소프트웨어 개발 시, 공격에 악용될 수 있는 보안 취약점을 초래할 수 있는 위험(가장 일반적으로 버그 또는 코딩 오류)이 수반됩니다. 완전히 오류가 없는 소프트웨어 릴리스를 확보하는 것은 업계에서 드문 일이지만, 보안 위험을 제기하는 버그 및 기타 부적절한 구현을 식별하고 수정해야 합니다. 그러나 보안 작업이 완전히 개발된 소프트웨어에서 테스트를 수행한 후에만 발견된 문제를 수정하는 것으로 제한되는 경우, 이러한 수정은 중요하지만 근본적인 문제를 적절하게 해결하지 못할 수 있으므로 대증 요법일 뿐일 수 있습니다.
Axis는 보안 고려 사항을 마지막이 아니라 바로 처음부터 그리고 개발 프로세스 전반에 걸쳐 다루어야 한다고 믿고 있습니다. 이는 애플리케이션 요구 사항 설정, 설계 및 구현 단계에서 검증 및 배포에 이르기까지 다양한 소프트웨어 개발 단계에서 여러 결정을 내리기 때문입니다. 각 단계에서 개발자, 설계자 및 제품 소유자는 소프트웨어가 완전히 빌드되면 변경하기 어려운 결정을 내리게 됩니다.
Axis 보안 개발 모델
사이버 보안에 효과적으로 대응하고 사이버 보안을 소프트웨어 개발 라이프사이클에 통합되도록 하기 위해 Axis는 Axis 보안 개발 모델(ASDM)이라는 방법을 도입했습니다. ASDM은 소프트웨어 개발의 여러 단계에서 고려해야 하는 다양한 보안 활동에 대해 설명합니다. 그 목적은 사이버 보안을 위한 기준을 설정하고 지침을 제공하여 취약점과 개발 비용을 줄이는 것입니다. 이를 통해 개발팀은 예상되는 사항을 파악하고 보안 관련 결정을 쉽게 전달할 수 있습니다.
ASDM 툴박스는 다양한 보안 문제에 대응할 수 있도록 하는 위험 평가, 위협 모델링, 위협 모델 테스트, 정적 코드 분석, 취약점 검사 및 공급업체 평가와 같은 다양한 활동을 규정합니다. 개발팀은 개발할 소프트웨어의 종류에 따라 특정 활동을 수행하거나 수행하지 않을 수 있습니다. ASDM은 위험 기반 접근 방식을 제공하며 가장 중요할 때 보안 관련 활동이 수행되도록 보장하므로 이상적입니다. 그 목표는 프로세스 준수를 달성하기보다는 사이버 보안을 달성하는 것입니다.
모든 ASDM 작업은 새로운 기능이나 애플리케이션에 보안 위험이 있는지 평가하는 것으로 시작됩니다. 대부분의 경우 위험 평가 이후에는 무엇보다도 위협 모델링 및 위협 모델 테스트가 수행됩니다. 시스템, 사용 사례, 위협 및 대응 조치가 결정됩니다. 코드를 검토 및 분석하고 검증을 수행합니다.
외부 소프트웨어 보안 전문업체가 매년 다양한 Axis 소프트웨어를 이용한 침투 테스트(사이버 공격 시뮬레이션)를 수행합니다. Axis와 Axis 파트너가 시작한 테스트는 Axis 소프트웨어에 대한 독립적인 검토를 제공하고 Axis의 소프트웨어 보안 노력에 기여합니다. 테스트 결과는 Axis 소프트웨어 보안 그룹이 ASDM을 통해 수행된 작업을 평가하고 ASDM의 개선 필요 여부를 평가하는 데 사용됩니다. 이것은 외부 보안 연구자가 새로 발견하여 Axis 제품 보안팀에 보고한 취약점의 결과에도 동일하게 적용됩니다. 외부 보안 연구자가 발견한 취약점의 결과와 외부 소프트웨어 보안 전문업체가 수행한 침투 테스트의 결과는 제품과 작업 방식을 개선하는 데 도움이 됩니다. Axis 보안 개발 모델은 계속 진행 중인 작업이라는 점에 유의해야 합니다.
Axis 보안 개발 모델의 핵심 요소는 팀 중심 접근 방식입니다. 소프트웨어를 만드는 개발 팀은 소프트웨어의 보안 상태도 책임집니다. Axis의 50개 개발팀에 속한 1,100명 이상의 개발자가 일상 업무에서 ASDM을 적용합니다. Axis 소프트웨어 보안 그룹(SSG) 및 일선 지원을 제공하는 SSG 위성 조직에서 근무하는 40명 이상의 개발자가 개발팀의 이러한 작업을 지원하고 있습니다. SSG는 교육 및 보안 툴박스를 제공하고 다양한 팀과 함께 후속 조치를 취하고 필요 시 ASDM을 개선할 책임이 있습니다. 한편 SSG 위성 조직은 ASDM을 각 팀의 요구에 맞게 조정하도록 돕습니다. 다수의 다양한 기술 스택과 작업 방식이 있기 때문입니다. 소프트웨어 팀의 관리자와 이사는 팀의 ASDM 작업에 대한 후속 조치와 소프트웨어 보안을 책임집니다.
ASDM 수립
ASDM은 2015년에 수립되었으며 2017년에는 Axis 소프트웨어 개발팀이 따라야 하는 의무 사항이 되었습니다. ASDM의 도입 이전에, Axis 개발팀은 주인 의식, 공학적 자부심, 투명성 및 동료 평가를 장려하는 일반적인 Axis 문화에서 영감을 받아 소프트웨어 개발을 위한 다양한 모범 관행을 따랐습니다. 개발팀이 고품질 코드를 달성했지만, Axis는 개발 프로세스에 보안 고려 사항을 통합하는 선호하는 방법을 정의하는 일반적인 방법이 없었습니다. 사이버 보안의 중요성이 증가하고 모범 관행이 발전함에 따라 작업 방식도 개선할 필요성이 생겼습니다.
공통적이고 적용 가능한 접근 방식을 찾기 위해, Axis는 개발 중인 보안을 직간접적으로 해결하는 기존 사이버 보안 표준 및 프레임워크(예: ISO 27001, IEC 62443, NIST, BSIMM 및 CMMC)를 검토했습니다. 이러한 표준과 프레임워크는 보안이 다양한 개발 단계에 통합되어야 한다는 공통점을 갖고 있습니다. 또한 사용자를 모범 관행을 따르도록 안내하고 다양한 이해 관계자가 사이버 보안과 관련하여 더 쉽게 소통할 수 있도록 하는 공통 어휘를 만듭니다.
그러나 ASDM은 기존 표준이나 프레임워크의 단순한 구현이 아니며, 다양한 표준 및 프레임워크의 많은 이점을 채택하고 Axis 기업 문화 및 개발 관행에 맞게 조정되었습니다. 맞춤형 모델을 갖추면 ASDM이 다양한 유형의 소프트웨어에 적합해질 수 있습니다. 그리고 사이버 위협과 대응책이 끊임없이 진화하는 환경에서, 새로운 모범 관행도 수용할 수 있습니다. 간단히 말해서, ASDM을 통해 Axis 소프트웨어 개발팀은 가능한 가장 큰 효과를 달성하고 보안을 소프트웨어에 진정으로 통합할 수 있습니다.