이동하는 경우에도 새 역할 및 부서에 맞게 특별히 생성된 이미지가 있는 새 노트북을 제공하는 것이 좋습니다. 또한 더 이상 필요하지 않은 이전에 획득한 액세스를 비활성화합니다. 이렇게 하면 데이터와 액세스 권한을 유지하는 데 도움이 됩니다.

IT 부서는 새 컴퓨터를 개발자에게 배포하기 전에 이미지를 다시 만들어야 합니다. 재고를 사용하면 운영 체제와 사전 설치된 블로트웨어가 코드를 손상시킨 경우 공급업체 제공 이미지가 백도어를 생성할 수 있습니다. 대신 해당 장치에 대해 강화된 사용자 지정 이미지를 만드십시오.

모든 새로운 유형의 하드웨어 및 소프트웨어는 초기에 일정 기간 동안 샌드박스 처리되어야 합니다. 이를 통해 IT 부서는 데이터 풀다운을 시도하기 위해 인터넷에 원치 않는 전화를 거는 것과 같은 행동을 면밀히 조사할 수 있습니다. 또한 몇 달 또는 몇 년 후 행동이 손상되었음을 나타낼 수 있는 갑작스러운 행동 변화를 감지하는 데 도움이 되는 기준선을 만듭니다.

보안 문화를 조성합니다. 이는 SCRM이 조직 간 노력이어야 하는 이유를 강조하는 많은 고려 사항입니다. 예를 들어, 법무 부서는 공급업체 및 파트너 계약에 감사와 관련된 문구가 포함되어 있는지 확인하여 모든 요구 사항이 준수되도록 해야 합니다. 한편 HR은 후보자 선별 규칙을 개발하고 시행하는 데 도움을 줄 수 있습니다.

고위 경영진의 동의와 리더십은 이러한 종류의 팀 노력을 달성하고 SCRM 프로그램을 구현하는 데 리소스를 사용할 수 있도록 하는 데 중요합니다. 이는 조직 전체를 포괄하는 보안 문화를 생성하고 보안을 사후 고려에서 개발 프로세스의 기본 부분으로 변환합니다.

Michael Iwanoff는 iconectiv의 최고 정보 보안 책임자입니다.