소프트웨어 전문 컨설팅 및 기술지원 전문

국내 클라우드 시장은 점차 확대되고 있으며 서비스의 구성도 다양화 되고 있습니다. 특히 데브옵스와 같은 개발 환경의 변화는 우리가 흔히 알고 있는 IaaS 형태의 클라우드 뿐 아니라 PaaS 형태의 클라우드 서비스까지 확되고 있음을 알게 합니다. 

클라우드로 확대는 기존의 보안 헝태의 한계를 명확히 드러낼 수 밖에 없습니다. 

위와같이 멀티 클라우드, 하이브리드 형태의 클라우드에서는 보안 관리 포인트 확대되고 한정된 예산과 자원으로는 안전하게 운영하기 위한 한계가 드러날 수 밖에 없습니다. 

게다가 수시로 변하는 클라우드 애플리케이션과 수많은 신규 취약점을 관리하면서 업무 생산성에 영향을 미치지 않도록 해야 한다는 복잡하고 어려운 요구를 만족시키기엔 아직 클라우드 보안 기술은 고객의 요구를 충족 시키지 못하고 있습니다.

때문에 새로운 개념의 AppSec 솔루션이 필요하며, 특히 퍼블릭 클라우드내 어플리케이션 및 데이터 보호를 위해 최적의 Third Party 솔루션을 도입 필요성이 요구되고 있습니다. 
특히나 최근 사회적 이슈인 언택트, 비대면 환경이 요구되는 상황에서는 더욱더 새로운 보안의 개념을 받아 들이고 적용해 늘어나는 취약점에 대비해야 합니다. 

클라우드, 언택트, 비대면 환경에서 최적인 애플리케이션 보안 솔루션. 와라텍.

와라텍으로 모든 클라우드에서 어플리케이션의 보안 확보할 수 있습니다.
멀티 클라우드 운영으로 인해 대부분의 기업은 이기종 환경을 유지하고 있으며 각 플랫폼 마다 도구가 크게 다릅니다. 
이러한 인프라에서 운영되는 비대면, 언택트 애플리케이션들의 보안의 컴플라이언스 유지도 신경써야 합니다.
때문에 퍼블릭 클라우드에서 제공하는 보안 기능의 한계를 Third Party 솔루션을 통해 보완해야 합니다.

• 클라우드 환경에서 차세대 어플리케이션 보안 솔루션인 와라텍은은 어떠한 클라우드 환경이라도 자바 어플리케이션을 보호할 수 있습니다.    
• 와라텍은 온프레미스와 퍼블릭 클라우드 모두에서 자바 어플리케이션을 광범위하게 보호합니다.  
• 주요 클라우드에서 중앙 콘솔을 통한 원활한 어플리케이션 관리가 가능합니다.         
• 통합된 가시성 및 제어 그리고 위험 관리 및 규정 준수 요구 사항을 지원하는 정책 관리가 가능합니다.

전체 애플리케이션 스택을 관리, 보호 할 수 있는 솔루션

런타임 어플리케이션 작업 전반에 걸친 패치 시간을 수 주, 수개월 에서 몇 분 정도로 단축할 수 있는 효율을 제공하는 차세대 솔루션을 필요합니다.

런타임 어플리케이션의 구동에 관련된 비즈니스 로직부터  운영체제와의 통신에 이르기까지 전 영역 보호가 가능 해야 합니다.

더불어 패치, 업그레이드 관리를 통해 전체 어플리케이션 스택을 보호할 수 있습니다.

• 와라텍 패치 : 소스 수정 없이 애플리케이션의 무중단 보안 패치를 통해 취약점 제거. 응용 프로그램 코드를 건드리지 않고 앱을 다시 시작할 필요가 없이 미션 크리티컬 앱의 패치와 관련된 위험이 제거되며 맞춤형 가상 패치가 제공 됩니다.
• 와라텍 업그레이드 : 애플리케이션의 스택을 최신버전으로 유지해 레거시 애플리케이션 및 플랫폼을 코드수정 없이 모두 새로운 버전 처럼 사용할 수 있도록 하며 기존 코드, 플랫폼 및 오픈 소스의 취약점으로부터 애플리케이션 보안을 제공합니다.

가격 정책 

와라텍은 Agent 방식으로 Was 서버에 설치되어 중앙 콘솔에서 관리 됩니다.
와라텍이 적용되어 있는 애플리케이션 단위 개수에 따라 과금이 되며 1년 단위 Subscription계약을 진행하며 다년 계약, 수량에 따라 별도의 과금 체계가 적용됩니다.

와라텍에 관한 궁금하신 사항이나 문의하실 내용은 아래 링크를 통하시면 되겠습니다.

와라텍 문의 바로가기

IT개발에서 배포, 운영,관리 전과정이 유기적으로 끊임없이 순환하는 데브옵스(DevOps). 이 모든 과정에 보안을 통합하는 데브섹옵스(DevSecOps)가 주목 받고 있습니다. 

개발 초기부터 보안이 모든 과정에 개입함으로써 리스크를 최소화하고 업무 효율을 높일 수 있기 때문입니다.

기존 사일로를 파괴하는 데브섹옵스는 보안 및 개발자와 운영진이 협력하면서 요구사항등을 빠르게 반영하고 도입하면서 디지털 전환시대에 트랜드로써 소개되고 자리잡고 있습니다.

CI/CD(DevOps) 개발 방법론을 적용한 클라우드 PaaS 개발환경으로 변화

데브옵스는 빠르게 개발,배포,운영되는 환경인 만큼 인프라는 PaaS플랫폼 위에서 진행됩니다. 
이는 몇몇 문제점을 드러내게 되는데

- Workflow내 보안 영역을 담당 할 수 있는 S/W의 부재
- 기존의 보안체계로는 위와 같이 변화하는 개발환경을 따라 갈 수 없음
- 개발 환경의 변화는 취약점 노출로 인한 위험성 증가로 연결

위와같은 보안성에 취약한 부분이 발견되었습니다. 이를 해소하기 위해 등장한것이 RASP(Runtime Application Self-Protection)입니다.  데브옵스 환경에서 기존의 보안방식으로는 한계가 있으며 해소하지 못하는 문제점이 노출되었기 때문에 런타임 중인 애플리케이션을 실시간으로 보호 하는 개념을 적용하여 데브섹옵스를 완성하는 것입니다.

애플리케이션 보안은 RASP

가트너는 데브옵스를 도입한 기업의 40%가 애플리케이션 보호 기술을 도입할것이라 보고 RASP를 도입할것을 권고했습니다. 

RASP는 아직 국내에서 널리 알려진 개념은 아닙니다. 데브옵스와 함께 보안운영(DevSecOps)가 필요하게 되면서 RASP 성장 기회도 자연스럽게 부상하게 될것입니다. 

더불어 정책설정, 휴리스틱, 탐지 기반으로 운영되는 기존 보안 운영 방법으로는 데브섹옵스 환경에서 운영되기에는 적합하기 않기 때문에 RASP는 향후 더욱 주목받을 것입니다.

Waratek RASP

와라텍은 2019 년 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 올해의 웹 보안 솔루션 인 2020 Cyber Defense Magazine의 최첨단 애플리케이션 보안 상을 수상했으며 RSA Innovation Sandbox Award의 이전 수상자와 12 개 이상의 수상 및 표창을 받은 솔루션으로 검증은 완료된 S/W입니다. 

와라텍 시큐어는 JIT컴파일러 역할을 수행하는 방법으로 자바 플랫폼에서 발생할 수 있는 모든 보안 위협으로부터 애플리케이션을 보호 하며 오탐0%를 보증할 수 있는 솔루션입니다. 

와라텍 시큐어를 적용해 얻을 수 있는 기대 효과는 아래와 같습니다. 

• 업무효율 개선 :  운영. 보안, 개발 부서 간에 오래 걸리고 복잡한 업무를 줄여  업무 효율을 높임.
• 시간 및 비용 절감 : 와라텍의 다양한 기능으로 개발,보안,운영 부서간 길고 복잡한 협업과 투입 인력을 최소화
• 높은 애플리케이션 보안성 유지 :  소스코드 수정 완료시까지 기다릴 필요 없이 운영자 스스로가 App 취약점을 즉시 완화 및 해소
• 보안 관리의 편리성 제공 : 간단한 포인트 앤 클릭 만으로 규칙 구성 및 적용 가능 / 중앙 콘솔에서 보안 규칙 생성, 관리, 배포 기능 지원
• 보안의 편리성 제공 : 간단한 포인트 앤 클릭 만으로 규칙 구성 및 적용, 보안 규칙 중앙 관리
• 전체 애플리케이션 스택 보호 : 비즈니스 로직, 오픈 소스코드, 3rd party 라이블러리, 운영체제 등등 애플리케이션 스택 전체를 보호

와라텍에 대한 궁금한 사항등은 아래 링크를 통해 문의 하세요

와라텍 문의하러 가기

아파치는 Struts2의 두 가지 취약점으로 인해 공격자가 시스템을 제어 할 수 있다고 말합니다. 
해당 취약점은 CVE-2019-0230 & CVE-2019-0233로 영향을 받는 버전은 2.0.0 - 2.5.20. 입니다.

두 CVE모두 Apache Struts 2.5.22에서 이미 수정되었으나 아직 업그레이드 하지 않은 사례가 확인되고 있습니다.

자세한 내용은 링크를 눌러 확인 하세요.
http://mail-archives.us.apache.org/mod_mbox/www-announce/202008.mbox/%3C66006167-999e-a1e5-4a3a-5f1c75a1e8a2%40apache.org%3E

와라텍은 컴파일러 기반 가상 패치를 제공 하므로 다운 타임 및 소스 코드 수정없이 즉시 보안 패치를 적용할 수 있습니다. 오탐 없이 런타임 애플리케이션을 보호 할 수 있습니다. 

2019 년 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 올해의 웹 보안 솔루션 인 2020 Cyber Defense Magazine의 최첨단 애플리케이션 보안 상을 수상했으며 RSA Innovation Sandbox Award의 이전 수상자와 12 개 이상의 다른 수상 및 표창을 받았습니다.

Patch 및 Upgrade 고객은 CPU CVE를 처리하는 런타임 가상 패치를 받습니다. 
다운타임 없이 가상 패치를 구현하여 즉각적인 보호를 실현할 수 있으며 일부 CVE는 제로데이(Zero-day) 보호 기능을 제공하는 와라텍의 내장 CWE규칙을 통해 별도의 구성 없이 해결할 수 있습니다. 

와라텍에 대한 다른 궁금한 사항이나 문의 하실 내용은 아래 링크를 잠조하세요.

와라텍 정보 바로보기

지난 한 달 동안 우선 순위 패치는 무엇이었고 적용은 어떻게 하셨는지요?
컴파일러 기반의 가상 패치를 사용하여 패치 주기를 단축하는 방법을 적용해 보는것을 어떨까요?

Tripwire에서는 2020년 7월 패치 우선 순위 보고서를 발표하였습니다. 링크 클릭!

F5, Cisco용 패치 및 Microsoft DNS서버용 패치등 다양한 패치가 있었는데요.
특히 Oracle Java용 패치는 자바2D, 라이브러리, JAXP, ImageIO, JavaFX, 핫스팟 및  JSSE와 관련된 11가지 취약점 발표가 있었습니다. 

오라클 자바 관련 CVE 목록 입니다.
CVE-2020-14581, CVE-2020-14583, CVE-2020-14621, CVE-2020-14556, CVE-2020-14562, CVE-2020-14664, CVE-2020-14573, CVE-2020-14577, CVE- 2020-14579, CVE-2020-14578, CVE-2020-14593

와라텍은 컴파일러 기반 가상 패치를 제공 하므로 다운 타임 및 소스 코드 수정없이 즉시 보안 패치를 적용할 수 있습니다. 

2019 년 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 올해의 웹 보안 솔루션 인 2020 Cyber Defense Magazine의 최첨단 애플리케이션 보안 상을 수상했으며 RSA Innovation Sandbox Award의 이전 수상자와 12 개 이상의 다른 수상 및 표창을 받았습니다.

Patch 및 Upgrade 고객은 CPU CVE를 처리하는 런타임 가상 패치를 받습니다. 
다운타임 없이 가상 패치를 구현하여 즉각적인 보호를 실현할 수 있으며 일부 CVE는 제로데이(Zero-day) 보호 기능을 제공하는 와라텍의 내장 CWE규칙을 통해 별도의 구성 없이 해결할 수 있습니다. 

와라텍에 대한 다른 궁금한 사항이나 문의 하실 내용은 아래 링크를 잠조하세요.

와라텍 정보 바로보기

오라클은 최신 중요 패치 업데이트를 발표했습니다. 이는 5년 만에 최대 규모의 패치 발표입니다.

7월 오라클 2020중요 패치 업데이트 CPU(Critical Patch Update)는 오라클 제품군 전체에서 443개 CVE를 배포하였습니다. 발표에 따르면 CPU패치는 29개 제품 결함이 있으며 "critical" 등급을 가지고 있고 원격으로 악용될 수 있다고 합니다. CPU에는 아래 내용이 포함 됩니다. 

• Java SE용 패치 11개, 이 중 11개는 원격으로 실행 
• Oracle Fusion Middleware용 패치 52개, 이 중 48개를 원격으로 실행할 수 있음
• Oracle E-Business Suite용 패치 30개, 이 중 24개를 원격으로 실행할 수 있음
• Oracle PeopleSoft용 패치 11개, 이 중 9개를 원격으로 실행할 수 있음

Waratek's Advice to Customers & Prospects

와라텍 Patch 및 Upgrade 고객은 해당 CPU CVE를 처리하는 런타임 가상 패치를 받습니다. 
다운타임 없이 가상 패치를 구현하여 즉각적인 보호를 실현할 수 있으며 일부 CVE는 제로데이(Zero-day) 보호 기능을 제공하는 와라텍의 내장 CWE규칙을 통해 별도의 구성 없이 해결할 수 있습니다. 

와라텍의 고객이 아닌 경우 오라클에서 배포함 중요 패치 업데이트를 최대한 빠른 기간내 지체 없이 적용해야 할것입니다. 

Q3 CPU Java SE highlights

• Java SE는 여전히 엔터프라이즈 애플리케이션에 가장 널리 사용되는 프로그래밍 언어로서, 7월 CPU에 패치된 취약성    의 100%를 원격으로 이용할 수 있으며, 여기에는 Java 7과 이전 및 최신 Java 14도 포함.
• Java SE에는 총 11개의 새로운 수정 사항이 있으며, 최고 CVSS 점수는 8.3점이다.
• Java SE용 CPU에서 Java SE 버전 7u261, 8u251, 11.0.7 및 14.0.1의 결함을 패치.
• JDK 8u261은 TLS(Transport Layer Security) 1.3 규격(RFC 8446)의 구현을 포함한다. TLS 1.3은 클라이언트 엔드포인트    의 기본 SSLContext("SSL" 또는 "TLS")에 대해 비활성화된다.(TLS 1.3은 이전 버전과 직접 호환되지 않는다는 점에 유의)
• Java SE에서 해결 된 치명적인 취약점이 없다. 고정 취약성의 27%는 높은 심각도, 27%는 중간 심각도, 나머지는 낮은    심각도.
• 고정 취약성의 36%는 Java SE의 핵심 라이브러리에서 수정 되었음.

Regarding other Oracle products

• 15개의 Oracle 제품에는 CVSS 3.0 기본 점수가 9.0 이상인 CVE용 패치가 포함되어 있으며, 여기에는 Oracle       Communications Applications - 10점이 포함된 제품 1개가 포함된다.10개 제품은 최소 1개의 CVE 등급 9.8을 가지고 있다.
• Fusion Middleware 52개의 CVE를 수정했으며 48개는 인증 없이 원격으로 악용될 수 있다. 최고 CVSS v3.1 기본 점수는 9.8이다.
• WebLogic 서버의 약 20% 수정사항은 시스템의 완전한 손상을 일으킬 수 있는 역직렬화 취약성에 대한 수정 사항이다.
• WebLogic 서버의 임의 파일 읽기 취약성을 허용하는 CVE-2020-14622 패치가 적용됨

CPU관련 전체 소식이 궁금하면 여기를 클릭하세요.

About Waratek

Waratek은 2019 년 사이버 보안 혁신 상 (Cybersecurity Breakthrough Award)의 올해의 웹 보안 솔루션 인 2020 Cyber Defense Magazine의 최첨단 애플리케이션 보안 상을 수상했으며 RSA Innovation Sandbox Award의 이전 수상자와 12 개 이상의 다른 수상 및 표창을 받았습니다.

와라텍에 대한 다른 궁금한 사항이나 문의 하실 내용은 아래 링크를 잠조하세요.

와라텍 정보 바로보기

2020 년 4 월 Oracle Critical Patch Update (CPU)에는 Oracle 제품군 전체에 걸쳐 397 개의 패치, 2020 년 1 월 CPU 대비 18 % 증가, 전년 대비 33 % 증가가 포함되어 있습니다. CPU에는 다음이 포함됩니다.

• Java SE 용 15 패치
• Oracle Fusion Middleware 용 51 패치
• Oracle E-Business Suite 패치 74 개
• Oracle Knowledge 16 패치

2020 년 4 월 CPU 미리보기에는 최근 릴리스 된 Java 14에 대한 잠재적 패치가 언급되었지만 최근 업데이트에는 Java 14에 대한 수정 사항이 포함되어 있지 않습니다.

와라텍 고객에 대한 조언 및 전망

Waratek Patch 및 Waratek Upgrade 고객은 계약의 일부로 Oracle CPU CVE를 해결하는 런타임 가상 패치를받습니다. 즉각적인 보호를 위해 다운 타임없이 가상 패치를 배포 할 수 있습니다. 일부 CVE는 조정 또는 구성없이 제로 데이 (zero-day) 보호 기능을 제공하는 Waratek의 내장 CWE 규칙에서도 해결됩니다.

와라텍 고객이 아닌 업체나 개인은 오라클의 조언을 따르고 중요한 패치 업데이트를 지체없이 적용해야합니다.

Q2 CPU Java SE 하이라이트

• Java SE 취약점의 100 % (100 %)는 사용자 자격 증명없이 네트워크를 통해 악용 될 수 있습니다.
• Java SE의 2 개의 새로운 역 직렬화 취약점이 패치되었습니다.
• JavaFX 네이티브 코드의 정보 공개 취약성 (CVE-2019-18197) 중 하나는 Java 8에만 영향을줍니다.
• 취약점 1 개 (CVE-2020-2764)는 Java Advanced Management Console에만 영향을줍니다.
• 4 가지 취약점이 JSSE (Java Secure Socket Extension)에 영향을 미치고 HTTPS를 통한 애플리케이션에 영향을 미칩니다

 다른 Oracle 제품에 대하여

• Oracle Business Intelligence 및 Oracle Knowledge 는 악명 높은 4 년 된 CVE-2016-1000031 Apache Commons FileUpload DiskFileItem 파일 조작 원격 코드 실행 역 직렬화 취약점에 대해 패치되었습니다.
• Oracle Knowledge 의 16 개 CVE 중 15 개가 원격으로 악용 될 수 있습니다.
• Oracle Fusion Middleware 는 8 개의 역 직렬화 취약점에 대해 패치되었습니다.
• Orcale Fusion Middleware CVE 의 44 개를 원격으로 악용 할 수 있습니다.
• Oracle E-Business Suite 취약점 70 개 는 사용자 자격 증명없이 원격으로 악용 될 수 있습니다.

여기 에서 전체 Oracle CPU 뉴스 릴리스를 읽으 십시오 .

와라텍 문의하기 클릭

런타임 애플리케이션 자가 보호 RASP(Runtime Application Self Protect) 란??

RASP란 애플리케이션으로 인입되는 트래픽에서 악성코드를 찾아내 애플리케이션 스스로 악의적인 동작이 수행하는것을 방지하는 방식을 말합니다. 
애플리케이션 또는 런타임 환경과 통합되어 모든 애플리케이션에 대한 호출을 감지하고 취약점을 확인하는 보안 소프트웨어로 숨겨진 취약점에 대한 가시성을 높여 런타임 애플리케이션에 대한 공격을 효과적으로 대응할 수 있습니다.

WAF와 RASP의 차이점?

WAF는 네트워크 영역 최 상단에서 의심으러운 트래픽을 차단하는 방식으로 실제 애플리케이션에서 어떤 행위가 발생하고 있는지 알지 못합니다. RASP는 애플리케이션과 공존함으로써 취약점을 무력화하고 앱 내에 통합되어 있기 때문에 위협 요인이 탐지되면 이를 바로 차단하기 위한 조치가 가능합니다. 
WAF는 관제를 통한 로그 분석으로 차단 정책을 수립하고 비정상적인 사용 패턴을 찾기 위해 인입되는 HTTP 트래픽등을 검사하지만 RASP는 애플리케이션 스스로 제로데이 공격과 같은 위협으로 부터 자신을 보호 합니다.

클라우드 개발 환경과 온 프레미스 인프라에서 운영되는 애플리케이션의 보안.

안정성과 효율성이 필요한 전통적이며 중요한 업무는 기존처럼 온프레미스 인프라로 운영하고, 자주 바뀌며 새로운 컨셉과 기능을 빠르게 반영해야 하는  업무는 퍼블릭 클라우드 인프라에 PaaS로 적용하는 방안을 많이 검토합니다. 특히나 요즘은 개발환경을 데브옵스(DevOps) 방식으로 클라이언트의 요구사항을 빠르게 반경해 서비스를 개발하고자 합니다.

온 프레미스와 클라우드 모두 운영하는 상황 혹은 두 인프라간 데이터를 이전해야 하는 상황, 개발환경을 데브옵스를 적용하고자 하는 상황에서 가장 염려 되는 부분이 바로 보안입니다.

이렇게 다양한 IT 접근법이 복합적으로 사용되는 IT 운영 환경에서 보안에 대한 불안을 해소할 수 있는 애플리케이션 보안의 방법이 RASP라 할 수 있을 것입니다.
애플리케이션에 통합되어 운영되기 때문에 설치, 운용, 관리적인 부분에서 매우 유리하다고 할 수 있습니다.

와라텍에서 Secure는 RASP 제품으로써 자바 애플리케이션의 JIT 컴파일러에 통합되어 런타임 어플리케이션을 스스로 보호할 수 있도록 보안을 책임집니다.

• RASP는 지속적인 통합과 배포를 수행하는 DevOps 및 완료 시간이 촉박한 애자일 워크플로우 모두에 유용하게 적용 가능하며 Waratek P&C는 이를 보장.
• 실제 업무에서는 개발된 어플리케이션/프로그램들을 빠르게 배포하고 운영하기 위한 데브옵스에 보안을 제공하는 Waratek P&C.
• 실제 개발된 어플리케이션/프로그램을 계속 운영하면서 새로운 컨셉과 기능을 빠르게 반영하기 어려운 환경에서는 Waratek Upgrade.
• 데이터베이스, 파일 공유 인터페이스, 3rd-party 연동, 데이터 소스 및 소켓 연결로부터 애플리케이션 환경을 보호하는 것은 Waratek

와라텍에 대한 궁금한 사항이나 자세한 내용은 아래 링크를 통해 문의하시면 됩니다.

와라텍 문의하기↓↓↓

Oracle JDK Subscription 비용 상쇄 효과

Oracle JDK를 subscription 없이 Waratek으로 보안 패치가 가능하며 업그레이드 기능을  통해 레거시 Java를 최신 Java 어플리케이션으로 업그레이드 및 기동할 수 있습니다. 더불어 현재 버전의 JDK의 지속적인 패치가 가능 합니다.

최근 오라클 JDK에 대한 subscription 비용이 큰 이슈가 되고 있습니다. JDK에 대한 지속적인 기술지원 및 패치 업데이트서비스를 받기 위해서는 반듯이 subscription계약을 해야만 합니다.

관련한 내용을 간단하게 정리하면...

1. 서브스크립션을 구매하지 않은 기업은 오라클 JDK 자바 SE를 업무용, 상업용, 관리용으로 사용할 수 없다.
2. 업데이트 및 버그 패치도 제공되지 않는다.
   
3. 서브스크립션 구매 후 기간이 종료되면 모든 접속이 금지된다.
   
4. 기존 Oracle JDK 8 바이너리의 경우 2019년 1월 이후 업데이트부터 라이센스 구독을 요구한다

그럼 와라텍이 JDK Subscription 비용의 상쇄 효과를 제공 할 수 있을까요?

와라텍은  OpenJDK Community TCK License Agreement (OCTLA)에 가입되어 있기 때문에 TCK 인증을 받았고 따라서  별도의 JDK Subscription을 구독할 필요가 없이 오라클에서 제공하는 패치 업데이트와 동일한 서비스를 제공합니다.

1. Oracle JDK를 subscription 없이 Waratek만으로 보안 패치가 가능합니다. 
2. Open JDK를 사용하면서 Waratek을 적용 할 경우 위에서 발생하는 선택의 문제를 해결할 수 있습니다. ( Waratek Patch를 통해 현재 버전의 JDK의 지속적인 패치가 가능) 
3. 비즈니스 연속성을 위해 과거 버전의 Java를 계속 사용해야 하는 경우 Waratek을 적용해 업그레이드 문제를 해결 할 수 있습니다. (Waratek Upgrade를 통해 레거시 Java를 최신 버전 Java어플리케이션으로 업그레이드)

와라텍을 도입하면 다운타임 없는 패치 업데이트 배포 및 적용, OWASP 및 SANS 그리고 제로-데이 공격을 방어, 구버전의 Java 애플리케이션을 최신 버전의 자바로 가상 업그레이드, 그리고  JDK Subscription 비용에 대한 상쇄 효과를 얻을 수 있습니다. 따라서 Oracle JDK Subscription에 대한 대체를 위한 하나의 방법으로도 검토가 가능합니다.

와라텍 정보 바로보기 ☞

최근 연구에서는 데이터의 흐름에 따라 공격자 역시 이동하는 것을 보여주고 있습니다. 

클라우드 보안에 관한 Mcfee의 보고서의 결론은 다음과 같습니다.
"민감한 데이터가 클라우드로 이동함에 따라 공격자의 이동도 자연스럽게 따라 갑니다."
Mcfee LLC의 클라우드 부서의 임원인 Sekhar Sarukkai가 월 스트리트 저널에서 결론적으로 언급한 내용입니다.

해당 연구에선 1,400명의 IT임원중 20%가 클라우드 인프라에 대한 고급 스킬의 공격을 받은 경험이 있다고 응답했습니다. 25%는 퍼블리 클라우드에서 데이터 관련 공격 사례를 보고 했습니다. 

1. McFee 연구에 반영된 조직은 잘못 구성된 클라우드 서비스 구성의 직접적인 결과로 매월 평균 2,200건의 보안 사고 
   를 기록중
2. 클라우드 배포의 80% 이상이 기밀정보를 포함 합니다. 21%는 개인 정보등 개인 식별이 가능한 정보, 영업 비밀과 같
   은 민감한 정보를 포함 합니다.

McFee는 근본적인 원인으로 숙련된 클라우드 보안 관련 인력이 부족하고,
담당자가 어플리케이션을 기존 온 프레미스로 배포하는 것처럼 수동 프로세스에 지속적으로 의존 할때 직면하게 되는 문제를 클라우드에서도 반복되기 때문이라 합니다. 

"많은 회사가 클라우드로 전환하면 보안은 서비스 공급 업체가 책임을 져야 한다고 생각합니다."
과연 맞는 말일까?

클라우드 서비스로 이전하면서 어플리케이션 및 데이터 보안에 대한 부담이 구매한 서비스에 내포되어 있다고 생각하며 이는 사이버 보안 전문가 조차도 공급 업체를 사용하는 것만으로 최소한의 보안 도구가 충분하다고 생각하는 인식을 가지고 있다는 것입니다. 

퍼블릭 또는 프라이빗 클라우드로 이동할 때 여전히 어플리케이션 및 데이터 보안에 대한 책임은 서비스 제공자가 아닌 운영상 주체적인 위치를 갖는 업체에 있습니다. 또한 WAF(Application Web Firewall)가 데이터 센터에서 원하는 수준의 보안을 제공하지 않으면 클라우드에서 더 나은 성능을 발휘하지 못합니다(클라우드 제공 업체의 WAF를 이용하는 경우도 마찬가지 입니다). 
마찬가지로 클라우드 환경에서 현재 엔터프라이즈 웹 어플리케이션을 패치하거나 업그레이드 하는데 어려움을 겪고 있는 경우 패치 또는 업그레이드를 수행하지 못하여 공격 리스크에 노출되고 컴플라이언스 문제가 발생하는 경우도 자주 보고되고 있습니다. 

클라우드 어플리케이션 보안

와라텍의 솔루션은 클라우드 환경에서 배포할 수 있으며 온 프레미스 역시 가능한 바이모달 솔루션입니다. 와라텍은 알려진 코드 결함을 수정하고 Zero day공격으로 부터 어플리케이션을 보호하며 지원되지 않는 Java응용 프로그램을 업그레이드 합니다. 소스 코드 변경, 다운 타임 없이 보안 패치를 진행 할 수 있으며 인프라 성능에 미치는 영향은 미미합니다.

클라우드에서 인프라를 운영한다면 최신의 가장 효과적인 보안 기술을 쉽고 빠르게 적용하여 사이버 보안 상태를 향상시킬 수 있는 방법을 제공합니다. 

와라텍 정보 바로 보기 ☞

Whitesource에 따르면 오픈소스소프트웨어의 취약점이 2019년에 6000개를 넘었습니다.
와라텍은  수동 프로세스보다 저렴한 비용으로 쉽고 빠르게 패치 할 수 있습니다.

와라텍 정보 바로보기 ☞