안녕하십니까?
레드펜소프트 4월 뉴스레터입니다.
Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다.
Issues & Trends
보안뉴스 정부 ‘SW공급망보안 가이드라인 1.0’ 발표
SW 공급망 보안 가이드라인 1.0 발표... 어떤 내용 담겼나
정부와 기업이 협력해 소프트웨어(SW) 공급망 보안의 국제동향 및 SBOM 활용사례 등을 담은 ‘SW 공급망 보안 가이드라인 1.0’를 마련하는 등 소프트웨어 공급망 보안 강화에 나선다.
m.boannews.com
▷ SW 공급망 보안 강화, 민관 손잡고 범정부 협력으로 국내 확산 이끈다
▷ SW 공급망 보안 국제 동향 및 SBOM 실증 활용사례 등 담겨
▷ 신뢰성 있는 SW 공급망을 위해 소비자, 공급자, 정부 모두가 나서야
[관련뉴스 :동아일보] 당한 줄도 모르고 당한다 … SW공급망 해킹 늘자 팔 걷은 정부
DarkReading 코드 서명 강화를 위한 8가지 전략 SW공급망 보안에 힘주는 레드펜소프트, AI로 설명까지 술술
‘SW 공급망 보안’에 힘주는 레드펜소프트, AI로 설명까지 술술 - 바이라인네트워크
소프트웨어(SW) 공급망 보안 강화를 위한 우리 정부와 업계 노력이 계속되고 있다. SW 공급망의 효과적인 관리 방안을 담는 가이드라인 제작이 마무리 단계에 들어섰고, 이와 관련한 솔루션도 시
byline.network
▷ 부적절한 코드 서명 관행은 악성코드 주입 및 소프트웨어 변조로 이어짐
▷ 코드 서명 강화를 위한 키보 안, 액세스제어 등 8가지 전략 제시
▷ 코드사인 무결성 확인은 SW 공급망 보안에서의 필수 요소
✽ 레드펜소프트 엑스스캔은 폐기, 만료, 회수요청 등 코드사인의 무결성을 검증함
Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094 | CISA
CISA and the open source community are responding to reports of malicious code being embedded in XZ Utils versions 5.6.0 and 5.6.1. This activity was assigned CVE-2024-3094. XZ Utils is data compression software and may be present in Linux distributions. T
www.cisa.gov
▷ 리눅스 배포판에서 사용되는 XZ 유틸리팅에서 악성코드 발견
▷ 오랜 기간 치밀하게 준비되고 실행된 새로운 유형의 SW공급망 공격
✽ 레드펜소프트 엑스스캔은 이전 버전 대비 변화 추적을 통해 서비스 위변조 탐지 지원함
SW 공급망 보호에도 제로 트러스트 원칙 필수 - 데이터넷
[데이터넷] 소프트웨어 공급망 보호를 위해 소프트웨어 자재 명세(SBOM)가 필수다. 그러나 SBOM만으로 공급망을 보호할 수 있는 것은 아니며, 개발팀, 보안팀, 운영팀이 필요로하는 SBOM은 다르다.
www.datanet.co.kr
▷ SW 공급망 보안에 SBOM은 출발점이자, 상호 소통을 위한 기본 프로토콜로 작용
▷ SW 라이프 사이클에 있는 모든 이해 관계자들이 공급망 공격 방어의 주체로 나서야 함
▷ 수요자는 기존 소프트웨어 반입 체계와 검증 체계를 혁신해야 함
보안뉴스 북 김수키, 공고기관 설치 파일로 위장한 악성코드 유포북 해킹그룹, 국내 자산관리 솔루션 악용한 악성코드 배포
北 해킹그룹 안다리엘, 국내 자산관리 솔루션 악용해 악성코드 배포
최근 북한 해킹그룹 ‘안다리엘(Andariel)’이 국내 자산관리 솔루션을 악용해 국내 기업을 공격하는 정황이 드러났다. 측면 이동 과정에서 악성코드를 유포하는 방식으로 안다르로더(AndarLoader),
www.boannews.com
▷ 공공기관 설치 파일로 위장, 국내 유효 인증서 도용해 악성코드 유포
▷ 백도어 악성코드 설치 … 시스템 정보 전송 및 악성 행위 진행
▷ 사용자는 프로그램을 설치할 때 반드시 공식 사이트를 이용하고, 사전 검증해야
Report & Tips
데이터넷 SW 공급망 보안 관련 기획기사 연재
- 공격자 ‘최애’ 인프라 공급망 : 신뢰된 파트너 관계 이용하는 공급망 공격 증가
- IT 솔루션 증가로 공격에 이용할 취약점 늘어 : SBOM, 조직 전반 SW 공급망 보호 필요
- 공급망 피해는 운영단에서 발생 : SW도입 및 운영 중 보안 취약점 대응 방안 마련 필요
레드펜소프트 3 Minutes Brief “SW공급망이란?”공격”
4월부터 레드펜소프트에서 SW 공급망 보안 시장에 대한 이해 강화를 위해 소단위 주제의 3Minutes Brief를 시작합니다. 그 첫 주제인 SW공급망에 대한 정의를 해봅니다.
지금까지 4월 Redpen News를 읽어주셔서 감사합니다.
궁금한 점은 info@redpensoft.com으로 문의하시면 성실한 답변드리겠습니다.
다음 달에는 더욱 알찬 내용으로 찾아뵙겠습니다.
| Redpensoft의 엑스스캔(XSCAN) 최신 소개 자료 다운로드 |
ⓒ RedPenSoft. All Rights Reserved.
주소:
경기도 성남시 분당구 성남대로 779번 길 6, KT분당빌딩 4층
홈페이지:
www.redpensoft.com
E-Mail:
info@redpensoft.com
'레드펜 오리지널 > 레드펜 월간 뉴스' 카테고리의 다른 글
| 6월 Redpen News (0) | 2024.08.07 |
|---|---|
| 5월 Redpen News (0) | 2024.08.07 |
| 3월 Redpen News (0) | 2024.03.22 |
| 2월 Redpen News (0) | 2024.03.04 |
| 1월 Redpen News (0) | 2024.01.29 |