오픈 소스 소프트웨어(OSS)를 사용하면 벤더 종속 제거, 낮은 사용 비용, 소스 코드 유연성 등 많은 이점이 있습니다. 이러한 이점은 그 이유를 설명할 수 있습니다 엔터프라이즈 앱의 96% 한 가지 형태의 오픈 소스 구성 요소 또는 다른 형태가 있어야 합니다. 그러나 합법적인 사용자와 사이버 범죄자 모두 OSS 코드에 쉽게 액세스하고 재사용할 수 있기 때문에 취약점을 사전에 식별하고 해결하는 것이 중요하기 때문에 보안은 OSS의 잠재적인 단점입니다.
보안 팀은 오픈 소스 취약성 검사 도구를 채택하여 취약성을 처리할 수 있습니다. 그것들은 무료이며 다양한 기능을 제공하므로, 가장 적합한 솔루션을 선택할 때 벤치마킹할 수 있는 핵심 기능을 포함하여 최고의 선택에 대한 포괄적인 개요를 읽으십시오.
AWS Vulnerability Management Best Practices [Cheat Sheet]
This 8-page cheat sheet breaks down the critical steps to fortifying your AWS security posture. From asset discovery and agentless scanning to risk-based prioritization and patch management, it covers the essential strategies needed to safeguard your AWS workloads.
Download Cheat Sheet
OSS 취약성 관리: 빠른 복습
오픈 소스 소프트웨어 취약성은 오픈 소스 라이브러리 및 프레임워크의 코드베이스 내에서 악용될 수 있는 보안 격차 또는 결함(예: 오래된 소프트웨어, 위조 소프트웨어 또는 업데이트, 잘못된 구성 등)입니다. 오픈 소스 소프트웨어 취약성 관리는 전용 자동화 도구를 사용하여 OSS 코드의 취약성을 지속적으로 스캔하는 것입니다.
OSS 취약성 관리 도구는 데이터 침해 또는 손실로 이어지기 전에 취약성을 사전에 식별하고 해결하여 조직의 공격 표면을 줄이려고 합니다. 이러한 도구가 없으면 오픈 소스 소프트웨어 구성 요소, 종속성 및 관련 취약성에 대한 가시성이 부족하여 취약성을 신속하게 감지하기 어려울 수 있습니다.
모든 OSS 취약점 및 해당 업데이트를 수동으로 추적하는 것은 힘들고 비효율적인 작업일 수 있습니다. 다행히도 수많은 자동화 오픈 소스 취약성 스캐너 개발되고 있습니다. 아래에서는 취약성 관리 솔루션을 선택할 때 고려해야 할 주요 기능에 대해 설명합니다.
동적 자산 발견
기업의 IT 인프라가 점점 더 복잡해짐에 따라 엔지니어링 팀이 포함된 오픈 소스 코드나 코드 구성을 위한 보안 모범 사례에 대한 완전한 지식 없이 소프트웨어를 채택할 가능성이 점점 더 높아지고 있습니다.
따라서 그만한 가치가 있는 모든 취약성 관리 도구는 앱, VM, 컨테이너, 컨테이너 이미지 및 데이터베이스를 포함한 모든 소프트웨어 자산과 해당 오픈 소스 구성 요소를 자동으로 검색하고 인벤토리할 수 있어야 합니다.
SCA 및 SBOM 통합
취약성 평가는 다음을 포함합니다. 소프트웨어 구성 분석(SCA) 및 소프트웨어 자재 명세서(SBOM), 소프트웨어 개발 수명 주기(SDLC)에 보안을 포함하여 취약성 발견 속도를 높입니다.
SCA를 통해 DevSecOps 팀은 오픈 소스 소프트웨어 구성 요소를 항목별로 분류하고, 소스 코드 및 바이너리의 취약성을 검사하고, 라이선스 규정 준수 정보를 확인할 수 있습니다. 또한 SBOM을 사용하여 앱의 타사 종속성, 버전 번호, 릴리스 날짜, 라이선스 등을 추적하여 패치가 필요한 구성 요소를 쉽게 식별할 수 있습니다.
신속하고 정확한 취약점 탐지
사전 예방적 취약성 탐지를 위해 전체 스택을 빠르고 포괄적이며 지속적으로 스캔할 수 있는 도구를 찾으십시오. 에이전트 없는 검사는 빠르고 리소스 효율적이기 때문에 유용합니다.
또한 취약성 감지는 정확해야 합니다. 거짓 긍정/부정은 적을수록 좋으며, 문제가 없을 때 경보를 울리거나 실제로 취약점이 존재할 때 깨끗한 상태 청구서를 제공하는 도구를 원하지 않습니다.
위험 기반 우선순위 지정
일부 취약점은 악용될 가능성이 낮거나 악용되더라도 거의 영향을 미치지 않습니다. 가장 적합한 도구는 특정 비즈니스의 맥락에서 취약성의 위험 수준을 이해하는 도구입니다. 따라서 식별된 취약성(예: 전체 위험 점수/프로필 기반)의 순위를 매겨 DevSecOps 엔지니어가 취약성으로 인한 위험과 사용 가능한 리소스 간의 균형을 맞추는 데 도움이 되어야 합니다.
수정 및 경고
아주 작은 위협이라도 해결하기 위해 항상 팀의 일상 업무에서 벗어나고 싶지는 않습니다. 패치를 통해 취약성을 자동으로 해결하거나, 취약성을 자동으로 해결할 수 없는 경우 보안 엔지니어에게 실시간으로 경고하고 실행 가능한 권장 사항을 제공하는 솔루션을 선택하십시오.
호환성
호환성은 OSS 도구에서 문제가 될 수 있습니다. 일부 오픈 소스 취약성 스캐너는 특정 프로그래밍 언어(예: Govulncheck) 또는 OS(예: Linux 환경용 Vuls 및 Lynis)용으로 설계되었습니다.
선택하는 도구가 소프트웨어 환경과 호환되는지 확인하십시오.
최고의 OSS 취약성 관리 도구
시장에는 다양한 오픈 소스 취약성 관리 솔루션이 있으며, 각 솔루션은 기본 탐지에서 고급 탐지 및 수정에 이르기까지 다양한 기능을 제공합니다. 우리는 최고의 오픈 소스 도구와 그 기능을 각각의 범주로 구분하여 다룹니다.
인프라스트럭처 스캐너
메모: 이 섹션에 있는 도구의 일반적인 제한 사항은 웹 사이트 및 앱 취약성을 평가할 수 없다는 것입니다.
오픈바스
OpenVAS(Open Vulnerability Assessment Software)는 여러 테스트 모듈과 두 가지 핵심 구성 요소인 스캐너 및 관리자로 구성된 네트워크 및 엔드포인트 취약성 스캐너입니다. 광범위한 최신 취약성 데이터베이스를 통해 네트워크 취약성을 정확하게 탐지할 수 있습니다.
OpenVAS에는 무료 및 유료 버전이 있으며 주요 차이점은 제공되는 기능과 사용되는 네트워크 취약성 테스트(NVT) 피드입니다. 유료 버전에는 Greenbone Enterprise 피드가 포함되어 있고 무료 버전에는 Greenbone 커뮤니티 피드가 있습니다.
기능(무료 버전)
자동 자산 검색, 인벤토리 작성 및 태깅
로컬 또는 클라우드 기반 설치
위험 우선순위 지정
오래된 소프트웨어, 웹 서버 취약성 및 잘못된 구성에 대한 플래그 지정
그래픽, 대화형 웹 인터페이스
| Pros | Cons |
|---|---|
| User-friendly management console | Complicated to use; there may be a learning curve for some |
| Extensive vulnerability reports | Limited coverage; scans only basic endpoints and networks |
| Customization and integration options | Ideal for Linux and Windows OSes only |
| Active community; better peer support and regular updates |
오픈스캡
OpenSCAP(Open Security Content Automation Protocol)는 미국에서 관리하는 Linux 기반 플랫폼입니다. NIST(National Institute of Standards and Technology)는 SCAP 표준을 구현합니다. OpenSCAP Base, Workbench 및 Daemon을 포함한 모듈 제품군으로 구성되며 취약성 스캔 및 규정 준수 적용을 대상으로 합니다.
취약성 스캐너(OpenSCAP Base)는 CPE(Common Platform Enumeration) 태그를 취약성 데이터베이스에서 검색된 태그와 비교하여 취약성을 감지합니다. 최신 버전의 OpenSCAP도 Windows를 지원합니다.
기능
보안 구성 오류 탐지
규정 준수 평가
심각도 순위
명령줄 검사
그래픽 웹 인터페이스
| Pros | Cons |
|---|---|
| Integration with multiple open-source vendors including Red Hat | Difficult to set up and use |
| Vulnerability assessment in seconds | Limited support for Windows |
| Routine and on-demand scans | No support for non-Linux and Windows OSes |
엔맵
네트워크 매퍼(Nmap)는 Windows, Linux, macOS 및 FreeBSD 시스템용 명령줄 네트워크 및 포트 취약성 스캐너입니다. Nmap은 다양한 패킷 유형을 대상 네트워크로 전송하여 온라인/오프라인 호스트, 개방/폐쇄 포트, 방화벽 등 및 관련 취약점을 발견합니다.
기능
자동 호스트 주소, 서비스 및 OS 검색
IP 패킷을 사용한 호스트 및 서비스 검색
500+ 스크립트를 사용한 고급 취약성 평가
버전 감지
TCP/IP/OS 핑거프린팅
DNS 쿼리
| Pros | Cons |
|---|---|
| Highly extensible with built-in scripts | Limited user interface; only recently introduced |
| Multiple output formats including normal, interactive, grepable, etc. | Susceptible to detection and blocking due to excessive traffic and noise generation |
| Customizable network scans | No graphical network maps |
| Fast and accurate vulnerability detection |
니토
Nikto는 취약점 검사를 실행하기 위한 명령줄 인터페이스가 있는 웹 서버 스캐너입니다. 다양한 서버 유형에서 소프트웨어 버전 취약점 및 악성 프로그램을 발견하고 오래된 소프트웨어를 자동으로 업데이트합니다.
또한 서버 구성 오류를 확인하고 쿠키를 캡처하여 쿠키 중독을 감지합니다. 최신 버전인 Nikto 2.5는 IPv6 지원을 제공합니다.
기능
7,000 + 위험한 파일 / CGI 테스트
1250+ 오래된 서버 버전 및 270+ 버전별 취약점 탐지
Windows용 Perl/NetSSL 및 Unix 시스템용 OpenSSL을 통한 SSL 지원
하위 도메인 및 자격 증명 추측Subdomain and credential guessing
일반 텍스트, XML, SQL, JSON 등의 보고서
Nginx, Apache, Lighttpd 및 LiteSpeed를 포함한 여러 웹 서버 지원
| Pros | Cons |
|---|---|
| Regular and automatic scan of plugin updates | Free software, but data files for running the program are paid |
| Template engine for customized reports | Requires some expertise |
| Mutation techniques and content hashing for minimizing false positives | Lengthy scan durations |
| Anti-intrusion detection software | Limited to web servers; does not scan the entire software environment |
| Authorization guessing for all directories, including root, parent, and subdirectories |
웹 사이트 및 웹 앱 스캐너
이러한 도구는 최고의 웹 앱 스캐너이지만 네트워크 및 인프라 취약성을 감지할 수 없습니다.
와피티
Wapiti는 앱/웹사이트 취약성 스캐너 및 침투 테스터입니다. GET 및 POST HTTP 침투 공격 방법을 지원합니다.
Wapiti는 취약점을 발견하기 위해 앱 코드베이스를 검사하는 대신 퍼징 기술을 사용하여 취약한 스크립트를 발견합니다. 또한 사용자가 변칙 임계값을 설정하고 그에 따라 경고를 보낼 수 있습니다.
기능
웹앱 핑거프린팅
여러 SQL 인젝션 기법 발견
HTTP 헤더 보안
교차 사이트 요청 위조(CSRF), SSRF(Server-Side Request Forgery), CRLF(Carriage Return Line Feed) 주입 및 무차별 대입 로그인 감지
MITM(Man-in-the-middle) 프록시 지원
| Pros | Cons |
|---|---|
| Scans folders, domains, pages, specific URLs | No graphical user interface |
| Five vulnerability report formats: TXT, JSON, HTML, XML, and CSV | Ideal for experienced users only |
| Color-based vulnerability reporting | |
| Customizable verbosity levels | |
| Supports pausing and resuming pen testing and vulnerability scans |
sqlmap 님
SQLMAP은 주로 데이터베이스를 위한 취약점 스캐닝 및 침투 테스트 도구입니다. 강력한 침투 테스터는 스캔 중 노이즈를 최소화하고 다양한 데이터베이스 취약점 유형을 탐지합니다.
DBMS 자격 증명, 데이터베이스 이름, IP 주소 등을 사용하여 데이터베이스에 연결할 때 SQL 주입을 우회하여 오탐을 최소화합니다.
기능
누적 쿼리를 포함한 다양한 SQL 삽입 기술을 다룹니다.
PostgreSQL, MySQL 및 Oracle을 포함한 여러 데이터베이스 서비스 지원
암호 해시 형식 감지Password hash format detection
| Pros | Cons |
|---|---|
| Accurate vulnerability detection with advanced detection engine | Command-line tool only |
| Dictionary-based password cracking | Has a steep learning curve |
| User, role, table, column, and database enumeration | Limited to database vulnerability scans |
버프 스위트 (Burp Suite)
Burp Suite는 취약성 스캔 및 침투 테스트를 위한 Burp Spider, Burp Proxy 및 Burp Intruder를 포함한 도구 모음이 포함된 웹 앱 보안 플랫폼입니다.
무료 Burp Suite Community Edition과 유료 Burp Suite Enterprise Edition이 있으며 성능과 기능면에서 다릅니다.
기능(무료 버전)
CI/CD 통합
컨테이너 스캐닝
웹사이트 트래픽 추적을 위한 Burp 프록시
앱 크롤링 및 앱 데이터 디코딩을 위한 Burp Spider
입력 기반 취약성 발견을 위한 Burp Repeater(예: SQL 주입)
| Pros | Cons |
|---|---|
| Easy to set up | Manual web app testing, not automated |
| Standard software and Kubernetes Helm chart deployment | Limited number of features compared to other open-source tools |
| Compliance audits | Considerably slower with large workloads |
| Intrusion detection only, cannot conduct pen testing |
가다랑어
Skipfish는 콘텐츠 관리 시스템(CMS)을 위한 자동화된 웹사이트, 웹 앱 및 침투 테스트 솔루션입니다. Skipfish는 재귀 크롤링 및 사전 기반 프로빙을 사용하여 취약성 경로와 노출된 디렉터리/매개변수를 표시하는 주석이 달린 대화형 사이트맵을 만듭니다.
기능
15+ 침투 테스트 모듈 보유
서버 측 쿼리, XML/XPath 및 셸 명령 주입(블라인드 주입 벡터 포함)을 발견합니다.
유효하지 않은 SSL 인증서와 문제가 있는 캐시 지시문을 표시합니다.
다양한 열거형 공격 유형을 추적합니다.
| Pros | Cons |
|---|---|
| Written in C; consumes minimal CPU resources | No database of known vulnerabilities |
| Fast scans; runs 2,000 requests per second | Only ideal for Kali Linux platforms |
| Heuristics approach that minimizes false positives | Limited to penetration testing; does not resolve vulnerabilities |
| Intrusive scans; may temporarily disrupt website activity during scans |
가장 적합한 공구 선택
위에 제시된 최고의 오픈 소스 도구에는 위험이 낮은 데이터를 가진 소규모 기업에 이상적일 수 있는 기능이 있습니다. 그러나 더 민감한 데이터와 인프라를 가진 기업의 경우 OSS 도구에는 복잡성, 호환성 문제 및 제한된 기능을 포함하여 몇 가지 중요한 제한 사항이 있습니다.
오픈 소스 도구는 기업의 전체 스택에 대한 포괄적인 취약성 평가를 제공하지 않으며, 이는 조직이 클라우드를 완전히 커버하기 위해 이러한 도구를 많이 통합해야 할 수 있음을 의미합니다. 또한 필요한 모든 통합이 호환되더라도 상당히 어려울 수 있지만 여러 솔루션을 사용하면 복잡성이 증가하고 비효율성이 발생할 수 있습니다.
대단한'취약성 관리에 대한 S 접근 방식
그 일환으로's 클라우드 네이티브 애플리케이션 보호 플랫폼Cloud-Native Application Protection Platform대단한'Vulnerability Management 솔루션은 다양한 클라우드 환경 및 워크로드에서 취약성을 관리하고 완화하도록 설계된 강력하고 에이전트가 없는 클라우드 네이티브 접근 방식을 제공합니다. 술래'의 주요 특징은 다음과 같습니다.
에이전트 없는 기술: Wiz는 일회성 클라우드 네이티브 API 배포를 활용하여 에이전트 없는 스캔 접근 방식을 사용합니다. 이 방법을 사용하면 에이전트를 배포할 필요 없이 다양한 환경에서 지속적인 워크로드 평가를 수행할 수 있으므로 유지 관리를 단순화하고 전체 적용 범위를 보장할 수 있습니다.
포괄적인 커버리지: 이 솔루션은 여러 클라우드 플랫폼(AWS, GCP, Azure, OCI, Alibaba Cloud, VMware vSphere 등) 및 기술(VM, 서버리스 기능, 컨테이너, 컨테이너 레지스트리, 가상 어플라이언스 및 관리형 컴퓨팅 리소스) 전반에 걸쳐 광범위한 취약성 가시성을 제공합니다. 70,000+ 운영 체제를 포괄하는 30개 이상의 취약점을 지원하며 수천 개의 애플리케이션과 함께 CISA KEV 카탈로그를 포함합니다.
상황별 위험 기반 우선순위 지정: Wiz는 환경 위험에 따라 취약성의 우선 순위를 지정하여 팀이 보안 태세에 가장 큰 영향을 미치는 수정에 집중할 수 있도록 합니다. 이렇게 하면 취약성을 외부 노출 및 잘못된 구성을 포함한 여러 위험 요소와 상호 연결하여 먼저 해결해야 하는 가장 중요한 취약성을 표시함으로써 경고 피로를 줄입니다.
심층 평가: 이 솔루션은 VM, 컨테이너, 서버리스 기능 등을 포함한 광범위한 환경에서 중첩된 Log4j 종속성과 같은 숨겨진 취약점을 탐지할 수 있습니다. 이를 통해 가장 깊숙이 묻혀 있는 취약점도 발견할 수 있습니다.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.
