보안 관련 SBOM, SIEM

 

개발된 소프트웨어가 대체 어떤 요소로, 어떤 과정을 통해 만들어졌는지 알기 힘든 경우
, 사이버 공격이 일어나면 대응이 어렵다. 여기서 SBOM(에스봄)이라는 용어가 등장한다.

 

SBOM( Software Bill of Materials )

소프트웨어 제품에 사용된 모든 구성 요소, 의존성, 메타정보 등을 기록한 문서

소프트웨어의 "재료 목록"과 유사

• 소프트웨어 공급망 보안 강화
• 취약점 관리
• 소프트웨어 개발 및 유지보수 과정에서 필요한 정보를 제공

 

SBOM 표준

• SPDX(Software Package Data Exchange) : 리눅스 재단에서 개발한 표준
• CycloneDX : OWASP에서 개발한 표준으로, 애플리케이션 보안 및 공급망 구성 요소 분석에 사용
• SWID(Software Identifier) : 소프트웨어를 식별하는 데 사용되는 표준

 

 

소프트웨어 공급망

소프트웨어 개발, 배포 및 사용에 관련된 모든 리소스 및 프로세스를 포괄하는 복잡한 시스템으로 다음과 같은 요소들로 구성된다.

• 개발자 및 엔지니어 : 코드의 작성/테스트/배포하는 주체
• 소프트웨어 공급업체(ISV) : 운영 체제, 데이터베이스 및 개발 도구와 같은 소프트웨어 구성 요소를 제공하는 회사
• 오픈소스 커뮤니티
• 클라우드 서비스 제공자(CSP)
• 최종 사용자

SIEM( Security Information and Event Management )

보안 정보 및 이벤트 관리 시스템을 의미

SIEM은 기업의 IT 환경에서 발생하는 다양한 보안 로그와 이벤트를 수집, 분석하여 잠재적인 보안 위협을 탐지하고 이에 대한 대응을 자동화하는 데 사용됨

 
SIEM의 주요 기능

• 로그 수집 및 분석 : 서버, 네트워크 장치, 보안 솔루션 등 다양한 소스에서 로그 데이터를 수집하고 분석합니다. 
• 위협 탐지 : 수집된 데이터를 분석하여 비정상적인 활동이나 알려진 공격 패턴을 탐지합니다.
• 사고 대응 : 탐지된 위협에 대한 대응 절차를 자동화하여 신속하고 효과적인 대응을 가능하게 합니다.
• 규정 준수 : 다양한 규제 요구 사항(GDPR, HIPAA 등) 준수를 위한 로그 기록 및 보고 기능을 제공합니다. 

 

SIEM과 SOAR의 관계

SIEM은 주로 위협 탐지에 집중하는 반면

, SOAR(Security Orchestration, Automation and Response)는 탐지된 위협에 대한 대응을 자동화하는 데 중점을 둡니다.

최근에는 SIEM과 SOAR 솔루션이 통합되는 추세이며, 위협 탐지부터 대응까지 전 과정을 자동화하는 것이 일반적입니다.