애플리케이션 보안이란 무엇인가요?
개요
애플리케이션 보안은 전체 애플리케이션 수명 주기 동안 애플리케이션을 위협으로부터 보호하기 위한 프로세스, 도구 및 관행의 규율입니다. 사이버 범죄자들은 조직화되고 전문화되어 있으며 기업 애플리케이션의 취약점을 찾아 악용하여 데이터, 지적 재산 및 민감한 정보를 훔치려는 동기를 가지고 있습니다. 애플리케이션 보안은 조직이 고객, 비즈니스 파트너, 직원 등 내부 및 외부 이해관계자가 사용하는 모든 종류의 애플리케이션(레거시, 데스크톱, 웹, 모바일, 마이크로 서비스 등)을 보호하는 데 도움이 될 수 있습니다.
애플리케이션 보안
애플리케이션 보안이 필요한 이유
여러 연구를 통해 확인된 바와 같이, 성공적인 침해의 대부분은 애플리케이션 계층에 존재하는 악용 가능한 취약점을 노리는 것으로 나타나 기업 IT 부서가 애플리케이션 보안에 더욱 주의를 기울여야 할 필요성을 시사합니다. 애플리케이션의 수와 복잡성이 증가하면서 문제는 더욱 복잡해지고 있습니다. 10년 전만 해도 소프트웨어 보안 문제는 비교적 무해하고 범위 지정과 보호가 쉬운 데스크톱 애플리케이션과 정적 웹사이트를 보호하는 것이었습니다. 이제 소프트웨어 공급망은 아웃소싱 개발, 레거시 애플리케이션의 수, 타사, 오픈 소스 및 상용 기성 소프트웨어 구성 요소를 활용하는 사내 개발까지 고려하면 훨씬 더 복잡해졌습니다.
조직은 내부에서 사용하는 애플리케이션부터 고객의 휴대폰에서 사용되는 인기 있는 외부 애플리케이션까지 모든 애플리케이션을 포괄하는 애플리케이션 보안 솔루션이 필요합니다. 이러한 솔루션은 전체 개발 단계를 포괄하고 애플리케이션이 사용된 후 잠재적인 문제를 모니터링하기 위한 테스트를 제공해야 합니다. 애플리케이션 보안 솔루션은 웹 애플리케이션의 잠재적이고 악용 가능한 취약점을 테스트할 수 있어야 하고, 코드를 분석할 수 있어야 하며, 다양한 이해관계자 간의 협업을 조정하고 보안 및 개발 관리 프로세스를 관리할 수 있는 기능을 갖추고 있어야 합니다. 또한 솔루션은 사용 및 배포가 쉬운 애플리케이션 보안 테스트를 제공해야 합니다.
SAST, DAST, SCA란 무엇인가요?
SAST 란 무엇인가요?
정적 애플리케이션 보안 테스트 (SAST )는 애플리케이션 소스 파일을 스캔하여 근본 원인을 정확하게 파악하고 근본적인 보안 결함을 수정하는 데 도움을 줍니다.
정적 애플리케이션 보안 테스트의 이점
- 소스, 바이너리 또는 바이트 코드의 취약점을 식별하고 제거합니다.
- 권장 사항에 액세스하여 정적 분석 검사 결과를 실시간으로 검토하고, 코드 줄 탐색을 통해 취약점을 더 빠르게 찾고, 협업 감사를 수행할 수 있습니다.
- 통합 개발자 환경(IDE)과 완전히 통합되었습니다.
DAST 란 무엇인가요?
동적 애플리케이션 보안 테스트 (DAST )는 실행 중인 웹 애플리케이션 또는 서비스에 대한 제어 공격을 시뮬레이션하여 실행 중인 환경에서 악용 가능한 취약점을 식별합니다.
동적 애플리케이션 보안 테스트의 이점:
- 악용 가능한 요소에 초점을 맞추고 모든 구성 요소(서버, 사용자 지정 코드, 오픈 소스, 서비스)를 포괄하여 애플리케이션 보안에 대한 포괄적인 보기를 제공합니다.
- 개발, QA 및 프로덕션에 통합하여 지속적인 전체적 관점을 제공할 수 있습니다.
- 동적 분석을 통해 포트폴리오 위험(수천 개의 애플리케이션)을 관리하기 위한 광범위한 접근 방식을 사용할 수 있으며 위험 관리의 일환으로 레거시 앱을 스캔할 수 있습니다.
- 기능 앱을 테스트하므로 SAST 와 달리 언어에 제약이 없으며 런타임 및 환경 관련 문제를 발견할 수 있습니다.
SCA란 무엇인가요?
소프트웨어 구성 분석 (SCA) 은 애플리케이션에 사용된 오픈소스 구성 요소를 식별하고 추적하는 데 도움이 되는 자동화된 프로세스입니다. 더욱 강력한 SCA 도구는 보안 위험, 라이선스 준수 및 코드 품질에 대해 모든 오픈 소스 구성 요소를 분석할 수 있습니다.
소프트웨어 구성 분석의 이점:
- 조직 내 오픈 소스 구성 요소에 대한 가시성과 이해도를 확보하세요(소프트웨어 BOM 제공).
- 보안 및 라이선스 문제 방지를 위한 정책 자동화.
- 취약점에 대한 해결 제안 및 라이선스 위험에 대한 조언을 제공합니다.
- 오픈 소스 프로젝트의 상태를 분석하여 열악하거나 쇠퇴한 커뮤니티로 인한 위험을 제거하세요.
온프레미스 대 SaaS 대 매니지드 서비스
애플리케이션 보안 솔루션은 사이버 보안 소프트웨어(도구)와 애플리케이션 보안을 위한 프로세스를 실행하는 관행으로 구성됩니다.
온프레미스
애플리케이션 보안 테스트 솔루션은 온프레미스(사내)에서 실행하고 사내 팀에서 운영 및 유지 관리할 수 있습니다. 이 접근 방식을 사용하려면 조직이 인프라와 인력을 제공하고 애플리케이션 보안 솔루션을 구입해야 합니다. 온프레미스는 조직이 애플리케이션 데이터를 제3자와 공유하지 않고 외부로 유출하지 않도록 보장합니다.
SaaS
SaaS 서비스로서의 애플리케이션 보안은 웹 기반 사용자 인터페이스가 있는 클라우드 기반 솔루션을 제공하여 고객이 애플리케이션 보안을 구성, 수행 및 관리할 수 있도록 합니다. 이 옵션을 사용하려면 조직은 여전히 다양한 애플리케이션 보안 테스트 도구를 실행하는 데 필요한 인력과 전문 지식을 제공해야 하지만 인프라, 유지 관리, 업데이트 등을 제공할 필요는 없습니다.
관리형 서비스
애플리케이션 보안은 고객이 애플리케이션 보안 공급업체가 턴키 솔루션으로 제공하는 서비스를 이용하는 관리형 서비스일 수도 있습니다. 이 접근 방식은 온프레미스 접근 방식의 전제 조건이 필요하지 않지만 SaaS 공급업체에 부분적으로 또는 전체적으로 의존해야 하며 대부분의 경우 애플리케이션 데이터를 공급업체와 공유할 수 있어야 합니다. 매니지드 서비스로서의 애플리케이션 보안은 쉽게 시작할 수 있는 방법을 제공하며 확장성과 속도를 제공할 수 있습니다. 하이브리드 구현(다양한 프로젝트와 관행에서 온프레미스, SaaS 및 관리형 서비스를 함께 사용하는 것)은 유연성, 확장성 및 비용 최적화를 제공하여 두 가지 장점을 모두 제공하는 것을 목표로 합니다.
OWASP 상위 10위란 무엇인가요?
OWASP 상위 10위
오픈 웹 애플리케이션 보안 프로젝트(OWASP)는 소프트웨어 보안 향상을 목표로 하는 오픈 소스 애플리케이션 보안 커뮤니티입니다. 이 커뮤니티의 업계 표준인 OWASP 10대 가이드라인은 개발자가 설계하고 배포하는 애플리케이션의 보안을 강화하는 데 도움이 되는 가장 중요한 애플리케이션 보안 위험 목록을 제공합니다.
애플리케이션 보안 솔루션
OpenText 애플리케이션 보안 솔루션은 온프레미스, 호스팅 및 서비스형 애플리케이션 보안 테스트 및 관리를 제공하여 기업이 레거시, 모바일, 타사 및 오픈 소스 애플리케이션을 포함한 소프트웨어 애플리케이션을 보호할 수 있도록 지원합니다.
Fortify 정적 코드 분석, 동적 애플리케이션 보안 테스트, 소프트웨어 구성 분석(SCA) 및 대화형 애플리케이션 보안 테스트 도구를 제공하여 웹 앱, API, 모바일 앱, 코드형 인프라, 컨테이너 및 소프트웨어 공급망에 대한 코드 보안을 제공합니다.
솔루션에는 다음이 포함됩니다:
OpenText™ Fortify™ 정적 코드 분석기 - 정적 애플리케이션 보안 테스트 (SAST) - 소프트웨어 개발 수명 주기 초기에 소스 코드의 보안 취약점을 식별하고 정확히 찾아냅니다.
OpenText™ Fortify™ WebInspect - 동적 애플리케이션 보안 테스트 (DAST) - 실행 중인 애플리케이션에 대한 실제 보안 공격을 시뮬레이션하여 복잡한 웹 애플리케이션 및 서비스에 대한 종합적인 분석을 제공합니다.
OpenText™ Fortify™ 온디맨드 - 서비스로서의 보안 - 소프트웨어를 설치하거나 관리하거나 리소스를 추가할 필요 없이 애플리케이션을 정확하게 테스트할 수 있는 간단하고 쉽고 빠른 방법입니다.
모바일 보안 - 클라이언트, 네트워크, 서버 등 세 가지 계층을 모두 테스트하는 모바일 테스트 방법론입니다.
OpenText™ 사이버 보안 클라우드는 전체 애플리케이션 보안 테스트 프로그램에 대한 가시성을 제공하는 중앙 집중식 관리 저장소입니다. 보안 테스트 활동의 우선순위를 지정, 관리 및 추적하고 기업 전반의 소프트웨어 보안 위험에 대한 정확한 그림을 제공합니다.
