The Magic Behind Over 101,000 Malicious Packages Discovered and Blocked
Sonatype Repository Firewall은 업계를 선도하는 머신러닝 기술을 제공하여 의심스러운 악성 오픈소스 리스크를 누구보다 먼저 실시간으로 찾아냅니다.
해커들은 점점 더 교묘하고 정교한 공격을 행하고 있고 우리는 낮은 비용으로 큰 피해를 받을 수 있는 환경에 노출되어 있습니다. 과거의 해커들은 사용자들이 취약성에 노출되기를 기다렸으나, 이제는 취약성을 스스로 만들어내고 이를 퍼블릭 리포지토리에 배포하는 사례가 점점 늘어나고 있습니다. 지난 3년간 소프트웨어 공급망 및 멀웨어 공격이 742% 증가함에 따라 OSS를 사용하는 조직이 보호받기 위해서는 선제적인 대응이 필요합니다.
조직은 지속적으로 정교해지는 공급망 공격에 대해 어떻게 대처할 수 있을까요?
리포지토리에 대한 취약성 검사만으로는 부족합니다.
공급망 공격에 대해 완벽히 대응하기 위해서는 개발 조직이 오픈소스 패키지를 사용하기 전, 악성 오픈소스 패키지를 차단해야 합니다.
Sonatype Repository Firewall은 악의적이고 의심스러운 오픈소스 구성 요소가 SDLC로 유입되는 것을 탐지하고 차단할 수 있는 유일한 솔루션으로, 자체적으로 개발한 차세대 행위 분석 기반 기술로 자동화된 정책을 적용하여 101,000개의 악성 패키지를 발견하고 차단하였습니다. 혁신적인 소프트웨어 공급망 관리 플랫폼은 속도, 품질, 인텔리전스 및 대용량 환경의 보안 간 균형을 유지하면서 단일 시스템을 통해 엔지니어링 팀이 더 스마트하게 코딩하고, 더 빠르게 수정하며 보안을 유지하는 데에 필요한 도구를 제공하여 문제를 해결합니다. 세계 유수의 기업들이 개발자의 생산성을 저해하지 않으면서도 위험을 방지하기 위해 Sonatype Platform에 의지하는 이유가 바로 이것입니다. Sonatype은 알고리즘을 통해 릴리즈 시점의 이상행위를 감지하고 아직 알려지지 않은 공격을 탐지함으로써 다른 솔루션들이 인식할 수 없는 패턴을 인식할 수 있습니다.
이런 Sonatype의 혁신 기술, 어떻게 작동할까요?
Sonatype는 가장 많이 사용되인 에코시스템을 통해 릴리즈 된 각 패키지에 대해 머신러닝을 활용하는 자체 인공지능 알고리즘을 사용하여 프로젝트의 행위, 동작, 패키지 네임스페이스 및 기타 프로젝트 활동을 분석합니다. 이 알고리즘은 프로젝트 또는 프로젝트 생태계에서 비정상적인 동작이나 내용을 탐지할 수 있습니다. 각 패키지는 릴리스가 정상인지 혹은 의심스러운지를 평가하는 “Integrity Rating”을 부여 받습니다.
Sonatype 행동 분석 시스템이 패키지가 평범하지 않다고 판단하면, 이 패키지는 의심스러운 패키지로 구분됩니다. 의심스럽다고 플래그를 지정한 패키지의 경우 악의적인 것일 수 있으며, 추가 업데이트가 있을 때까지 기다리는 것이 좋습니다.
Sonatype의 보안 연구팀(경력의 합이 500년 이상이자 세계적 수준을 가진 전문가 65명으로 구성)의 확인 또는 릴리즈가 이루어질 때까지 치명적인 악성 컴포넌트는 항상 차단되고, 의심스러운 패키지 역시 차단됩니다. 의심스러운 패키지가 안전하다고 판단되는 경우 차단이 자동 해제되어 개발자가 사용할 수 있기 때문에 구성 요소 검토에 소요되는 시간과 마찰을 줄일 수 있게 됩니다.
신용카드 사기 적발을 예시로 들어보겠습니다. 신용 카드는 예방적 보안 유지라는 아이디어를 바탕으로 만들어졌습니다. 누군가가 당신의 신용카드를 훔치거나, 당신이 비행기를 타고 전국을 가로질러 가서 다른 지역에서 구매를 시도한다고 가정해 볼 때, 보안 시스템은 패턴이 달라졌음을 감지합니다. 그 후에 시스템이 부정 구매를 중지하고 도난 피해를 방지하도록 실시간으로 자동 작동합니다.
이것이 Sonatype repository Firewall이 동작하는 방식이며 다만 대상이 오픈소스 소프트웨어 컴포넌트로 바뀐것입니다. 우리는 남들이 공격을 발견하기 수개월 전에 사전 예방적으로 여러 산업 분야의 패턴을 정확하게 추적하여 귀사의 조직이 위험에서 벗어날 수 있도록 안전성을 보장할 수 있습니다.
일부 OSS 구성 요소에는 위험한 특성이 있을 수 있지만, 여러분의 속한 환경에 반드시 해로운 것은 아닐 수 있습니다. 취약성은 본질적으로 악의적인 것은 아니지만, 악의적 목적으로 사용될 가능성이 높은 것입니다. 이에 비해 악의적인 패키지는 악의적 활동을 위해서 사용됩니다. Sonatype Repository Firewall은 악의적인 활동으로부터 보호하지만 취약하거나 위협요소가 포함된 패키지를 차단하는 데에도 사용될 수 있습니다. 우리는 악의적인 것과 위험한 것의 차이를 바탕으로 비즈니스에 필수적이라고 생각하는 패키지를 사용할 것인지, 차단할 것인지 선택할 수 있습니다.
여기서 끝이 아닙니다.
우리는 전 세계가 무엇이 악성코드인지, 심지어 이름이 존재하는지 알기 전부터 악성코드를 탐지·발견하고 공개해왔습니다. 실제로 공격 형태가 이름을 갖기 몇 달 전에 종속성 혼동, 타이포스쿼팅과 같은 공격을 발견했습니다.
dependency confusion, typosquatting, protestware, crypto-mining 등 기타 악성코드를 SDLC에 배포하는 것과 같은 공격 방식은 배포를 시도하려는 과정에서 차단되어 공격 자체가 없던 일이 될 수도 있습니다.
이러한 방식을 여러분은 ‘마법’이라고 말할 수 있지만 이는 Sonatype Repository Firewall이라고 합니다. Sonatype는 시장을 위한 공격을 정의해 왔고 앞으로도 그 역할을 계속할 것입니다.
원문 : https://blog.sonatype.com/the-magic-behind-over-101000-malicious-packages
