달력

4

« 2020/4 »

  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  •  
  •  

SW 개발보안 중요성

   

SW 개발보안의 중요성을 뒷받침하는 대표적인 사례

  • 마이크로소프트(Microsoft)의 개발생명주기는 자체적으로 개발한 개발생명주기를 제품 개발의 전 과정에 적용하여 보안 취약점의 원인을 제거하도록 하였습니다.
  • 그 결과 개발과정에서 MS-SDL을 적용한 운영체제 및 DB서버의 보안취약점이 각각 45%, 91% 감소하는 등 제품 출시 후 보안패치 횟수 감소와 보안패치 비용 절감 효과를 가져왔습니다.
  • 출시된 이후 1년간의 취약점 발생현황분석결과 45%감소
  • 출시된 이후 3년간의 취약점 발생현황분석결과 91%감소

   

   

   

   

출처:

http://www.microsoft.com/security/sdl/about/benefits.aspx

   

Posted by codedragon codedragon

댓글을 달아 주세요

   

SW 개발보안(소프트웨어 개발 보안)

  • SW 개발보안은 SW 개발과정에서 개발자 실수, 논리적 오류 등으로 인해 SW에 내포될 수 있는 보안취약점 원인(보안약점)을 최소화하고
  • 사이버 보안위협에 대응할 수 있는 안전한 소프트웨어(SW)를 개발하기 위한 일련의 보안활동을 의미

   

   

SW 개발보안의 광의적/협의적 의미

광의적 의미

SW 개발 생명주기(SDLC, SW Development Life cycle)의 각 단계별로 요구되는 보안활동을 모두 포함

협의적 의미

SW 개발과정 중 소스코드 구현단계에서 보안약점을 제거하기 위한 '시큐어코딩(Secure Coding)' 또는 보안코딩

 

Posted by codedragon codedragon

댓글을 달아 주세요

   

   

사이버 공격 매년 증가 추세

한 해 동안 발생하는 해킹 등 사이버 공격은 55억 건 이상으로 매년 증가 하고 있습니다.

  • 2013년 표적 공격 활동이 91% 증가
  • 2013년 유출 사고 건수가 62% 증가
  • 2013년 유출 사고를 통해 5억 5천 2백만 개가 넘는 ID가 노출
  • 제로데이 취약점 23개가 발견

   

   

최근 사이버 공격 유형

  • 침입차단시스템(IPS) 등 보안장비를 우회하거나,
  • 보안패치가 발표되기 이전의 보안취약점을 악용하는 제로데이 공격,
  • 웹사이트 해킹,
  • 지능화된 기법으로 지속적으로 특정대상을 공격하는 APT(Advance Persistent Threat) 공격 등

   

사이버 공격은 약 75%가 SW 자체의 보안취약점을 악용하는 것으로 웹기반 공격이 대표적이라고할 수 있습니다. 웹사이트는 불특정 다수가 쉽게 접근할 수 있고, 사용자가 입력한 정보를 처리하는 프로그램의 특성상 외부 공격에 항상 노출되어 있어 사이버 침해사고가 발생할 가능성이 아주 높습니다.

특히, 웹 서버, 웹 응용프로그램 서버 등 웹 관련 SW 자체의 보안취약점을 이용한 공격은 IDS, 침입차단시스템 등의 보안장비로 탐지하고 대응하기가 어렵습니다.

시큐어코딩을 하게 되면 이러한 취약점이 대폭 줄어들어 보안성이 향상되게 됩니다.

   

   

   

출처

Symantec Internet Security Threat Report

Posted by codedragon codedragon

댓글을 달아 주세요

   

10대 가장 심각한 웹 어플리케이션 보안 취약점

   

   

직접다운로드

OWASP_Top_10_2007_Korean.pdf

   

or

http://www.metasecurity.org/owasp/OWASP_Top_10_2007_Korean.pdf

Posted by codedragon codedragon

댓글을 달아 주세요

 

SW 업데이트 체계 보안 가이드라인 및 코드서명 검증모듈

SW 업데이트 체계의 취약점을 악용해 악성코드를 대량으로 확산시키는 것을 예방하기 위한 'SW 업데이트 체계 보안 가이드라인' 및 코드서명 검증모듈 배

 

 

내용

  • SW 업데이트 체계 보안 가이드라인 : SW 자동 업데이트 기능 개발 시 준수해야 할 보안 항목 및 주의사항,
    준수하지 않을 경우 발생 할 수 있는 위험성, 그 밖에 해킹에 악용된 사례 및 해결 방안 제시
  • 코드서명 검증모듈 : WindowsTM 환경에서 코드서명된 모듈을 검증하기 위한 라이브러리 API 및 코드서명
    검증모듈 개발자 가이드
    • 코드서명 검증모듈 라이브러리
    • 코드서명 검증모듈 샘플
    • 코드서명 검증모듈 개발자 가이드

 

 

목차

1. 개요

1) 목적

2) 적용대상

3) 구성

2. SW 업데이트 체계 정의 및 현황

1) 정의

2) 현황

3. SW 업데이트 체계 보안위협

1) 보안위협 유형

2) 보안위협 사례

3) 기존 SW 업데이트 체계의 문제점

4. 대응방안

1) 파일보호

2) 채널보호

5. SW 업데이트 체계 보안 십계명

[부록] SW 업데이트 체계 보안 십계명 요약

 

 

직접다운받기

SW 업데이트체계보안가이드라인.pdf

코드서명 검증모듈.zip


 

 

 

 

출처

http://www.boho.or.kr/kor/data/guideView.jsp?p_bulletin_writing_sequence=20544#none

Posted by codedragon codedragon

댓글을 달아 주세요

   

보안 입출력 라이브러리

   

버퍼 오버플로우의 가장 좋은 보안 대책

  • 개발자 자신의 프로그래밍 습관 변화
  • 적용하는 문제에 적합한 라이브러리 구축
  • 버퍼 오버플로우관련 보안 라이브러리 사용: Libsafe

   

Libsafe

입출력 함수에 보안성을 부여할 수 있는 대표적인 라이브러리

현재 없어짐

http://www.research.avayalabs.com/project/libsafe

   

사용법

$ tar zxvf libsafe-2.0-16.tgz

cd libsafe-2.0-16

make

su

make install

   

직접다운로드

ver.2.0-16(2002년)

libsafe-2.0-16.tgz

Posted by codedragon codedragon

댓글을 달아 주세요

미국 국토안보부(DHS),

2011년 11월 발표한 "안전한사이버 미래를 위한 청사진(Blueprint for a Secure Cyber Fututure))"

   

직접다운받기

blueprint-for-a-secure-cyber-future.pdf

   

   

Blueprint for a Secure Cyber Fututure

http://www.dhs.gov/xlibrary/assets/nppd/blueprint-for-a-secure-cyber-future.pdf

   

MESSAGE FROM THE SECRETARY....................................................................................................................................... ii

EXECUTIVE SUMMARY .................................................................................................................. iii

INTRODUCTION ................................................................................................... 1

SCOPE .................................................................................................................................................. 2

RELATIONSHIP TO OTHER KEY POLICIES AND STRATEGIES ..................................................................................................................... 3

MOTIVATION ................................................................................................................................... 3

STRATEGIC ASSUMPTIONS ................................................................................................ 4

THE FUTURE WE SEEK ................................................................................................................. 5

VISION .......................................................................................................................................... 5

A Cyberspace that is Secure ................................................................................................................... 5

A Cyberspace that is Resilient ............................................................................................................ 6

A Cyberspace that Enables Innovation .......................................................................................................................................... 6

A Cyberspace that Protects Public Health and Safety .............................................................................................................. 7

A Cyberspace that Advances Economic Interests and National Security ......................................................................... 7

GUIDING PRINCIPLES ........................................................................................................ 8

PRIVACY AND CIVIL LIBERTIES .................................................................. 8

TRANSPARENT SECURITY PROCESSES ..................................................................................... 8

SHARED RESPONSIBILITY IN A DISTRIBUTED ENVIRONMENT ................................................................................................................. 8

RISK-BASED, COST EFFECTIVE, AND USABLE SECURITY ........................................................................................................................... 9

STRATEGIC CONCEPT ................................................................................................. 10

FOCUS AREAS ........................................................................................................................................... 10

DEFINING SUCCESS ....................................................................................................................................... 11

Protecting Critical Information Infrastructure ........................................................................................................................ 11

Strengthening the Cyber Ecosystem ............................................................................................... 11

HOW WE WILL PROTECT CRITICAL INFORMATION INFRASTRUCTURE ............................................................................................... 12

Reduce Exposure to Cyber Risk ....................................................................................................................................................... 13

Ensure Priority Response and Recovery ...................................................................................................................................... 16

Maintain Shared Situational Awareness ..................................................................................................................................... 17

Increase Resilience ..................................................................................................................... 19

HOW WE WILL STRENGTHEN THE CYBER ECOSYSTEM ......................................................................................................................... 20

Empower Individuals and Organizations to Operate Securely .......................................................................................... 20

Make and Use More Trustworthy Cyber Protocols, Products, Services, Configurations, and Architectures .... 21

Build Collaborative Communities ........................................................................................... 22

Establish Transparent Processes .............................................................................................. 23

MOVING FORWARD ................................................................................................................ 25

APPENDIX A: ROLE OF DHS IN THE BLUEPRINT ................................................................................................ A-1

APPENDIX B: MAPPING QHSR GOALS AND OBJECTIVES TO THE BLUEPRINT......................................... B-1

APPENDIX C: STRATEGY DEVELOPMENT PROCESS .......................................................................................... C-1

APPENDIX D: GLOSSARY ........................................................................................ D-1

APPENDIX E: ACRONYM LIST ....................................................................................................................................E-1

   

   

   

Posted by codedragon codedragon

댓글을 달아 주세요

 

직접 다운받기

OWASP_ESAPI_활용방법.ppt


 

OWASP ESAPI 활용방법

Establishing and Enterprise Security API to Reduce Application Security Costs

Posted by codedragon codedragon

댓글을 달아 주세요

직접 다운로드

OWASP_TOP10-2013vs 안행부_43소프트웨어취약점보안점검항목.pdf


 

OWASP TOP 10 2013 리뷰 및 행안부기준(시큐어코딩 점검 항목 43개) 비교

I. OWASP TOP 10 2013 리뷰 - 4

II. OWASP TOP 10 2013과 행안부 시큐어코딩 43개 점검항목 비교 - 38

 

 


출처:

캡처 이미지 참조

Posted by codedragon codedragon

댓글을 달아 주세요

직접 다운받기

안행부_JAVA_시큐어_코딩_가이드(3판).pdf


 

JAVA 시큐어코딩 가이드

 

Posted by codedragon codedragon

댓글을 달아 주세요