정부의 애플리케이션 보안에 대한 역행

정부 기관에서 사용하는 네 가지 응용 프로그램 중 세 가지 응용 프로그램 미국 소프트웨어 업체 베라 코드 (Veracode)가 발표 한 보고서에 따르면 주요 소프트웨어 보안 정책 중 하나에 부합하지 않으며 그 중 발견 된 결함 대부분은 수정되지 않는다고한다.

지난 18 개월 동안 200,000 개 이상의 응용 프로그램이 다양한 산업 분야의 조직에서 사용되었습니다. 테스트는 정적 분석, 동적 분석 및 수동 침투 테스트 기술을 사용하는 Veracode의 클라우드 기반 응용 프로그램 보안 테스트 플랫폼을 사용하여 수행되었습니다.

[추가 정보 : Windows PC에서 맬웨어 제거 방법]

정부 고객의 검토를 위해 제출 된 응용 프로그램의 24 %는 웹 응용 프로그램의 가장 일반적인 취약점 유형 상위 10 개 목록 인 OWASP Top 10을 준수하며 위험 요소에 대한 설명, 코드 예제 및 피하는 방법에 대한 지침이 모두 포함되어 있습니다 그들. OWASP Top 10은 PCI DSS (Payment Card Industry Data Security Standard)를 비롯한 여러 다른 표준에서 참조됩니다. 반면에 금융 서비스 부문의 애플리케이션은 OWASP 상위 10 위의 준수율이 42 %였습니다. 제조업 35 %, 기술 기업 32 % 순이었다. 보건 및 소매 및 접대 분야에서 사용 된 애플리케이션은 각각 31 % 및 30 %의 준수율을 기록했는데,이 두 분야는 최근 몇 년간 대대적 인 데이터 유출로 고통 받고 있습니다.

정부가 Veracode의 최고 기술 책임자 (CIO) 인 Chris Wysopal에 따르면 애플리케이션 보안에 심각한 점수를 매겼다. 정부의 구형 스크립팅 및 프로그래밍 언어 사용, 자체 규제 실패 및 소프트웨어 공급 업체에 보안 요구 사항 부과 실패 등이 포함됩니다. 정부 부문에서는 ColdFusion 또는 Classic ASP와 같은 언어로 작성된 많은 기존 코드를 계속 사용합니다 Wysopal은 1990 년대에 인기를 얻었습니다. 다른 업계는 그것들에서 벗어나 .NET이나 Java와 같은 언어에 더 집중하고 있으며 더 빠르고 더 확실한 오류를 만드는 것이 더 힘들다고 그는 말했다.

금융 서비스와 같은 다른 산업 부문에서는 기업 간 경쟁이 치열하다. Wysopal은 시스템과 애플리케이션을 현대화 할 수 있도록 지원하지만 정부 내부에는 경쟁 압력이 존재하지 않는다고 덧붙였다.

정부가 발견 된 결함을 일상적으로 고칠 경우 오래된 프로그래밍 언어를 사용하는 것은 그리 큰 문제는 아니 겠지만 . 안타깝게도 Veracode의 데이터에 따르면 정부의 응용 프로그램에서 발견 된 결함에 대한 수정 비율은 27 %에 불과합니다.

회사는 제조 부문에서도 높은 수준의 코드 사용을 보았으나 비교를 통해이 회사는 80 % 그들의 응용 결함의. 이 취약성 치료 비율은 해커의 주요 목표 인 금융 서비스 회사보다 훨씬 높았고 일반적으로 더 부지런합니다.

문제의 원인 중 하나는 정부의 보안 접근 방식이 정부 기관은 정부 회계 감사관실 (National Accountability Office)의 명령을 기다리거나 국립 표준 기술 연구소 (National Institute of Standards and Technology)의 표준을 이행하고 있습니다. 이는 정부 규정이 수년이 걸리기 때문에 보안이 매우 천천히 진행되고 있음을 의미합니다. 변경, Wysopal 고 말했다.

한편 애플리케이션 보안 분야는 웹 및 모바일 애플리케이션의 등장으로 지난 5 년 동안 급속도로 성장했습니다. 이러한 응용 프로그램을 통해 조직은 가치있는 새로운 서비스를 제공 할 수 있지만 동시에 많은 위험을 추가하고 보안 프로그램의 적용을받을 필요가 있다고 Wysopal은 말했습니다. 이와는 대조적으로, 의료 또는 금융 기관은 민감한 고객 정보가 유출 될 경우 엄격한 데이터 보호 규칙을 준수하고 심각한 과태료를 부과해야합니다.

"현재 수백만 건의 정보가 노출 된 인사 관리 부서의 최근 위반 전직 연방 직원? "Wysopal이 말했다. "정부가 실제로 다른 사람들을 보유하고있는 것처럼 책임을지지 않기 때문에 아무도 없습니다."

정부 기관 내에서 애플리케이션 보안이 취약한 또 다른 측면은 그들이 사용하는 대부분의 애플리케이션이 제 3 자로부터 구매되거나, 당사자 또는 아웃소싱 회사가 개발했습니다. Veracode의 데이터에 따르면 타사 소프트웨어 공급 업체의 조직에서 구입 한 상용 응용 프로그램 중 1/3 이하는 OWASP Top 10과 처음 테스트했을 때 적합합니다.

아웃소싱 소프트웨어 개발 자체는 금융 서비스 또는 제조 회사들은이 관행에도 크게 의존하고 있다고 Wysopal 씨는 말했다. 그러나 이러한 회사는 필수 타사 보안 테스트 또는 특정 보안 표준 준수와 같은 소프트웨어 공급 업체의 요구 사항을 충족하므로 응용 프로그램 보안이 향상되었습니다. "우리는 정부 안에서 볼 수 없다"고 말했다.

이것은 모든 사람에게 일어나는 전화가되어야한다고 Wysopal은 말했다. 조직은 소프트웨어 공급망을 살펴보고 보안 요구 사항을 계약에 적용하고 응용 프로그램을 테스트하여 공급 업체가 책임을 가질 수 있도록해야한다고 그는 말했습니다.

취약성 수정에 관해서는 많은 기업에서 애플리케이션 보안 전문 지식을 가진 사람들이 부족하기 때문에 애플리케이션에서 발견 된 일부 결함을 수정하십시오. 그로 인해 취약성 보고서는 계속 누적되어 고정되지 못한다. 기업들은 더 많은 애플리케이션 보안 테스트를해야한다는 것을 알고 있지만 문제를 해결하는 데 어려움을 겪고 있다고 Wysopal은 말했습니다. 기업들은 개발자를위한 애플리케이션 보안 교육에 확실히 투자해야하지만, 그동안 애플리케이션 결함을 서비스로 해결하는 데 도움을 줄 수있는 보안 회사를 외부에서 볼 수도 있다고 그는 말했다.