공급망공격 (4) 썸네일형 리스트형 [#웨비나 녹화중] 지금은 보안 전쟁 시대! 살아 남는 방법은? Sonatype 그리고 Fortify! 오랜만에 돌아온 OSC Webinar 소식! 심지어, 2023년에는 첫 웨비나! 코로나 19가 잠잠해지면서, 발에 땀 차도록 오프라인 행사를 진행하다 보니 웨비나로는 오랜만에 찾아뵙게 되었습니다.🥲 이번 웨비나는 DD튜브와 함께 [보안 전쟁 시대에서 살아남기: 요즘 개발자가 알아야 하는 오픈소스 보안 올인원!]이라는 주제로 진행됩니다! 지난 23일, OSC의 인재홍 이사님과 소 희 매니저님이 스튜디오 녹화를 다녀오셨는데요 그 현장을 살짝 담아왔답니다! 🤫 웨비나를 통해 수많은 기술 지식을 공유해 주셨던 OSC코리아의 인재홍 이사님! 이제 스튜디오에서 진행되는 녹화는 익숙하시죠? 아마, 여러분께도 반가운 분이 아닐까 싶습니다. 😊 이번 Sonatype와 Fortify 웨비나는 새로운 스튜디오에서 진행했는데.. 여러분의 소프트웨어 공급망은 안전합니까? Nexus Firewall을 통한 방어전략(New Frontier) 지난해 말, Log4j에서 발견된 취약점은 보안 업계는 물론, 애플리케이션을 사용하는 거의 모든 기업에게 지대한 영향을 미쳤습니다. 사이버 위협 환경은 갈수록 복잡해지는 한편, 해커의 공격은 더욱 더 정교해지고 피싱과 악성코드 공격도 증가하고 있습니다. 예전의 해커들은 공개된 취약점을 기다렸다가 악용했지만 이제는 취약점을 미리 만들어 리포지토리에 배포하고 있습니다. 이 중 가장 대표적인 것이 바로 npm 리포지토리 사례입니다. '우리 회사는 털어도 가져갈 것이 없다','알려져 있지 않아 모를 것이다' 라고 생각하는 중소기업도 있지만, 사실 해커들의 주된 표적은 대기업보다는 오히려 중소기업입니다. 기업은 이렇게 고도화되는 공급망 공격에 어떻게 대항할 수 있을까요? 단순히 리포지토리의 취약점을 확인하는 것으.. 해커의 침입에 효과적으로 대응하는 방법 네트워크에 침입자가 있을 때, 신속하고 효과적으로 대응해야 함은 당연합니다. IT 업체 크롤(Kroll), 레드 카나리(Red Canary), VM웨어가 400명 이상의 IS 전문가와 100명 이상의 법률 및 규정 준수 담당자를 대상으로 실시한 ‘사고 대응 현황 2021’ 조사 결과에 따르면, 응답자의 55% 이상이 사이버 사고 대응의 자동화 시간을 개선하기를 원한다고 답했습니다. 하지만. 조사 결과는 긍정적이지 않습니다. 조직의 절반 미만(48%)이 정기적인 보안 준비 훈련을 실시하지만 응답자의 90% 이상이 사이버 공격의 근본 원인을 식별하는 조직의 능력에 대해 완전히 확신하지 못하고, 조직의 거의 절반(46%)이 초기 침해 후 1시간 이내에 위협을 억제할 수 없다고 답했습니다. 즉, 위협 탐지 .. 수백만 사용자를 가진 인기 Project, NPM이 공급망 공격으로 해킹당하다 2021.10.25 Popular npm Project Used by Millions Hijacked in Supply-Chain Attack 원문보기 지난주, 소나타입은 npm 에서3개의 악성 npm 크립토마이닝 (암호화폐 채굴) 패키지 (klow와 klown, okhsa)를 발견했다고 보고했습니다. 이런 패키지들은 10월12일부터 15일까지 npm 레지스트리를 침해하고 모네로 채굴자를 윈도우즈, macOS와 리눅스 머신에 설치했습니다. 특이하게도 이 패키지 중 최소 1개는 “ua-parser-js”라 불리는 많이 사용되는 검증된 라이브러리를 모방하고 있었습니다. 금요일이 되자, 실제 “ua-parser-js”의 관리자는0.7.29, 0.8.0, 1.0.0 의 패키지가 크립토마이너 (암호.. 이전 1 다음
