보안취약점 분석
HS Scanj(HealingSecu ScanJ)
힐링시큐 스캔제이(HS Scanj)는
소스코드가 담고 있는 치명적인 에러 및 보안상 위험한 코드를 검출하는 보안 취약성 분석 솔루션입니다.
컴파일된 바이트코드 해석을 통해 오탐 방지율을 낮춰 관리자의 점검시간을 현저히 줄였으며, 보다 정확한 점검을 할 수 있습니다.
행안부 43종 지침, KISA 시큐어 코딩 가이드, OWASP Top 10, CWE/SANS TOP25 등의 국내 및 국제 권고안들을 준수합니다.
※ 소스코드 보안약점 분석도구 힐링시큐 스캔제이(Healing Secu Scanj) 'CC인증' 획득
제품특징
소스코드 보안약점 분석도구란?
사이버 공격에 대응하기 위해 소프트웨어의 개발 단계부터 보안취약점을 보완해 공격 시도를 원천 차단한다는 개념입니다.
소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하고, 해킹 등의 보안위협에 능동적으로 대응할 수 있는 안전한 소프트웨어를 개발하기 위한 일련의 과정을 말합니다.
01. 확장성 제품 개발
상업분야의 Top3 제품 벤치마킹 및 비상업 분야의 국제표준(OWASP, CWE)에 기반한 오픈소스들의 검증되고 일관된 기능을 수렴하여 Global한 확장성 확보.
국제표준, 국내표준을 준수한 최신의 기술.
02. 차별화된 기능 구현
제품의 장점을 취합한 가장 우수한 엔진 개발.
국제표준 및 국내외 보안 규정 확보.
KISA 10대 취약점, 국정원 가이드, 행안부 43종 지침 등 권고안을 만족하는 제품.
03. 고성능 제품 개발
취약한 소스코드에 대한 사전적 인덱싱으로 빠른 검색 결과 도출 및 빠른 실행.
원시소스가 아닌 바이트코드 해석을 통하여 소스코드 보안 오탐 방지율을 최저치 확보하여 정확한 정보 전달.
다중의 사용자 동시 점검 기능, 다중의 프로젝트 동시 점검 기능, 다양한 형태의 레포팅 출력으로 업무처리 효율성 증대.
04. 상호운영성 제품 개발
모든 시스템을 수용할 수 있고 모든 기반환경을 만족할 수 있도록 플랫폼에 독립적으로 구성.
플러그인 방식의 업데이트 RULE 등록으로 편리한 운영관리 제공.
다변화하는 고객의 요구사항 및 복잡하게 발전하는 시스템에 안정적으로 적용.
설치환경 및 지원 플랫폼
HealingSecu Manager
H/W
CPU : 2GHz 이상 권장
RAM : 4GB 이상 권장
HDD : 10GB이상 권장
(분석 데이터 원본양에 따라 다름)
OS
Windows 2000 Server 이상
Ubuntu Linux 8.04 이상
Redhat Linux 5 이상
Fedora 8이상
CentOS 5 이상
AIX 5.1 이상
HP_UX 11.x 이상
SUN_OS 5.6 이상
Language
Java/JSP/Javascript [ .java 외 ]
WAS
Tomcat 7 (설치시 포함)
DBMS
Mysql (설치시 포함)
HealingSecu Agent
H/W
CPU : 2GHz 이상 권장
RAM : 2GB 이상 권장
HDD : 1GB 이상 권장
(분석 데이터 원본양에 따라 다름)
OS
Windows 2000 Server 이상
Ubuntu Linux 8.04 이상
Redhat Linux 5 이상
Fedora 8이상
CentOS 5 이상
AIX 5.1 이상
HP_UX 11.x 이상
SUN_OS 5.6 이상
실행환경
Java : JDK1.6 이상 가능
주요기능
01. 취약점 분석
코드변수 추적, 코드흐름 분석, 취약함수 분석 알고리즘에 의한 취약점 탐지를 수행.
OWASP TOP 10, CWE/SANS TOP 25를 적용한 탐지규칙을 이용하여 코딩규칙에 위배된 품질오류 및 보안 취약점을 탐지.
02. 소스코드 로직추적
Flow Control, Data Control 알고리즘을 이용하여 변수 및 함수를 추적하여 데이터 입력부분과 취약점이 발생하는 결과부분을 추적하여 오탐없이 취약한 소스코드를 정확하게 탐지.
03. 대응방안 제시
발견된 취약점을 제거하기 위한 취약점 항목별 샘플 가이드 제공.
04. 형상관리 탑제
버전관리 시스템을 포함하고 있어, 개발 및 운영코드에 대한 버전관리를 수행하며 취약점 조치이력 적재.
05. 코드배포 통제
개발자는 개발코드에 대해 취약점 분석을 수행 후, 관리자는 취약점 내역을 검토 및 작업된 소스코드의 취약점 존재여부를 확인.
보안 무결성이 보장된 소스코드에 한하여 배포할 수 있도록 개발자/담당자 확인 기능 제공.
06. 업무범위 통제
시스템 관리자, 보안 관리자, 운영자, 개발자 등의 권한에 따른 업무범위를 통제 및 효율적인 업무처리.
프로젝트별 권한통제, 관리자의 권한별 점검권한 / 조치결과 분리 가능.
07. 고성능 점검
다중 사용자의 동시점검, 동일 사용자가 다른 정책을 가진 여러 점검작업의 동시수행, 부하 분산을 위한 병렬 점검처리 기능, 예약점검, 정기점검 등 시간설정 실행 기능 제공.
08. 불필요 파일 통제
백업 파일과 같이 정보유출 혹은 웹 해킹에 이용될 수 있는 불필요한 웹 소스를 관리자가 검증.
주요화면
기대효과
보안취약 소스코드의 자동점검
내장된 보안 취약점 Rule을 기반으로 프로그램 실행 없이 보안취약점 룰에 위반되는 소스코드라인을 정확하게 찾아줍니다.
개발자들은 자신의 PC에서 소스코드 취약점을 스스로 점검할 수 있고, QA팀은 중앙서버를 통해 일괄적으로 소스코드 보안취약점을 점검할 수 있습니다.
보안 취약점의 체계적 관리
외주업체에 의존한 개발업무에 따른 보안 취약점을 프로젝트 초기부터 체계적으로 관리, 대응함으로써 사이버 사고를 미연에 방지할 수 있습니다.
소스코드 누락 및 손실방지
관리자의 업무보직 변경 및 외주업체 변경으로 인해 발생할 수 있는 소스코드 누락 및 분실사고를 예방할 수 있습니다.
보안업무 병목현상 해소
개발 전체단계를 걸쳐서 발생 가능한 보안위협을 인지하고 대처함으로써 보안관리업무를 최대한 분산 가능합니다.
높은 보안 비용의 대폭 감소
Gartner 사용 이전에 소프트웨어 취약점을 50% 줄이면, 침해사고 대응 비용의 75% 감소됩니다.
NIST 개발완료 후에 에러가 발견된다면, 에러 수정비용이 30배 추가 소요됩니다.
IBM 운영단계에서 오류를 수정하고자 할 경우, 설계단계에 비해 100배 증가합니다.