Embed Size (px)
Citation preview
© Copyright SecurityPlus 2015
국내외보안오픈소스활동
현황과비즈니스모델
시큐리티플러스박형근대표
오픈소스 보안에 대한 잘못된 생각들
1
1. 오픈소스는좀더/덜안전한것이다.
2. 많은사람들이좀더안전한코드로만들어줄것이다.
3. 악의적인사람들이소스코드를볼수있으므로
덜안전할것이다.
4. 누구든코드에기여할수있으므로악의적인코드가
들어갈수있다.
왜 오픈소스를 기업에서는 사용하지 못하는가?
2
1. 오픈소스가사용에있어보다더어렵다.
2. 상용제품이사실상의표준이다.
3. 상용제품이더많은지원을제공한다.
4. SaaS(Software as a Service)를원한다.
5. 상용제품이현재하드웨어에더최적화되어있다.
6. 보증및책임보상이더중요하다.
7. 지속적인개발문제
3
The 2015 Future of Open Source Survey Results
4
• Fifty-eight percent believe open source affords the greatest ability to scale and 43
percent said OSS provides superior ease of deployment over proprietary software.
• Fifty-five percent believe open source delivers superior security when lined up against
proprietary solutions. The superior security of open source is also expected to rise to 61
percent over the next 2-3 years.
• When evaluating security technologies for internal use, 45 percent of respondents said
open source options are given first consideration.
• Cloud computing (39%), big data (35%), operating systems (33%), and the Internet of
Things (31%) are expected to be impacted most by open source in the next 2-3 years.
오픈 소스 보안의 현 주소
5
* 출처: Coverity® Scan Open Source Report 2014. (2015 Synopsys)
오픈소스의 보안 문제
6
1. 세심한품질관리의부재
2. 적은참여자로인한안전한코딩및검토미흡
3. 악의적인(악성코드, 백도어등) 오픈소스존재
4. 후원및재정적기반의부족
5. 책임지고이끌어가는프로젝트팀역량미흡
오픈소스의 보안 문제
ShellshockCVE-2014-6271/7169
Unix Bash shell
CVSS v3
9.8
CVSS v2
10.0
POODLECVE-2014-3566/8730
SSL 3.0 Protocol
CVSS v3
3.1
CVSS v2
4.3
Heartbleed CVE-2014-0160
OpenSSL
CVSS v3
7.5
CVSS v2
5.0
Core Infrastructure Initiative
8
Open Software Vulnerability and Patching
9
Best Practices: OpenStack Security
10
오픈소스를 사용하려는 기업을 위한 조언
11
1. 오픈소스에대한보안정책수립
2. 보안평가와취약점관리
3. 임의설치는피할것.
4. 신뢰있는사이트로부터만다운로드할것
5. 바이너리형태보다는소스코드로다운로드할것
6. 원치않는서비스의비활성화
7. 다계층보안전략수립
8. 설치후관리/감사하지않는것은매우위험
9. 훈련과문서화는매우중요
10. 오픈소스소프트웨어에대해서도 DR과 BCP 고려
국내 보안 오픈소스
12
PULLer
KicomAV http://www.kicomav.com/
http://www.boanserver.com/
http://puller.exploitfor.me/
국내 보안 오픈소스 > PULLer
13
http://puller.exploitfor.me/http://www.github.com/namegpark
국내 보안 오픈소스 > KicomAV
14
http://www.kicomav.com/
국내 보안 오픈소스 > 보안서버
15
http://www.boanserver.com/
해외 보안 오픈소스 프로젝트 > IBM Libsecurity
16
Libsecurity – Embedded Application Security
https://developer.ibm.com/open/libsecurity/
해외 보안 오픈소스
17
OPENDLP
WinSCP OpenSSH
NMAP & Zenmap
18
https://nmap.org/download.html
유틸리티사용법관련도서제작및판매
OSSEC – Open Source HIDS Security
19
http://ossec.github.io/downloads.html
• 기업용기술지원
https://www.atomicorp.com/amember/cart/index/product/id/58/c/
http://www.wazuh.com/professional-services/#OSSECHIDSServices
OpenVAS - Open Source vulnerability scanner and manager
20
http://openvas.org/download.html
* 전문가서비스
Security Onion Solutions
21
2008년 Security Onion Open Source Community 시작 - intrusion detection, network security monitoring, and log management.
2014년기업비즈니스를위한교육훈련및기술지원전문가서비스를위해 “Security Onion Solutions” 회사설립
https://security-onion-solutions.github.io/security-onion/
듀얼 라이센스 모델: Community 버전과 Commercial 버전
22
* Core Open Business Model
23
감사합니다!
