Security10 [Security] AWS Security Hub: AWS CSPM 도구 AWS Security Hub는 클라우드 보안 상태 관리(CSPM) 도구로, 클라우드 환경의 보안 상태를 종합적으로 모니터링하고 문제를 해결한다. CSPM은 클라우드 인프라의 설정 오류를 탐지하고, 이를 통해 보안 위험을 최소화할 수 있다. Security Hub는 이러한 CSPM 기능을 통해 다양한 AWS 계정과 리전에서 일관된 보안 상태를 유지하도록 돕는다. 주요 기능1. 자동화된 보안 평가Security Hub는 AWS 모범 사례 및 산업 표준(CIS, PCI DSS, NIST 등)을 기반으로 자동화된 보안 점검을 제공한다. 이를 통해 계정과 리소스의 보안 상태를 주기적으로 평가하고, 보안 위협을 식별하여 우선순위를 정할 수 있다.2. 통합 보안 관리AWS 서비스 및 서드파티 보안 도구에서 수집된 .. 2024. 9. 4. [Security] CSF Tools 소개 및 가이드 CSF Tools는 NIST 사이버 보안 프레임워크(CSF)와 개인정보 보호 프레임워크(PF)를 보다 이해하기 쉽게 만들기 위해 다양한 유용한 도구를 제공하는 웹사이트이다. 이 글에서는 CSF Tools의 주요 기능과 제공되는 보안 컴플라이언스 자료에 대해 소개한다.https://csf.tools/ Welcome to CSF Tools - CSF ToolsThis site contains a number of helpful tools that will make the NIST Cybersecurity Framework (CSF) and Privacy Framework (PF) more understandable and accessible. Some of those tools are outlined bel.. 2024. 8. 6. [Security] 보안 공학 원칙 (SA-8: Security Engineering Principles) 조직은 주로 새로운 개발 정보 시스템이나 주요 업그레이드를 진행 중인 시스템에 보안 공학 원칙을 적용한다. 기존 시스템의 경우, 현재 하드웨어, 소프트웨어 및 펌웨어 상태를 고려하여 시스템 업그레이드 및 수정에 보안 공학 원칙을 적용한다. 이 글에서는 NIST(National Institute of Standards and Technology)에서 가이드하고 있는 SA-8 항목에 따라 보안 공학 원칙을 설명한다. 보안 공학 원칙 (Security Engineering Principles)NIST Special Publication 800-53 에서 보안 공학 원칙에는 다음과 같은 요소들이 포함된다:계층화된 보호 개발 (Developing Layered Protections): 여러 보안 계층을 구축하여 .. 2024. 8. 5. [Security] SLSA 프레임워크 내에서 시크릿 탐지와 제거의 중요성 시크릿(credential) 유출은 악의적인 행위자가 환경과 데이터에 접근할 수 있는 쉬운 방법 중 하나이다. 현대 소프트웨어 개발 라이프사이클의 복잡성으로 인해 API 키, 토큰, 비밀번호 등이 예상치 못한 장소에 유출될 수 있다. 2023년 동안 GitHub에서만 GitGuardian은 1,270만 개 이상의 하드코딩된 자격 증명이 추가된 것을 발견했다. 이러한 시크릿은 SLSA 증명 파일과 같은 보안 아티팩트를 생성하는 데 사용되는 파일에서도 발견될 수 있다. 이 글에서는 SLSA 프레임워크 내에서 시크릿이 어떻게 유출될 수 있는지, 이를 탐지하고 제거하는 방법에 대해 설명한다. SLSA란 무엇인가?SLSA(Supply-chain Levels for Software Artifacts)는 OpenSS.. 2024. 7. 31. [Security] Jenkins 'Security Advisories' 로 Jenkins 플러그인 취약점 관리하기 Jenkins는 자동화된 테스트, 통합, 빌드 등을 가능하게 하는 오픈 소스 자동화 및 빌드 플랫폼이다. 그러나 Jenkins는 소프트웨어 공급망 공격에 취약한 플러그인으로 인해 공격에 노출될 수 있다. 이 글에서는 Jenkins 보안 권고 페이지를 활용하여 취약한 플러그인을 지속적으로 탐지하고 해결하는 방법을 살펴본다. Jenkins 개요Jenkins는 오픈 소스 자동화 및 빌드 플랫폼으로, 테스트, 통합, 문제, 빌드 등을 자동화할 수 있다. Jenkins는 보통 자체 프로세스에서 독립적인 애플리케이션으로 실행되며, 내장된 Java 서블릿 컨테이너/애플리케이션 서버와 함께 실행된다. Jenkins 플러그인의 역할과 중요성Jenkins 플러그인은 Jenkins의 기능을 확장하기 위해 도입되었다. 현재 .. 2024. 7. 30. [Security] Kubernetes에 Shift-Left 테스팅 적용하기 최근 몇 년 동안 소프트웨어 업계는 점점 더 shift-left 테스트 전략을 채택하고 있다. 이 전략은 배포 파이프라인 라이프사이클에서 더 이른 시점에 테스트를 수행하는 것을 지향한다. Kubernetes의 선언적 특성 때문에 shift-left 전략을 구현하기에 적합한 도구이다. 이 글에서는 Kubernetes 클러스터 오작동을 발견하기 위한 shift-right 및 shift-left 전략의 이점을 Gatekeeper와 Datree 오픈 소스 솔루션을 통해 살펴본다. Shift-Right 테스트Shift-right 테스트는 테스트 단계를 가능한 한 뒤로 미루는 전략이다. 일반적으로 프로덕션에 배포하기 전이나 배포 후에 테스트가 이루어진다. 이 접근법은 역사적으로 소프트웨어 업계에서 사용되어 왔으며,.. 2024. 7. 30. [Security] CIS (Center of Internet Security) Benchmarks https://www.cisecurity.org/ CISCIS is a forward-thinking nonprofit that harnesses the power of a global IT community to safeguard public and private organizations against cyber threats.www.cisecurity.orgCIS (Center of Internet Security) Benchmarks는 인터넷 보안의 중심이라는 의미를 가지고 있다. 이것은 전 세계적으로 사용되는 IT 시스템 및 기기에 대한 보안 설정 가이드라인을 제공하는 프레임워크로, 공개적으로 사용할 수 있도록 제공되며, 실질적인 보안 향상을 위한 권장 사항들을 포함하고 있다. CIS Benchm.. 2023. 10. 23. [Security] 적대적 기계학습 (Adversarial Machine Learning) 인공지능(AI)과 딥 러닝(DL) 기법이 빠르게 발전하면서 배포된 알고리즘의 보안과 견고성을 보장하는 것이 중요하다. 최근에는 적대적 샘플에 대한 DL 알고리듬의 보안 취약성이 널리 인식되고 있다. 조작된 샘플은 인간에 의해 양성으로 인식되는 동안 DL 모델의 다양한 잘못된 행동을 초래할 수 있다. 실제로도 다양한 시나리오에서 적대적 공격의 성공적인 구현은 그 실용성이 입증되고 있으며, 적대적 공격과 방어 기술은 머신 러닝과 보안 커뮤니티 모두에서 점점 더 많은 관심을 끌고 있다. 적대적 기계학습은 기만적 입력을 제공하여 모델을 속이려 하는 머신 러닝 기법이다. 가장 일반적인 경우는 기계 학습 모델에 오작동을 일으키는 것이다. 대부분의 기계 학습 기법은 훈련과 시험 데이터가 동일한 통계 분포에서 생성되는.. 2023. 10. 16. [논문] Benchmarking differentially private synthetic data generation algorithms Tao, Yuchao, et al. "Benchmarking differentially private synthetic data generation algorithms"The Third AAAI Workshop on Privacy-Preserving Artificial Intelligence (PPAI-22) This work presents a systematic benchmark of differentially private synthetic data generation algorithms that can generate tabular data. Utility of the synthetic data is evaluated by measuring whether the synthetic data pres.. 2022. 12. 21. [논문] APRIL: Finding the Achilles' Heel on Privacy for Vision Transformers Lu, Jiahao, et al. "APRIL: Finding the Achilles' Heel on Privacy for Vision Transformers"The Third AAAI Workshop on Privacy-Preserving Artificial Intelligence (PPAI-22)https://arxiv.org/abs/2112.14087https://aaai-ppai22.github.io/#accepted_papers Federated learning frameworks typically require collaborators to share their local gradient updates of a common model instead of sharing training data .. 2022. 12. 21. 이전 1 다음
