안녕하십니까?
레드펜소프트 3월 뉴스레터입니다.
Redpen News는 월간 단위로 소프트웨어 공급망 보안에 관련한 국내외 미디어 및 주요 사이버보안 기업과
기관의 뉴스 및 리포트를 제공해 드립니다.
Issues & Trends
보안뉴스 [정보보호 스타트업, 해외로 가다] 공급망 보안 대응, 레드펜 소프트
▷ ‘엑스스캔’, 원본소프트웨어와 업데이트 파일 비교해 이상유무 확인
▷ 수요자 관점에서 3rd Party SW의 취약점 및 오픈소스 그리고 SBOM제작과 관리
[보안뉴스×KISIA ‘정보보호 스타트업, 해외로 가다’] 공급망 공격 대응 ‘레드펜소프트’
국내외를 가리지 않고 공급망 보안 강화에 나선 지금, ‘소프트웨어 공급망 공격’ 방어에 나선 스타트업 한 곳이 눈길을 끌고 있다. 바로 ‘레드펜소프트(대표 배환국)’다. 레드펜소프트는 202
www.boannews.com
DataBreach 파일전송 소프트웨어 보안 취약점 공격
▷ Fotra사의 GoAnywhere 파일전송 프로그램 해킹으로 1백만 환자 정보 유출
▷ 콘솔에 로그인하거나 인증하지 않고도 악용, 서버에 대한 쉘 액세스 권한 부여
▣ 최근 국내외의 파일전송 프로그램(IBM, 이노릭스등)의 제로데이 취약점을 악용한 공급망 공격이 꾸준히 증가하고 있습니다.
CHS: 1 Million Patients Affected by GoAnywhere MFT Hack
Community Health Systems has reported to the U.S. Securities and Exchange Commission that a security incident involving vendor Fortra's GoAnywhere secure file
www.databreachtoday.com
SecurityWeek 개인 계정 암호 관리 서비스 회사 LastPass 해킹
▷ LastPass는 전세계 3천만 명 이상의 사용자와 85,000 기업 보유한 서비스 회사
▷ 재택근무 개발자의 PC 해킹, 키로깅 악성코드 이식
LastPass Says DevOps Engineer Home Computer Hacked
LastPass DevOp engineer's home computer hacked and implanted with keylogging malware as part of a sustained cyberattack.
www.securityweek.com
The Hacker News 2022년 라자루스 그룹 제로 데이 취약점을 악용해 한국 금융기관 해킹
▷ 보안 인증 소프트웨어의 제로데이 취약점 악용한 공격
▷ BYOVD(Bring Your Own Vulnerable Driver) 공격 통해 백신 무력화
[관련뉴스] : 북 해커조직, 취약한 ‘BYOVD’ 드라이버 이용해 보안 시스템 노렸다
Lazarus Group Exploits Zero-Day Vulnerability to Hack South Korean Financial Entity
The Lazarus Group has breached a South Korean financial business entity twice within a year, exploiting flaws in an undisclosed software.
thehackernews.com
아이티월드 SW 공급망을 위협하는 하드 코딩된 비밀... 작년보다 67% 증가
▷ 2022년 깃 허브에 푸시한 1,330만명의 개발자 가운데 135만 명이 실수로 비밀을 노출
▷ AWS액세스 키 또는 몽고 DB 자격증 명 및 파일에 하드 코딩된 이메일 및 비밀 번호
“SW 공급망 위협하는 하드코딩된 비밀…작년보다 67% 증가” 깃가디언 보고서
하드코딩된 비밀의 수가 증가하고 여러 장소에 저장된 비밀의 확산 속도가 빨라지면서 소프트웨어 공급망 보안을 위협하고 있다. 코드 보안 플랫폼 제
www.itworld.co.kr
White House 미 백악관 새로운 국가 사이버 안보 전략 발표
▷ 주요기반시설 보호 강화와 Minimum Requirement 부과
▷ 위협 행위자를 교란 및 해체, 보안 복원력을 촉진하기 위한 시장 세력의 형성
FACT SHEET: Biden-Harris Administration Announces National Cybersecurity Strategy - The White House
Read the full strategy here Today, the Biden-Harris Administration released the National Cybersecurity Strategy to secure the full benefits of a safe and secure digital ecosystem for all Americans. In this decisive decade, the United States will reimagine
www.whitehouse.gov
Report & Tips
ReversingLabs 공급망보안, 오픈소스 분석만으로는 부족하다
▷ 전통적인 SCA(Software Compostion Analysis)이 곧 SW공급망 보안을 의미하지 않음
▷ Forerester의 SCA 2023 리포트에 대한 해석
▷ SW에 내재된 Malware 탐지분석 및 Behavior에 대한 분석이 수반되어야 함
SCA is good. Software Supply Chain Security is better | ReversingGlass
In this lesson, Matt Rose makes the point that Software Composition Analysis does not equal Software Supply Chain Security.
www.reversinglabs.com
Conference SBOM, VEX and Kubernetes
▷ CNCF(Cloud Native Computing Foundation)의 SBOM 등에 대한 강의
▷ 공급망 보안 이슈가 클라우드 환경에서 어떻게 논의되는지 알 수 있습니다.
지금까지 3월 Redpen News를 읽어주셔서 감사합니다.
다음 달에도 알찬 내용으로 찾아뵙겠습니다.
| 레드펜소프트 XSCAN 최신 소개 자료 다운로드 |
ⓒ RedPenSoft. All Rights Reserved.
주소:
경기도 성남시 분당구 성남대로 779번 길 6, KT분당빌딩 4층
홈페이지:
www.redpensoft.com
E-Mail:
info@redpensoft.com
'레드펜 오리지널 > 레드펜 월간 뉴스' 카테고리의 다른 글
| 7월 Redpen News (0) | 2023.07.31 |
|---|---|
| 6월 Redpen News (0) | 2023.06.22 |
| 5월 Redpen News (0) | 2023.06.02 |
| 4월 Redpen News (1) | 2023.05.03 |
| 2월 Redpen News (0) | 2023.04.27 |