์ฌ์ด๋ฒ ๋ณด์
์ฌ์ด๋ฒ ๋ณด์์์ “๋ ๋ง์ ๊ฒ์ ์๊ฐ”๋ฅผ ์ ๊ฑฐํ๊ธฐ
이 달 샌프란시스코에서 열린 RSA 컨퍼런스에서 사이버 보안 산업은 다양한 최신 솔루션을展示했다. 부스마다 조직의 악의적인 행위자로부터 자산을 보호해주는 도구라고 주장했다.
많은 고민 끝에, 나는 우리 산업이 길을 잃었다는 결론을 내렸다. 끝없는 기술 투자, 인력, 도구, 인프라 계층으로 인해 회사들은 더 이상 숲을 볼 수 없을 정도로 복잡해졌다. 이러한 도구들은 디지털 자산을 보호하기 위한 것이지만, 실제로는 보안 및 개발 팀에게 더 많은 작업과 호환되지 않는 도구로 인해 좌절을 겪게 한다. “더 많은 것의 안개”는 작동하지 않는다. 하지만 솔직히 말하면, कभ이 작동하지 않았다.
사이버 공격은 코드에서 시작되고 끝난다. 그것은 간단하다. 코드에 보안 결점이나 취약성이 있거나, 코드가 보안을 고려하지 않고 작성되었다. 어느 쪽이든, 읽은 모든 공격이나 헤드라인은 코드에서 비롯된다. 그리고 소프트웨어 개발자들은 궁극적으로 문제의 전부를 직면한다. 하지만 개발자들은 보안에 대해 훈련받지 않았으며, 아마도 결코 훈련받지 못할 수도 있다. 그래서 они 오래된 코드 검색 도구를 사용하여 단순히 패턴을 검색한다. 그리고 무엇을 요청하는지 두려워해야 한다. 왜냐하면 결과적으로 mereka는 하루 대부분을 레드 헤링과 유령을 추적하는 경고 쓰나미를 받기 때문이다. 실제로 개발자들은 가짜 양성과 취약성을 추적하는 데 시간의 약 3분의 1을 보낸다. 예방에 초점을 맞음으로써 기업은 실제로 보안 프로그램을 강화하고 보안 중심 문화의基础를 마련할 수 있다.
코드 수준에서 찾고 수정하기
예방이 치료보다 낫다는 말은 사이버 보안에서 특히 진실이다. 그것이 경제적 제약이 더緊密해도 기업이 계속해서 보안 도구에 투자하고 여러 가지 보안 계층을 추가하여 성공적인 사이버 공격의 가능성을 줄이려는 이유이다. 하지만 더 많은 보안 계층을 추가함에도 불구하고, 같은 유형의 공격이 계속 발생한다. 이제 조직은 새로운 관점을 채택할 때가 되었다. 즉, 코드 수준에서 문제를 찾고 수정하는 것이다.
애플리케이션은 악의적인 행위자가 약점을 악용하고 민감한 데이터에 대한 Unauthorized 접근을 얻으려는 주요 진입점으로 자주 작용한다. 2020년 말, 솔라윈즈 취약점이 밝혀졌고, 조사관들은 악의적인 코드를 오리온 네트워크 모니터링 소프트웨어에 주입할 수 있는 취약한 빌드 프로세스를 발견했다. 이 공격은 소프트웨어 빌드 프로세스의 모든 단계를 보안해야 하는 필요성을 강조했다. 강력한 애플리케이션 보안 또는 AppSec 조치를 구현함으로써, 조직은 이러한 보안 위협의 위험을 완화할 수 있다. 이를 위해서는 기업은 개발 단계에서 예방적이고 예측 가능한 방법을 적용하는 ‘shift left’ 관점을 고려해야 한다.
이것은 전적으로 새로운 아이디어는 아니지만, 단점이 있다. 하나의重大한 단점은 개발 시간과 비용의 증가이다. 포괄적인 AppSec 조치를 구현하려면 상당한 자원과 전문 지식이 필요할 수 있으며, 더 긴 개발 주기와 더 높은 비용으로 이어질 수 있다. 또한 모든 취약성은 조직에 높은 위험을 초래하지 않는다. 감지 도구에서 가짜 양성의 가능성도 개발자에게 좌절감을 유발한다. 이것은 비즈니스, 엔지니어링, 보안 팀 간의 간격을 생성하며, 그들의 목표는 일치하지 않을 수 있다. 하지만 생성적 AI는 이 간격을 닫는 해결책이 될 수 있다.
AI 시대에 들어서기
AppSec 내에서 생성적 AI의 보편적인 특성을 활용함으로써, 우리는终于 과거에서 배우고 미래의 공격을 예측하고 예방할 수 있다. 예를 들어, 모든 알려진 코드 취약성 및 그 모든 변형에 대한 대규모 언어 모델 또는 LLM을 훈련시킬 수 있다. 이러한 취약성에는 버퍼 오버플로, 인젝션 공격, 또는 부적절한 입력 검증과 같은 일반적인 문제가 포함될 수 있다. 모델은 또한 언어, 프레임워크, 라이브러리에 따른 차이점과 코드 수정이 성공적인지 여부를 학습할 것이다. 모델은 이 지식을 사용하여 조직의 코드를 스캔하고 아직 식별되지 않은 잠재적인 취약성을 찾을 수 있다. 코드 주변의 컨텍스트를 사용하여 스캔 도구는 실제 위협을 더 잘 감지할 수 있다. 이것은 짧은 스캔 시간과 더少한 가짜 양성 및 취약성을 추적하는 시간을 의미하며, 개발 팀의 생산성을提高한다.
생성적 AI 도구는 또한 코드 수정을 제안하여 코드베이스의 취약성을 수정하는 패치 생성 과정을 자동화할 수 있다. 보안 코드베이스와 모범 사례에 대한 광범위한 저장소에 모델을 훈련시킴으로써, 개발자는 보안 표준을 준수하고 일반적인 취약성을 피하는 AI 생성 코드 조각을 활용할 수 있다. 이 예방적 접근 방식은 보안 결함을 도입할 가능성을 줄이는 것뿐만 아니라,事前 테스트되고 검증된 코드 구성 요소를 제공함으로써 개발 프로세스를 가속화한다.
이러한 도구는 또한 다양한 프로그래밍 언어와 코딩 스타일에 적응할 수 있으므로, 다양한 환경에서 코드 보안을 위한 다재다능한 도구가 된다. 새로운 데이터와 피드백에 계속 훈련함으로써, 더 효과적이고 신뢰할 수 있는 패치 생성으로 개선될 수 있다.
인간의 요소
자동화된 코드 수정에도 불구하고, 코드 생성 패치의 품질과 정확성을 보장하기 위해 인간의 감독과 검증이仍然 중요하다. 고급 도구와 알고리즘이 보안 취약성을 식별하고 완화하는 데 중요한 역할을 하지만, 인간의 전문 지식, 창의력, 직관은仍然 효과적으로 애플리케이션을 보안하는 데ispensable하다.
개발자는 궁극적으로 보안 코드를 작성할 책임이 있다. 보안 모범 사례, 코딩 표준, 및 잠재적인 취약성에 대한 이해는 코드가 처음부터 보안을 고려하여 작성되도록 보장하는 데 중요하다. 보안 훈련 및 인식 프로그램을 개발 프로세스에 통합함으로써, 조직은 개발자가 보안 문제를 예방적으로 식별하고 해결하도록启発할 수 있다. 이는 코드베이스에 취약성을 도입할 가능성을 줄인다.
또한, 조직 내의 다양한 이해관계자 간에 효과적인 의사 소통 및 협력이 AppSec 성공에 중요하다. AI 솔루션이 개발과 보안 운영 간의 ‘간격’을 닫는 데 도움이 될 수 있지만, 더 강력하고 보안이 뛰어난 애플리케이션을 구축하기 위해서는 협력과 공동 책임의 문화가 필요하다.
사이버 위협이 끊임없이 진화하는 세계에서, 사이버 보안 공간에서 उपलब있는 도구와 기술의 엄청난 양에 압도당하기 쉽다. 그러나 예방에 초점을 맞추고 코드에서 취약성을 찾음으로써, 조직은 기존 보안 스택의 ‘살쪄’를 제거할 수 있다. 이는 시간과 돈을 절약하는 데 도움이 될 수 있다. 근본적으로, 이러한 솔루션은 알려진 취약성과 제로 데이 취약성을 찾고 수정할 수 있을 뿐만 아니라, 발생하기 전에 예방할 수 있다. 우리는最終적으로 진화하는 위협 행위자와의 속도를 따라갈 수 있다.
