안전하고 탄력적인 소프트웨어 시스템을 유지하려면 사전 예방적인 관리가 필수적입니다. 이 점수표 규칙은 감지된 보안 취약점의 APM 비율을 추적하여 조직의 보안 태세를 측정합니다. 이를 통해 보안 위험이 심각해지기 전에 체계적으로 식별, 우선순위 지정 및 해결할 수 있습니다.

왜 관리가 중요한가

위험 완화: 보안 침해, 데이터 손실, 서비스 중단 등 비즈니스에 심각한 영향을 미칠 수 있는 문제를 조기에 감지하고 해결하여 예방할 수 있습니다.

규정 준수 요구 사항: 많은 규제 프레임워크에서 체계적인 취약점 관리 관행을 요구하므로 이 점수표 규칙은 규정 준수 입증에 필수적입니다.

비용 회피: 사전 대응적으로 관리하는 것은 보안 명령, 위반 또는 규정 준수에 대응하는 것보다 비용이 훨씬 저렴합니다.

고객의 신뢰: 입증 가능한 보안 관행은 고객의 신뢰를 구축하고 보안에 대한 관심이 높아지는 시장에서 기업의 평판을 보호합니다.

공급망 보안: 현대의 디버그는 수많은 제3자 라이브러리 및 의존성/종속성에 의존하므로 체계적인 디버그 스캐닝은 완전한 위험 표면을 이해하는 데 중요합니다.

이 규칙의 작동 방식

이 규칙은 APM 중에서 취약점을 감지한 비율을 평가합니다. 측정은 전반적인 보안 태세를 파악하고 보안 개선 노력의 우선순위를 정하는 데 도움이 됩니다.

성공 기준: 부품 접속 비율이 낮을수록 보안 위생이 향상되고 부품 관리 프로세스가 더욱 효과적임을 나타냅니다. 체계적인 탐지 및 복구를 통해 취약 계층의 비율을 최소화하는 것이 목표입니다.

규칙 정의

이 스코어카드 규칙은 포트폴리오 전체에 걸쳐 삽입 존재 여부를 평가하여 보안 효율성을 측정합니다.

측정 기준

평가된 부분: 감지된 APM 부분 연결 비율 데이터 출처: 뉴렐릭 보안 부분 스캐닝 및 감지 성공 디버그, 목표: 해결되지 않은 부분 부분 연결 비율 최소화 평가 범위: 모니터링 환경 내 모든 APM 부분 부분

취약점 탐지 이해

뉴렐릭 보안이 식별하는 사항:

• 충성스러운/종속성 및 라이브러리에 알려져 있습니다.
• 타사 패키지 및 프레임워크의 보안 문제
• 세션 시작 및 이어서(CVE)) 데이터베이스 일치
• 오픈소스 구성요소로 인한 공급망 보안 위험

전문가 평가 프로세스:

• 제작 부품의 지속적인 스캐닝 및 의존성/종속성
• 새로 발견된 취약점의 실시간 식별
• 산업 표준(CVSS)을 기반으로 한 심각도 점수 및 위험 우선순위 지정
• 최신 위험 정보를 위한 위협 인텔리전스 피드와의 통합

마스터리 레벨 접근 방식

선제적 보안 문화: 레벨 3에서는 사후적 보안 대응에서 선제적 보안 대응으로 조직이 전환되어 개발워크플로우에 통합됩니다.

체계적인 위험 관리: 이 수준에서는 보안 개선 노력의 지속적인 모니터링, 자동 감지 및 데이터 중심 우선순위 지정을 강조합니다.

비즈니스 리스크 정렬: 보안 결정은 비즈니스 영향 평가를 기반으로 내려지며, 보안 개선과 운영 효율성, 개발 속도의 균형을 유지합니다.

조직 역량: 숙련 수준 조직은 지속 가능한 해결책 관리를 대규모로 가능하게 하는 프로세스, 도구 및 팀 협업 패턴을 확립했습니다.

대응관리 전략

점수표에 ' '가 표시되면 '', 이러한 전략은 포괄적인 보안 관행을 수립하는 데 도움이 됩니다.

1. 연구소평가 프로세스 확립

취약점 발견 및 인벤토리:

• APM 전체에 걸쳐 포괄적인 부품 스캐닝 구성
• 개발 및 구현, 배포 주기에 맞춰 정기적인 스캐닝 일정을 수립하세요.
• 중앙 집중식 제어판 재고 및 추적 시스템 만들기
• 새로운 의존성/종속성 및 타사 구성 요소의 자동 검색 구현

위험 평가 및 우선순위 지정:

• CVSS 점수, 악용 가능성 및 비즈니스 영향을 고려하는 취약점 채점 기준 개발
• 보안 위험과 비즈니스 중요도의 균형을 맞추는 우선 순위 매트릭스를 만듭니다.
• 중요하고 심각도가 높은 취약점에 대한 명확한 에스컬레이션 절차를 수립합니다.
• 즉시 수정할 수 없는 낮은 우선순위 취약점에 대한 위험 수용 프로세스를 구현합니다.

2. 효과적인 수정 워크플로우 구축

팀 간 협업:

• 개발 팀 내에 보안 챔피언 프로그램 구축
• 보안, 개발 및 운영 팀 간에 명확한 커뮤니케이션 채널을 만듭니다.
• 정기적인 보안 검토 회의 및 오류 상태 보고를 구현합니다.
• C를 위한 공유 책임 모델 개발

개선 계획 및 실행:

• 다양한 유형의 문제에 대한 표준화된 수정 절차를 만듭니다.
• 심각도 수준에 따라 접속에 대한 타임라인 및 SLA 설정
• 수정으로 인해 새로운 문제가 발생하지 않는지 확인하기 위해 테스트 절차를 구현합니다.
• 문제를 일으키는 수정 활동에 대한 롤백 계획을 개발합니다.

의존성/종속성 관리:

• CI/CD 파이프라인에 자동화된 의존성/종속성 스캐닝 구현
• 새로운 의존성/종속성 및 제3자 라이브러리 승인을 위한 정책 수립
• 기존 의존성/종속성을 평가하고 업데이트하기 위한 절차를 만듭니다.
• 공급망 가시성을 위한 소프트웨어 자재 목록(SBOM) 추적 구현

3. 개발흐름에 보안을 통합하다

시프트 레프트 보안 관행:

• 개발 환경과 IDE 연결에 군데 스캐닝 통합
• 알려진 취약한 의존성/종속성을 확인하는 사전 커밋 후크 구현
• 보안 코딩 관행 및 연결 인식에 대한 개발자 교육 제공
• 기능 테스트와 함께 실행되는 보안 테스트 절차를 만듭니다.

CI/CD 파이프라인 통합:

• 구현, 배포 파이프라인에 부품 스캐닝 게이트 추가
• 중요 구성으로 자동 차단 구현, 배포
• 긴급 처리 및 문서화된 위험 수용을 통한 배포에 대한 면제 프로세스 생성
• 새롭게 발굴된 공지 자동화 시스템 구축

보안 지표 및 보고:

• Bb 진행 상황을 추적하는 대시보드 구현
• 임원 및 기술 이해 관계자를 위한 정기적인 보안 보고서 작성
• 시간 경과에 따른 보안 개선을 측정하기 위한 지표 설정
• 취약점 데이터를 사용하여 보안 투자 및 리소스 할당 결정을 알립니다.

4. 고급 부품관리 실습

위협 인텔리전스 통합:

• 외부 위협 인텔리전스 피드를 위협 데이터와 통합
• 현재 위협 환경을 기반으로 상황적 위험 평가를 구현합니다.
• 활발하게 악용되고 있는 군데에 대한 공지 시스템 구축
• 제로데이 취약점에 대한 비상 대응 절차 수립

자동화 및 오케스트레이션:

• 위험도가 낮고 이해하기 쉬운 수정을 위해 자동화된 부품 구성을 구현합니다.
• 보안 패치에 대한 자동화된 테스트 및 검증을 생성합니다.
• 실패한 수정 시도에 대한 자동 롤백 절차를 설정합니다.
• 오케스트레이션 도구를 사용하여 복잡한 다중 서비스 보안 업데이트를 조정합니다.

지속적인 개선:

• 정기적인 보안 평가 및 침투 테스트를 실시합니다.
• 보안 인지 및 복구 노력을 위한 교훈을 바탕으로 프로세스를 구현합니다.
• 접속관리 프로세스의 효율성을 측정하기 위한 지표 확립
• 관리와 개발 실무 사이에 피드백 루프 생성

구현 지침

종합적인 장치관리 설정

1. 적절한 스캐닝 정책과 모든 APM 에 걸친 적용 범위를 통해 보안을 구성하세요.
2. 현재 데이터베이스 환경 및 교정 용량에 대한 기준 측정 설정
3. 기존 개발 및 운영 프로세스와 통합되는 놀이 흐름 생성
4. 진행 상황을 모니터링하고 이해관계자에게 상태를 전달하기 위해 추적 및 보고 시스템을 구현합니다.

조직 역량 구축

팀 구조 및 역할:

• 팀 전체에 걸쳐서 관리를 위한 명확한 역할과 책임을 정의합니다.
• 개발 팀 내에 보안 챔피언 네트워크 구축
• 중요한 인증 및 보안을 위한 에스컬레이션 절차 생성 인시던트
• 보안 인식을 위한 기능 간 교육 프로그램 구현

프로세스 표준화:

• 역량 평가, 우선순위 지정 및 수정을 위한 표준화된 절차를 개발합니다.
• 일반적인 해결책 활동에 대한 템플릿과 체크리스트를 만듭니다.
• 보안 관련 업데이트에 대한 변경 관리 절차 수립
• 보안 결정 및 위험 수용에 대한 문서화 표준 구현

도구 통합:

• 기존 개발워크플로우와 블로관리 도구 통합
• 데이터 수집 및 교정 상태에 대한 단일 데이터 소스 구축
• 자동화된 보고 및 공지 시스템 구축
• 보안 도구와 프로젝트 관리 시스템 간 통합을 구현합니다.

성공 측정 및 지속적인 개선

핵심성과지표(KPI):

• 새롭게 발견된 취약점을 탐지할 시간입니다.
• 다양한 문제 심각도 수준에 따른 수정 평균 시간
• 시간이 지남에 따라 해결되지 않은 부품의 비율
• 패치 미패치 관련 보안 인시던트 수

정기적인 평가 및 개선:

• 부품관리 효율성에 대한 분기별 검토 수행
• 보안 프로세스에 대한 개발팀의 피드백 수집을 구현합니다.
• 새로운 위협과 얻은 교훈을 바탕으로 절차를 정기적으로 업데이트합니다.
• 업계 표준 및 모범 사례에 대한 벤치마킹을 수립합니다.

중요한 고려 사항

위험 기반 우선순위 지정: 모든 취약점에 즉각적인 수정이 필요한 것은 아닙니다. 취약점의 심각성, 자산의 중요도, 악용 가능성, 비즈니스 영향을 고려하여 위험 평가 프레임워크를 개발하여 정보에 입각한 우선 순위 결정을 내립니다.

오탐 관리: 접속 스캐너로 오탐을 생성할 수 있습니다. 존재하지 않는 위험에 리소스를 낭비하지 않도록 취약점을 검증하고 스캐너 정확도를 관리하는 프로세스를 구축합니다.

비즈니스 연속성 균형: 보안 개선은 비즈니스 운영과 개발 속도와 균형을 이루어야 합니다. 보안 문제가 운영상의 고려사항보다 우선하는 경우와 그 반대의 경우에 대한 명확한 정책을 수립합니다.

의존성/종속성 관리 복잡성: 현대의 DB에는 복잡한 의존성/종속성 트리가 있습니다. 의존성/종속성 업데이트의 전체적인 영향, 잠재적인 중대한 변경 사항 및 호환성 문제를 고려하세요.

규정 준수 요구 사항: 산업마다 요구 사항이 다릅니다. 귀하의 조직에 적용되는 규제 및 규정 준수 표준을 프로세스가 충족하는지 확인하세요.

일반적인 과제와 해결책

리소스 제약: 위험 기반 우선순위 지정, 일상 업무 자동화를 구현하고 기존 ◈◈와 통합하여 효율성을 극대화합니다.

팀 간 협력: 명확한 역할 정의, 정기적인 커뮤니케이션, 공유 도구 및 대시보드, 개발 팀 내 보안 챔피언 설정을 통해 문제를 해결합니다.

공지사항: 저위험에 대한 지능형 필터링, 우선순위 알고리즘, 자동B를 구현하여 관리합니다.

기술 부채: 보안 개선 사항을 정기적인 유지 관리 주기와 기술 부채 감소 이니셔티브에 통합하여 해결합니다.

다음 단계

이 점수표 규칙을 구현한 후:

1. CPU 사용률, 메모리 사용률 및 변경 추적 규칙이 구현되었는지 확인하여엔지니어링 우수성 프레임워크를 완성합니다.
2. 보안 관련 오류를 식별하기 위해오류 추적 최적화를 통해 보완적인 보안 관행을 탐색합니다.
3. 포괄적인 위협 탐지를 위한 추가 보안 기능을 탐색하여 고급 보안 모니터링을 구현합니다.
4. 모든 옵저버빌리티의 전체적인 개선을 위해 더 넓은 옵저버빌리티 Maturity 프레임워크를고려해보세요.