사이버 보안 소프트웨어를 개발하려면 무엇이 필요합니까?
게시 됨: 2021-11-01사이버 보안은 그 어느 때보다 중요합니다. 특히 IoT가 사회로서 우리 진화의 다음 단계가 될 시대에 더욱 중요합니다. 장기적으로 복잡한 문제를 피하려면 소규모 기업이든 포춘 500대 기업이든 보안을 우선시해야 합니다.
사이버 보안 위험의 대부분은 안전하게 만들어지지 않은 애플리케이션에서 발생하므로 사이버 보안의 기반은 보안 애플리케이션을 개발하는 것입니다. 보안 애플리케이션을 개발하려면 개발 라이프사이클의 모든 단계에서 보안을 일부로 만들어야 합니다. 개발의 모든 부분에 보안을 통합하는 기술을 SDLC(Secure Software Development Lifecycle)라고 합니다.
다음은 소프트웨어 개발 단계에서 SDLC가 사이버 보안을 갖춘 최종 제품을 생산하는 방법입니다.
계획
이 단계에서 응용 프로그램의 개념이 구축되고 실행 가능성이 양적 및 질적으로 평가됩니다. 이 단계에서 프로젝트 계획이 수립되고 프로젝트 요구 사항이 확정되며 인적 자원이 할당됩니다.
이 단계의 SDLC 요구 사항은 다음과 같습니다.
- 프로젝트의 규정 준수 및 보안 목표를 정의하고 개발 프로세스에서 발생하는 모든 SDLC 활동에 대한 세부 계획을 개발합니다. 여기서 목표는 개발 프로세스의 초기에 가능한 한 보안 문제를 해결하는 것입니다.
- 기술 및 규제 보안 요구 사항 목록은 나중에 개발 단계에서 비준수를 수정하기 위한 참조 문서로 만들어야 합니다.
- 이 단계에서 팀에 기본 보안 교육도 제공됩니다.
이 단계는 장기적으로 프로젝트의 모든 보안 활동의 기초 역할을 합니다.
설계
이 단계에서 제품은 요구 사항을 충족하는 방식으로 설계됩니다. 이 단계에서 응용 프로그램 구조가 모델링되고 프로젝트에 사용할 모든 타사 구성 요소가 선택됩니다. 이 단계의 제품은 모든 후속 단계에 대한 지침의 소스 역할을 하는 설계 문서입니다.
이 단계의 일부가 되어야 하는 SDLC 관행은 다음과 같습니다.
- 가능한 모든 공격 시나리오를 식별하기 위해 위협 모델링이 수행되며 공격을 피하기 위해 애플리케이션 설계에 관련 대응책이 추가됩니다. 모델링은 개발 프로세스 초기에 가능한 위협을 발견하고 비용을 절감하는 데 도움이 되는 좋은 방법입니다. 또한 향후 사고 대응 계획의 기초 역할을 합니다.
- 설계 문서는 보안 요구 사항에 따라 검증됩니다. 이는 앱에서 구현되기 전에 취약할 수 있는 기능을 식별하는 데 도움이 됩니다.
- 타사 구성 요소도 이 수준에서 검사하고 해당 구성 요소의 취약점도 수정됩니다. 취약한 타사 구성 요소가 전체 응용 프로그램을 취약하게 만들 수 있기 때문에 이것은 중요합니다.
이 단계와 이러한 모든 조치의 목표는 그렇지 않으면 최종 제품에 들어갈 수 있는 모든 취약점을 해결하는 것입니다.
구현
이것이 실제 개발 단계입니다. 여기에서 코드가 작성되고 앱이 디버깅되며 테스트를 위해 안정적인 애플리케이션 빌드가 만들어집니다.
이 단계에서는 다음 SDLC 관행이 권장됩니다.
- 보안 코딩 방식이 프로세스의 일부가 됩니다. 프로그래머에게는 일반적인 실수를 상기시키고 이를 방지하는 방법을 제안하는 체크리스트와 가이드가 제공됩니다. 이렇게 하면 사소한 취약점이 최종 제품에 침투할 가능성이 제거됩니다.
- 이 도구는 정적 응용 프로그램 검색 도구를 사용하여 검토됩니다. 이를 통해 프로그래머는 코드를 실행하지 않고도 코드에서 잠재적인 취약점을 찾을 수 있습니다. 최종 애플리케이션 빌드에 문제가 발생하지 않도록 이 작업을 매일 수행하는 것이 좋습니다.
- 수동 코드 검토는 자동화된 코드 검토 도구의 작동을 다시 확인하는 것이 좋습니다.
이러한 관행을 따르면 보안 결함이 최종 제품에 영향을 미치지 않도록 합니다.
테스트 및 디버깅
코딩 단계가 완료되면 `. 이 단계의 목표는 코드의 오류를 찾아 수정하는 것입니다. 이 단계에서는 자동 및 수동 테스트가 모두 수행됩니다.
이 단계에서는 다음 SDLC 관행이 권장됩니다.
- DAST(동적 응용 프로그램 스캐너 도구)는 코드가 실행되는 동안 코드의 취약점을 노출하는 데 사용됩니다. 이들은 실시간으로 해커 공격을 시뮬레이션합니다. 이 단계는 오탐에 취약하며 대화형 애플리케이션 보안 테스트 도구를 사용하여 수정할 수 있습니다.
- 퍼징은 무작위로 생성된 입력을 애플리케이션에 공급하고 그것이 얼마나 잘 유지되는지 확인함으로써 수행됩니다.
- 침투 테스트는 또한 무차별 대입 및 기타 대중적인 공격 방법을 통해 앱의 보안에 침투하여 취약점을 찾아내는 중요한 단계입니다.
이는 이전 단계와 결합되어 애플리케이션에 보안 위협이 없는지 확인합니다.
릴리스 및 유지 관리
이것은 응용 프로그램이 실행되고 다양한 환경의 많은 사용자가 사용하기 시작하는 때입니다. 새 버전은 시간이 지남에 따라 릴리스되며 사용자는 이전 버전을 업그레이드하거나 유지하기로 선택합니다.
이 단계에 대한 SDLC 권장 사항은 다음과 같습니다.
- 공격자는 종종 전체 환경의 보안을 손상시키려고 하기 때문에 모니터링은 애플리케이션뿐만 아니라 전체 시스템을 포괄해야 합니다.
- 발생할 수 있는 모든 상황에 대처할 수 있도록 명확하게 정의된 사고 대응 계획이 수립됩니다.
- 시간이 지남에 따라 새로운 취약점이 나타나고 애플리케이션을 안전하게 유지하기 위해 해결해야 하므로 보안 검사를 정기적으로 수행해야 합니다.
삶의 끝
개발자가 더 이상 응용 프로그램을 지원하지 않는 시간입니다. 사용자의 민감한 정보가 포함된 경우 해당 앱은 단종 규정의 적용을 받을 수 있습니다.
이 단계에 대한 다음 SDLC 조치에는 현지 법률 및 회사 정책에 따른 데이터 보존 또는 사용자 계약에 따른 데이터 폐기가 포함됩니다.
결론
보안 소프트웨어 개발은 개발의 모든 단계를 포괄하는 접근 방식을 취합니다. 계획부터 시작하여 더 나은 디자인으로 만든 다음 앱이 안전한 방식으로 개발될 수 있도록 구현됩니다.
또한 배포 단계 및 프로젝트 수명 종료 후에도 보안 작업을 유지해야 하는 요구 사항이 있습니다. 이것은 사이버 범죄가 실제이기 때문에 필요합니다. 작년에만 42억 달러의 손실을 입었습니다.
이에 대한 생각이 있습니까? 의견에 아래로 알려주거나 Twitter 또는 Facebook으로 토론을 진행하십시오.