OWASP에 대응할 수 있는 애플리케이션/웹 보안 솔루션 앱스캔(AppScan)의 Source Editin에 대한 자료입니다. App Scan Standard Edition에 대한 자료는 이쪽으로! ☞https://www.slideshare.net/eunoakcho/appscan-standard

1. © 2017 IBM Corporation1© 2017 IBM Corporation
어플리케이션 소스 보안 취약점 검검 도구 소개
- IBM Security AppScan Source Edition -
IBM Security Unit
강용석 ( kyseok@kr.ibm.com )

2. © 2017 IBM Corporation2
 어플리케이션 보안 과제
 AppScan Source 소개
 주요 기능
 구현 사례
 발전 방향
목차

3. © 2017 IBM Corporation3
데이터 누출에 따른 비용
Source: 2014 ‘Cost of Data Breach Study: Global Analysis’, Ponemon Institute
$5.85M 미국의 데이터 누출 건당
평균 비용
$201 미국의 손상된 데이터당 평균
비용

4. © 2017 IBM Corporation4
보안 위협
어플리케이션 보안 지출
보안 리스크와 지출에 따른 여러분의 위치는?
지출
Spend ≠ Risk
35% -
30% -
25% -
20% -
15% -
10% -
5% -
어플리케
이션 보안
데이터
보안
네트웍
보안
인적보안 서버보안 물리적
보안
많은 기업이 어플리케이션 보안의 중점화 하지 않음
Source: The State of Risk-Based Security Management, Research Study by Ponemon Institute, 2013

5. © 2017 IBM Corporation5
어플리케이션 보안 과제
어플리케이션의 급격한 증가,
출시 및 기술 변화
변화 속도규정 준수
외부 규정 및 내부 정책 요구사항
자원
소규모 보안팀, 대규모
어플리케이션
?
• 어떤 어플리케이션이 주요한
비즈니스 위험을 가지고 있나?
• 프로세스/비즈니스의
저하없이 DevOps / 애자일
어플리케이션의 보안을
테스트할 수 있나?
• 개발주기 초기에 어떻게 보안
문제를 식별하고 비용을 줄일
수 있나?
• 보안 위험이 어디에 있나?
• 어플리케이션의 내부 정책
요구사항을 어떻게 설정할
것인가?
• 어플리케이션을 통하여 중요
정보가 노출되는가?
• 어플리케이션의 규정 준수
사항을 어떻게 확인할 것인가?
• 기업이 가지고 있는 자원을
어떻게 우선순위화할 것인가?
• 무엇을 테스트하고 어떻게
테스트할 것인가?
• 어떻게 인적자원을 할당하고
기술을 향상시키고 인식할
것인가?

6. © 2017 IBM Corporation6
 어플리케이션 보안 과제
 AppScan Source 소개
 주요 기능
 구현 사례
 발전 방향
목차

7. © 2017 IBM Corporation7
AppScan Source의 위치
 IBM Security AppScan Source는 정적
어플리케이션 보안 테스트 (SAST) 솔루션임
 어플리케이션 소스 코드의 보안 위험을 탐색하고
취약점을 발견함
 개발 도구와 빌드 프로세스와 연계하여 개발
주기에서 보안 문제점을 개발 초기에 식별함
 중앙 관리를 통하여 보안 정체을 강제화함
 보고서, 통제, 보안 준수 기능을 이용하여 보안 상태
및 문제점을 관리함
 보안 위험에 대하여 적극적으로 식별하고
완화하도록 함

8. © 2017 IBM Corporation8
어플리케이션 보안을 위한 IBM의 대응 : Application Security Framework
위험을 정의하고 완화하기 위하여 자원을 효과적으로 활용함
어플리케이션 보안 관리
데이터베이스
행위
모니터링
웹
어플리케이션
방화벽SIEM
모바일
어플리케이션
보호
운영중인 어플리케이션 모니터링
및 보호
정적 분석동적 분석
모바일
어플리케이션
분석상관 분석 침입 방어
개발 단계에서의 어플리케이션
시험
비즈니스 영향 평가
자산
목록 컴플라이언스 확인상태 및 진행 관리취약점 우선순위화

9. © 2017 IBM Corporation9
The IBM Security AppScan Source 솔구션 구성
AppScan Enterprise Server
통제(Governance) -- 협력 -- 보안 인텔리전스 -- 연관(Correlation)
소스 분석
• 소프트웨어
구성
• 스캔
• 분류 결과
• 보안 정책 관리
Source for 개발자용
• 결함 분석
• 가이드에 따라
교정 작업 실시
• IDE 스캔
• 교정 확인
소스 자동화
• 빌드 통합
• 스캔 자동화
• ANT, Make,
Maven 통합
• API로 데이터
접근
Source for 교정 작업용
• IDE plugin 을 통하여 결과
조회

10. © 2017 IBM Corporation10
IBM Security AppScan 어플리케이션 자산 취약성 관리 ( PMS/변경관리 연계 )
가장 주요하게
관리되어야할
어플리케이션은?
평가 완료된 어플리케이션
현황
위험도 상위 어플리케이션
식별
어떤 취약점을 최우선으로
수정하여야 하나?
개발자가 가장 빈번하게 범하는
실수

11. © 2017 IBM Corporation11
 어플리케이션 보안 과제
 AppScan Source 소개
 주요 기능
 구현 사례
목차

12. © 2017 IBM Corporation12
사용 용이성
단계별 작업(Out-of-the-Box)
– 구성 마법사
– 이클립스와 .NET 솔루션 가져오기
취약성 매트릭스
– 확인된 취약성 분리
– 보안 분류 신속성
– 최소한의 보안 역량 요구
강력한 필터링
– 최소한의 개발자 업무
– 상위 위험에 집중
– 중앙 집중과 광범위한 공유(share globally)
– 기 정의된 다양한 필터링
확인된 취약점

13. © 2017 IBM Corporation13
다양한 언어 지원
 Java
 JSP
 C
 C++
 .NET
– C#
– VB.NET
– ASP.NET
 Classic ASP
(VB6)
 PHP
 HTML
 Perl
 ColdFusion
 JavaScript
 VBScript
 COBOL
 PL/SQL
 T-SQL
 SAP ABAP
 Mobile
– Android
– Objective-C
기본 확장
정규식 표현 분석
 사용자 정의 룰
 정규식 지원
 언어와 룰을 연관시킴

14. © 2017 IBM Corporation14
SDLC 통합
모니터링
스캔 분류
할당교정
구성
Source for Analysis ( 보안 관리자 )
Source for Analysis
Source for Automation
Source for Development
Source for Analysis
Source for Automation
Source for Analysis / 변경 관리 / PMS
Source for Analysis
Source for Remediation
Source for Development
Enterprise Server Reporting,
자체 Web 포탈
AppScan
Enterprise
Server

15. © 2017 IBM Corporation15
분석: 속도, 상세, 완벽 그리고 혁신
신속한 분석
– 메모리 관리 및 캐싱
– 재스캔 최적화
– 100개 이상의 특허 보유/등록
데이터 흐름 / 호출 흐름
– 긴 추적관계 지원
– 원본(입력)과 감염(출력)의 손쉬운
정의
분석되지 않은 사항
– 누락되는 항목 없음
– “잃어버린 감염(Lost Sinks)” 보고서;
어플리케이션에서 데이터를
잃어버린 위치

16. © 2017 IBM Corporation16
프레임웤 지원
 프레임웤으로부터 어플리케이션,
어플리케이션에서 프레임웤으로의
가시성 제공
 확장성: 상용, 공개, 자체 개발 프레임웤
지원
 WAFL(Web Application Framework
Language) 스펙 기반
 기본 지원 프레임웤:
– Spring MVC 2.5
– ASP.NET
– Java EE
– Apache Struts
– Apache Struts 2
– JSF (JavaServer Faces) 2
– EJB (Enterprise JavaBeans) 2
– Spring MVC 3
– ASP.NET MVC
– Java JAX-RS (V1.0 & 1.1)
– Java JAX-WS (V2.2)
– WSDL등의 웹서비스
Spring MVC
http://en.wikipedia.org/wiki/Model-view-controller

17. © 2017 IBM Corporation17
편집 가능한 스캔 구성
 보안 분석시 특화된 룰셋을 적용함
 분석 성능 향상 및 발견 숫자를 줄임
 사전 정의된 구성 사용 가능 예) “Android scan” , “Quick scan”
 중앙 저장소에 저장되고 개발자들과 공유됨

18. © 2017 IBM Corporation18
도구 기본 기능: 구성, 필터, 보고서
 스캔 구성
– 향상: 안드로이드, 대규모 어플리케이션, 일반,
빠른 스캔, 웹
– 신규: Follow all virtual call targets, iOS,
Maximize findings, Maximize traces, Show all
errors and warnings in console, Medium-to-
large application, User input vulnerabilities,
Service code
 필터링 지원
– 기존 필터 정확도 향상
– 추가된 신규 필터: OWASP Top 10 2013,
OWASP Top 10 Mobile Risks
– 결과 평가 및 리포트를 위한 필터 추가
 기본 출력 보고서
– DISA STIG
– OWASP Top 10 2013
– OWASP Top 10 Mobile Risks, RC1
취약점 항목 자동
설정

19. © 2017 IBM Corporation19
동일한 룰 적용 - 진단결과의 신뢰성 동일하지 않은 룰 적용 - 상이한 결과
룰(Rule) 저장소
 정적 분석 도구인 AppScan Source Edition은 서버 - 클라이언트 구성으로 룰을
중앙에서 관리하므로 전사적으로 일관된 보안 정책을 적용
(룰)
AppScan Source
Edition Core
개발자
보안 담당자
룰 정의 룰 적용
 클라이언트/서버 아키텍처
– 중앙 repository인 Source Edition Core와 사용자
클라이언트로 구성
 Source Edition Core
– 스캔에 적용할 룰을 중앙의 Core 모듈에 저장
– 개발자들이 개별적인 룰을 적용할 수 없으며,
모든 개발자들이 같은 룰을 적용하여 개발
– 전사에 걸쳐 일관된 정책을 유지할 수 있음
 Source Edition for Automation
– 커맨드 라인을 통한 스캔으로 자체 개발된 UI
등과 연계 가능
– 빌드 프로세스와 통합 가능
1차 진단결과
C에 취약
2차 진단결과
양호
XSS 진단항목
적용 룰 A, B, C, D
XSS 진단항목
적용 룰 A, B, C, D
애플리케이션
취약성 C가 조치된
애플리케이션
1차 진단결과
C에 취약
2차 진단결과
양호
XSS 진단항목
적용 룰 A, B, “C”, D
XSS 진단항목
적용 룰 A, B, D
개발자 A
개발자 B
애플리케이
션
조치되지 않은
애플케이션

20. © 2017 IBM Corporation20
 안드로이드, 네이티브, 애플
iOS 앱 지원
 보안 SDK 조사와 4만개
이상의 안드로이드, iOS API의
위혐 요소를 평가함
 Mac OS X 플랫폼 지원
 Xcode 워크스페이스 상호
운영성 지원
 전체(Full) 호출과 데이터 흐름
분석 지원
– Objective-C
– JavaScript
– Java
 민감 데이터 유출 지점 식별
AppScan Source 모바일 지원
mobile applications이 악성코드에 노출되지 않도록 함!

21. © 2017 IBM Corporation21
 어플리케이션 보안 과제
 AppScan Source 소개
 주요 기능
 구현 사례
 발전 방향
목차

22. © 2017 IBM Corporation22
도입 배경
개발 완료 후 코드 변경에
따른 재개발 비용 과다 및
서비스 오픈 지연
안정성 확보 및 신뢰도 향상
 추진 목적
소스코드 취약점 분석 및 조치 추진 배경
기존의 시스템 취약점 점검
방식은 사후 점검 방식으로
보안 위험 존재
보안 취약점 진단 솔루션 도입을 통해 개발 프로세스 내에
취약점 진단 과정을 포함시켜 프로그램의 잠재적 위협을
사전에 차단하고 소프트웨어 품질을 개선하고자 함.
수동진단과 제한된 보안
인력에 의존
 취약점 분석 및 조치 방식을 개선  자동화
 개발 프로세스 내에 존재하는 위협을 사전에 제거  소프트웨어 품질 개선
 보안 취약점을 효율적으로 관리  시스템 연계 (PMS/변경관리)

23. © 2017 IBM Corporation23
2. 취약점 진단에 대한 프로세스(안)
 개발자는 소스 코드 취약성 검사 시 전사적으로 표준화된 보안 취약점
정책(표준룰)으로 일관성 있는 소스코드를 진단  보안 진단팀 (검증된 소스의
취약점을 재검사 및 확인)  취약성 스탠  배포 및 이관
표준룰
적용
유지 보수팀
Security AppScan
Source Development
(Client 설치)
보안팀
ENTERPRISE SERVER
(서버에 설치)
소스 수정
① 소스 코드
취약성 검사
① 취약성 검사
및 룰 정의
② 소스 코드
취약성 검사 및 확인
③ 애플리케이션
취약성 스캔
개발서버
취약성
스캔
운영서버
배포
승인
신규 개발팀
소스 개발 및
소스 수정
① 소스 코드
취약성 검사
표준룰
적용
배포 요청
AppScan Source
Analysis & AppScan
Standard
(Client 설치)
AppScan Source
Development
(Client 설치)
표준룰 반영
신규 개발
소스 코드
점검
기존 운영
시스템
점검
기존 서비스
소스코드
점검
④ 어플리케이션
취약성 스캔
소스
수정요청
소스
수정
소스
수정
취약성
스캔
소스
수정요청
취약성
스캔
소스
수정요청
취약성
스캔
취약성
스캔
기대 효과 :
① 솔루션 도입으로 인해 수동진단 및
인력 부족에 대한 대안
② 개발 단계부터 보안 취약점을 점검하여
재개발 비용 감소 및 원활한 운영
③ 사후점검에 따른 잠재된 보안 취약점을
사전예방으로 인해 최소화

24. © 2017 IBM Corporation24
 타사이트에 비해 월등히 많은 점검대상(사이트)를 자동화하여 그동안
인력으로 해결하던 문제점을 해결하였고
( Linux, Windows 자동화 서버에서 10개의 Scan 작업을 동시에 수행 )
 특히, 개발자들에 수동적인 점검프로세스에 의존했던 프로세스를 개발자와
보안담당자가 자동화를 통해
 상호간 커뮤니케이션을 원할하게하여 효율성을 극대화시킨점을 고객사는
만족스러워하고 있습니다.
고객 Feedback

25. © 2017 IBM Corporation25
 어플리케이션 보안 과제
 AppScan Source 소개
 주요 기능
 구현 사례
 발전 방향
목차

26. © 2017 IBM Corporation26
 내부 업무 시스템과 연계하여 통합(Integrated) 시스템을 구축하여 정적 분석을
자동화하여 개발자의 업무를 단순화 합니다.
- PMS, 형상관리(Perforce), CI(Continuous Integration), 변경(업무) 관리
 보안 관리 부서에서 IBM Security AppScan Source의 저장소 기능을 활용하여
소스 취약점을 관리하여 표준 취약점 레파지토리를 구현합니다.
 IBM Security Enterprise 어플리케이션 보안 취약점 관리 기능과 연계하여
어플리케이션 보안 취약점의 가시성(Dashboard)을 높임니다.
 동적 분석 기능으로 확장하여 실제 운영 시스템의 취약성을 관리합니다.
발전 방향