데이터 및 정보 처리는 소프트웨어 없이는 작동할 수 없습니다. 소프트웨어 개발은 주로 알고리즘의 작업별 기능에 중점을 둡니다. 그러나 프로그램 코드를 잘못 작성하면 잘못된 액세스 제어, SQL 주입, 잘못된 세션 관리 및 인증, 사이트 간 스크립팅 등과 같은 보안 문제가 자주 발생한다는 사실은 이제 잘 알려져 있습니다.

보안 코딩 관행의 중요성은 업데이트된 정보 보안 표준 ISO/IEC 27002 및 ISO/IEC 27001:2022에서 강조됩니다. 새로운 정보 보안 조치(제어)로서 소프트웨어 개발의 "보안 코딩" 원칙은 ISO/IEC 27001 부록 A의 조치 카탈로그에 포함됩니다. 정보 보안에 대한 이 조치의 중요성과 블로그 게시물에 업로드할 향후 심사정보가 의미하는 바에 대해 읽어보시기 바랍니다. 

코드의 보안 취약점

임베디드 시스템의 운영 체제 소프트웨어, 애플리케이션 소프트웨어 또는 펌웨어는 모든 디지털 인프라의 기본 구성 요소입니다. 그러나 디지털화 프로젝트의 가속화 및 마감 기한 압박은 종종 필수적인 정보 보안 측면을 무시하게 만듭니다. 소프트웨어에 대한 개발 요구 사항은 일반적으로 기능 중심적이고 건설적인 측면을 강조하므로 잠재적인 보안 취약성에 대한 파괴적인 관점은 대부분 실제 개발 목표와 정반대입니다. 많은 프로그래머는 사이버 보안에 대한 구조화되고 예리한 관점이 부족합니다.

이러한 상황에서 개발 팀은 비영리 MITRE Corporation이 매년 CVE(Common Vulnerabilities and Exposures) 목록에 게시하는 많은 취약점에서 알 수 있듯이 소프트웨어 코딩을 지속적으로 검토하고 지속적으로 보호하는 데 어려움을 겪습니다. 잘 알려진 소프트웨어 제조업체의 정기적인 보안 패치는 시장에 출시되기 전에 식별하는 것은 고사하고 보안 관련 버그를 닫는 Sisyphean 작업의 지표입니다.

오픈 소스 코드 - 특별한 경우
자체 개발 소프트웨어를 코딩할 때 프로그래머는 오픈 소스 라이브러리 및 모듈에 의존하는 것을 좋아합니다. 실질적인 이점은 분명합니다. 바퀴를 계속해서 재발명할 필요가 없다면 이 기술 향상, 빠른 개발, 개발 비용 절감, 오픈 소스 코드를 통한 투명성 향상, 개방형 표준 및 인터페이스를 통한 높은 상호 운용성 등의 이점을 누릴 수 있습니다. .

또한 오픈 소스의 코드는 많은 사용자에 의해 코드가 검증되었고 오픈 소스 커뮤니티의 스웜 인텔리전스가 빠르고 효율적인 버그 수정을 가능하게 하기 때문에 높은 수준의 보안을 제공한다고 종종 말합니다.

실제로 이 신뢰는 이제 차별화되고 비판적인 방식으로 평가되어야 합니다. 가장 심각한 예는 2021년 11월에 발견된 널리 사용되는 Java 애플리케이션용 로깅 라이브러리 Log4J의 제로데이 보안 취약성 Log4Shell입니다. 독일 연방 정보 보안청(BSI)에서 발행한 적색 경보 수준에 대해 들어 보셨을 것입니다. ) Log4Shell의 경우. Apache Foundation을 통해 안정적으로 작동하는 준표준으로 배포되는 Log4J 라이브러리는 Amazon AWS와 같은 잘 알려진 웹 서비스를 포함하여 2013년 이후 많은 시스템에서 자체적으로 구축되었습니다.

이러한 잘 개발되고 유지 관리되는 라이브러리의 복잡성은 가져오기 개발자가 자신의 결합된 새 개발에서 종종 인식하지 못하지만 공격자가 이를 악용할 수 있는 강력한 기능을 암시적으로 제공합니다.

오픈 소스 구성 요소의 또 다른 불안정 요소는 소위 공급망 공격입니다. 즉, 오픈 소스 커뮤니티의 일부로 가장하고 코드 개발을 지원하는 악의적인 행위자가 의도한 내장 취약점입니다. 이러한 취약점은 해커가 다수의 하위 사용자 조직을 공격할 수 있는 매우 효율적인 방법입니다. 따라서 이 공격 벡터가 빠르게 성장하고 있다는 것은 놀라운 일이 아닙니다. Sonatype 연구에서는 2020년과 2021년을 비교할 때 650% 증가한 것으로 진단했습니다.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

지금 보기: 새로운 ISO/IEC 27001:2022로 변경되는 사항

최신 정보 위험에 맞게 조정된 ISO/IEC 27001의 새 버전이 2022년 10월 25일에 게시되었습니다. 이는 표준 사용자에게 무엇을 의미합니까? 무료 웨비나 녹화에서 다음과 같은 내용을 배우게 됩니다.

- ISO/IEC 27001:2022의 새로운 기능 - 프레임워크 및 부록 A
- ISO/IEC 27002:2022-02 - 구조, 콘텐츠, 속성 및 해시태그
- 전환 일정 및 다음 단계

정보보안관제 8.28 시큐어코딩

소프트웨어 개발 프로세스를 적시에 보호하기 위해 국제 표준화 기구(ISO - 위원회 ISO/IEC JTC 1/SC 27)는 새로운 ISO/IEC 27002 및 ISO/IEC 27001:2022, 부록 A 표준. 보안 코딩을 위한 기술적 조치의 목적은 소프트웨어의 예방적 보호입니다.

절차적 규정에 따라 작성 단계 초기에 최소한의 보안 수준이 생성되어 소프트웨어의 잠재적인 보안 취약점의 수를 최소화합니다. 안전한 코드 생성을 위한 규제 프레임워크는 회사 자체 프로그램 코드와 타사 소프트웨어 및 오픈 소스 소스 모두에 전체적으로 적용됩니다. 구현을 위한 주목할만한 원칙은 설계에 의한 보안 및 최소 권한이며 코딩에서도 고려해야 합니다.

보안 코딩의 원칙

법안 8.28은 소위 보안 코딩 원칙을 여러 번 다룹니다. 이것이 무엇인지에 대한 지침은 보안 코딩에 대한 지침과 모범 사례를 정기적으로 발행하는 수많은 조직 및 기관에서 제공합니다. 여기에는 예를 들어 OWASP 재단의 보안 코딩 관행, 소프트웨어 공학 연구소(SEI)의 컴퓨터 비상 대응 팀(CERT)의 보안 코딩 표준, 웹 애플리케이션 보안을 위한 독일 BSI의 조치 카탈로그가 포함됩니다. . 다양한 출처에도 불구하고 정교화는 예를 들어 다음 사항과 관련하여 많은 유사점을 보여줍니다.

- 데이터 입력 확인
- 보안 인증 및 비밀번호 관리
- 보안 액세스 제어
- 간단하고 투명한 코드
- 지속 가능하게 테스트된 암호화 조치 및 구성요소
- 오류 처리 및 로깅
- 데이터 보호
- 위협 모델링
ISO/ISO 27002:2022 표준에서 Control 8.28에 대한 권장 조치는 "Planning and precoding", "During coding" 및 "Verification and maintenance"의 세 가지 섹션으로 구분되며 핵심 내용은 다음과 같습니다.

Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen
Loading...

고객님께 흥미를 드릴 수 있습니다

정보 보안 관리의 탐지 및 예방

계획 및 프리코딩

코드가 내부 소프트웨어용으로 작성되었는지 아니면 외부 제품 및 서비스용으로 작성되었는지 여부에 관계없이 새로운 코드 개발과 코드 재사용 모두 보안 코딩 원칙을 적용해야 합니다. 이를 위해서는 사전에 조직별 기대치와 인정된 원칙의 정의를 평가해야 합니다. 또한 계획 및 사전 코딩을 위한 권장 조치는 취약점으로 이어질 수 있는 알려진 일반적이고 과거의 코딩 관행과 오류를 고려합니다.

통합 개발 환경(IDE)의 규칙 기반과 같은 개발 도구 구성은 보안 코드 생성을 시행해야 합니다. 매우 중요한 것은 개발자의 자격과 보안 아키텍처 및 프로그래밍 표준에 대한 친숙도입니다. 개발 팀에 정보 보안 전문 지식을 포함시키는 것은 말할 필요도 없습니다.

코딩 과정

코딩 프로세스 중에 특정 사용 사례와 해당 보안 요구 사항을 고려하여 코딩 방식과 구조화된 프로그래밍 기술이 주요 역할을 합니다. 안전하지 않은 설계 기술(예: 하드 코딩된 암호)은 지속적으로 금지되어야 합니다. 보안 관련 버그를 최대한 제거하려면 코드를 적절하게 문서화하고 검토해야 합니다. 코드 검토는 정적 애플리케이션 보안 테스트(SAST) 또는 이와 유사한 방법을 통해 개발 중과 개발 후에 이루어져야 합니다. 정적 테스트 방법은 규칙 준수를 위해 가시적인 코드를 조기에 테스트하여 수명 주기에서 왼쪽으로 이동하여 왼쪽으로 이동 접근 방식("조기 및 자주 테스트")을 지원합니다.

이를 통해 오염된 코드, 파일 또는 특정 개체 클래스에 대한 연결 또는 타사 프로그램과의 상호 작용에 대해 악용 가능한 취약점으로 남용될 수 있는 응용 프로그램 수준 격차를 조기에 식별할 수 있습니다. 소프트웨어가 작동되기 전에 Control 8.28은 공격 표면에 대한 평가와 최소 권한 원칙의 구현을 요구합니다. 가장 일반적인 프로그래밍 오류에 대해 수행된 분석과 수정 문서를 평가해야 합니다.

검증 및 유지

소프트웨어가 가동된 후에도 보안 코딩이라는 주제는 여전히 관련이 있습니다. 여기에는 보안 업데이트와 코드의 알려진 취약점 확인이 포함됩니다. 또한 필요한 조정을 신속하게 수행할 수 있도록 오류 및 의심되는 공격을 문서화해야 합니다. 어떤 경우든 적절한 도구를 사용하여 소스 코드에 대한 무단 액세스를 확실하게 방지해야 합니다.

오픈 소스 코드

확인 및 유지 관리 영역에서 법안 8.28은 오픈 소스 소프트웨어와 같은 외부 도구 및 라이브러리 사용에 대한 명시적인 지침을 추가로 나열합니다. 이러한 코드 구성 요소는 인벤토리에서 관리, 업데이트 및 유지되어야 합니다. 예를 들어 SBOM(Software Bill of Material)을 통해 이 작업을 수행할 수 있습니다. SBOM은 특히 재사용된 코드와 오픈 소스 구성 요소를 추적하기 위해 공급망 내에서 소프트웨어 패키지 및 라이브러리와 서로 간의 관계에 대한 형식적이고 구조화된 기록입니다. SBOM은 소프트웨어 유지 관리 및 대상 보안 업데이트를 지원합니다.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

ISO 27001에 따른 인증

ISO 27001에 따라 ISMS 인증을 받으려면 어떤 노력을 해야 할까요? 의무 없이 무료로 정보를 얻으시기 바랍니다.

DQS는 고객님을 기다리고 있습니다.

결론

보안 코드는 잠재적인 공격을 차단하기 위한 기본 기반입니다. 새로운 Control 8.28은 이러한 오래 지속된 통찰력을 고려하여 정보 보안에 대한 중요성에서 보안 코딩의 핵심 역할을 업그레이드합니다. 그러나 이 조치는 조치에 대한 많은 세부 권장 사항으로 구성되고 기술적으로 까다롭기 때문에 이행에는 비교적 높은 수준의 노력이 필요합니다. 이는 계획 단계 초기부터 고려해야 합니다.

경험이 풍부한 감사관의 전문적인 견해를 통해 귀하가 규정을 준수하도록 지원합니다. 35년 이상의 감사 및 인증 전문 지식을 갖춘 DQS는 고객님의  최고의 파트너이며 ISO/IEC 27001:2022 표준에 따른 정보 보안 및 인증 주제를 최선을 다해 도와드릴 것입니다.

ISO 27001 개정: 인증에 대한 업데이트는 무엇을 의미합니까?

ISO/IEC 27001:2022는 2022년 10월 25일에 게시되었습니다. 이에 따라 사용자가 전환해야 하는 기한 및 기간은 다음과 같습니다.

ISO/IEC 27001:2022 인증 준비

  • 2023년 11월부터 예상됩니다(독일 Accreditation Body GmbH(DAkkS)에 따라 다름).

"이전" ISO 27001:2013에 따른 최초/재인증 심사의 마지막 날짜

  • 2023년 10월 31일 이후 DQS는 새로운 표준 ISO/IEC 27001:2022에 의거하여 최초 및 갱신 심사를 수행합니다.

기존의 모든 인증서를 "이전" ISO/IEC 27001:2013에서 새로운 ISO/IEC 27001:2022로 전환

  • 2022년 10월 31일부터 3년의 전환 기간이 있습니다. 
  • ISO/IEC 27001:2013 또는 DIN EN ISO/IEC 27001:2017에 따라 발급된 인증서는 늦어도 2025년 10월 31일까지 유효하거나 이 날짜에 철회되어야 합니다.

DQS: Simply leveraging Security.

전환 기간으로 인해 회사는 새로운 요구 사항에 따라 ISMS를 조정하고 인증을 받을 수 있는 충분한 시간을 갖습니다. 그러나 전체 변경 프로세스의 기간과 노력을 과소평가해서는 안 됩니다. 특히 전문 인력이 충분하지 않은 경우에는 더욱 그렇습니다. 안전을 원한다면 문제를 빨리 처리하고 필요한 경우 경험이 풍부한 전문가를 불러야 합니다.

35년 이상의 전문 지식을 보유한 감사 및 인증 전문가로서 델타 심사의 일환으로 고객님의 현재 상태를 평가할 수 있도록 지원하게 되어 기쁩니다. 가장 중요한 변경 사항과 조직과의 관련성에 대해 수많은 경험이 풍부한 전문가 및 심사위원으로부터 알아보시기 바랍니다.  DQS는 고객님의 개선 가능성에 대해 논의하고 새로운 인증서를 받을 때까지 고객님을 지원할 것입니다. 정보 보안에 대한 당사의 역량을 활용하십시오! 여러분의 의견을 기다리겠습니다.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Any questions?

Contact us!

Without obligation and free of charge.

저자
Markus Jegelka

독일 에너지 산업법(EnWG)의 11.1a항에 따른 ISO 9001, ISO/IEC 27001 및 IT 보안 카탈로그를 위한 ISMS DQS 전문가이자 장기 심사위원

Loading...