What is an Application Vulnerability?

애플리케이션 취약성은 공격자가 애플리케이션의 보안을 손상시키기 위해 악용할 수 있는 애플리케이션의 약점입니다. 취약성은 애플리케이션의 디자인, 구현 또는 구성 오류와 같은 다양한 방법으로 애플리케이션에 도입될 수 있습니다.

eBook 읽기 데모 요청하기

What is an Application Vulnerability?

The 애플리케이션 Threat

애플리케이션 취약성은 최근 몇 년 동안 점점 더 보편화되고 있습니다. 2021년에는 20,169개의 새로운 CVE(Common Vulnerability and Exposures) 가 NVD(National Vulnerability Database)에 추가되었습니다. 이는 프로덕션 애플리케이션에서 발견된 취약성 수가 전년도에 확인된 18,325개에서 10% 이상 증가했음을 나타냅니다.

새로운 애플리케이션 취약성의 급속한 증가는 이러한 문제를 해결하기 위해 패치를 식별, 테스트 및 배포하는 조직의 능력을 능가하고 있습니다. 따라서 기업은 일반적으로 악용 가능한 취약점이 포함된 애플리케이션을 실행하고 있습니다.

이러한 취약점을 악용하여 사이버 위협 행위자는 다양한 목표를 달성할 수 있습니다. 익스플로잇에 성공하면 비용이 많이 들고 피해를 주는 데이터 침해가 발생하거나 공격자가 조직의 IT 환경 내에 랜섬웨어 또는 기타 멀웨어를 배포할 수 있습니다. 또는 일부 취약성을 사용하여 회사 시스템에 대한 DoS(서비스 거부 ) 공격을 수행하여 조직과 고객에게 서비스를 제공할 수 없게 만들 수 있습니다.

일반적인 애플리케이션 Vulnerability Exploits

새로운 익스플로잇과 제로 데이가 정기적으로 생성되지만 종종 작은 취약성 집합을 이용합니다. 이러한 취약점 중 상당수는 수년 동안 알려져 왔지만 애플리케이션 코드 내에서 계속 나타납니다.

OWASP Top Ten List는 웹 애플리케이션에 중점을 두고 애플리케이션에 나타나는 가장 일반적이고 영향력 있는 취약성 중 일부를 강조하는 잘 알려진 리소스입니다. OWASP 상위 10개 목록의 현재 버전은 2021년에 릴리스되었으며 다음과 같은 10가지 취약점을 포함합니다.

  1. 깨진 액세스 제어
  2. 암호화 오류
  3. 주사
  4. 안전하지 않은 디자인
  5. 보안 구성 오류
  6. 취약하고 오래된 구성 요소
  7. 식별 및 인증 실패
  8. 소프트웨어 및 데이터 무결성 오류
  9. 보안 로깅 및 모니터링 실패
  10. 서버 측 요청 위조

이 목록에서는 문제의 근본 원인에 중점을 두고 일반적인 취약성 클래스에 대해 설명합니다. CWE(Common Weaknesses Enumeration)는 특정 문제의 특정 인스턴스에 대한 정보를 제공합니다. 각 OWASP 상위 10개 취약성에는 하나 이상의 관련 CWE 목록이 포함되어 있습니다. 예를 들어, 암호화 실패에는 하드 코딩된 암호화 키 사용 또는 암호화 서명의 부적절한 확인과 같은 29개의 매핑된 CWE 목록이 포함됩니다.

애플리케이션 보안의 필요성

기업은 핵심 비즈니스 프로세스를 수행하고 고객에게 서비스를 제공하기 위해 IT 시스템과 애플리케이션에 점점 더 의존하고 있습니다. 이러한 애플리케이션은 매우 민감한 데이터에 액세스할 수 있으며 비즈니스 운영에 매우 중요합니다.

애플리케이션 보안 (AppSec)은 고객 데이터를 보호하고, 서비스를 유지 관리하고, 법률 및 규제 의무를 준수하는 조직의 능력에 매우 중요합니다. 애플리케이션 취약성은 회사와 고객에게 상당한 영향을 미칠 수 있으며, 이를 수정하는 데 상당한 시간과 리소스가 소요됩니다. 소프트웨어 개발 수명 주기 초기에 취약성을 식별하고 수정함으로써 조직은 이러한 취약성이 조직에 미치는 비용과 영향을 최소화할 수 있습니다.

애플리케이션 취약성을 수정하는 방법

개발 팀이 DevSecOps 사례를 채택함에 따라 취약성 관리를 자동화하는 것은 개발 및 릴리스 목표를 충족하면서 보안을 보장하는 데 필수적입니다. 개발 팀은 다음과 같은 다양한 도구를 사용하여 애플리케이션 취약성을 식별할 수 있습니다.

  • 정적 애플리케이션 보안 테스트 (사스트): SAST 도구는 애플리케이션을 실행하지 않고 애플리케이션의 소스 코드를 분석합니다. 이를 통해 애플리케이션이 실행 가능한 상태가 아닌 경우 소프트웨어 개발 수명 주기 초기에 일부 취약성을 식별할 수 있습니다.
  • 동적 애플리케이션 보안 테스트 (DAST): DAST 솔루션은 실행 중인 애플리케이션과 상호 작용하여 블랙박스 취약성 평가를 수행합니다. DAST 도구는 일반적인 악성 입력과 퍼징을 사용하여 생성된 무작위 및 잘못된 형식의 요청을 전송하여 애플리케이션 내에서 알려진 취약성과 알려지지 않은 취약성을 검색하도록 설계되었습니다.
  • 대화형 애플리케이션 보안 테스트(IAST): IAST 솔루션은 계측을 사용하여 실행 중인 애플리케이션에 대한 가시성을 확보합니다. 이러한 내부 가시성을 통해 IAST 솔루션은 블랙박스 DAST 접근 방식으로는 감지할 수 없는 문제를 식별할 수 있습니다.
  • 소프트웨어 구성 분석(SCA): 대부분의 애플리케이션에는 라이브러리 및 종속성과 같은 타사 코드가 포함되어 있으며, 여기에는 악용 가능한 취약성도 포함될 수 있습니다. SCA는 애플리케이션 내에서 사용되는 외부 코드에 대한 가시성을 제공하여 이 소프트웨어의 알려진 취약성을 식별하고 수정할 수 있도록 합니다.

효과적인 DevSecOps 워크플로는 이러한 접근 방식의 대부분 또는 전부를 자동화된 CI/CD 파이프라인에 통합합니다. 이렇게 하면 취약성을 최대한 빨리 식별하고 수정할 수 있는 가능성을 극대화하는 동시에 개발자의 오버헤드와 중단을 최소화할 수 있습니다.

CloudGuard AppSec을 통한 포괄적 인 AppSec

강력한 AppSec 프로그램은 웹 애플리케이션 및 API 보호(WAAP)를 통한 런타임 보호 및 애플리케이션 보안 테스트를 포함하여 초기 설계부터 수명 종료에 이르기까지 애플리케이션 수명 주기의 모든 단계에 보안을 통합합니다. 조직의 애플리케이션 보안에 대한 자세한 내용은 이 AppSec 백서를 참조하십시오.

애플리케이션이 점점 더 클라우드로 이동함에 따라 클라우드 워크로드 보호는 AppSec 프로그램의 중요한 구성 요소가 되었습니다. 이 클라우드 애플리케이션 보안 eBook을 통해 클라우드 워크로드를 보호하는 방법에 대해 자세히 알아보십시오. 그런 다음 체크 포인트의 CloudGuard AppSec무료 데모에 등록하여 조직의 애플리케이션 보안을 강화하는 데 어떻게 도움이되는지 확인하십시오.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.