키사이트 SBOM 관리자 보안 소프트웨어 공급망을 위한 전체 수명 주기 SBOM 가시성

키사이트 SBOM 매니저는 특허 출원 중인 바이너리 SBOM 생성 기능을 검증, 보강, 지속적인 모니터링, 확장 가능한 VEX 관리, 안전한 공유 기능과 단일 플랫폼에 통합함으로써 다른 많은 SBOM 도구와 차별화됩니다. 주로 소스 코드나 빌드 시스템 데이터에 의존하는 도구들과 달리, 이 솔루션은 바이너리, 펌웨어 및 컴파일된 소프트웨어를 분석하여 다른 방법으로는 놓칠 수 있는 오픈소스, 독점 및 심층적으로 내장된 구성 요소를 파악합니다. 또한 FDA 지침, EU 사이버 복원력 법(Cyber Resilience Act), CERT-In 요구 사항과 같은 프레임워크에서 요구하는 최소 요소 기준에 출력을 부합시킴으로써 SBOM 품질과 규정 준수 준비도를 향상시킵니다. 게다가 일부 도구는 완전한 CVE 접근성 분석을 제공한다고 주장하지만, 이러한 접근 방식은 실제로는 종종 결정적인 결과를 내지 못합니다. 키사이트 SBOM 매니저는 다중 소스 취약점 상관관계 분석, 명백히 관련 없는 CVE에 대한 지능형 필터링, 확장 가능한 VEX 생성을 결합하여 실질적인 악용 가능성 컨텍스트를 제공함으로써 보다 실용적이고 신뢰할 수 있는 접근 방식을 취합니다. 이를 통해 조직은 불확실한 도달 가능성 주장에 의존하지 않고도 실행 가능한 위험에 우선순위를 둘 수 있습니다. 이 플랫폼은 생산자와 소비자 모두에게 라이프사이클 관리, 자산 수준 가시성 및 지속적인 모니터링을 제공하여, SBOM을 정적인 규정 준수 문서에서 실행 가능한 보안 인텔리전스로 전환합니다.

네, 고급 바이너리 분석 기술을 활용하면 소스 코드 없이도 SBOM을 생성할 수 있습니다. 키사이트 SBOM 매니저는 특허 출원 중인 기술을 사용하여 컴파일된 바이너리, 펌웨어 및 컨테이너를 분석함으로써, 소스 코드 기반 도구들이 종종 놓치는 내장 구성 요소를 탐지할 수 있게 해줍니다. 이러한 접근 방식은 특히 타사 소프트웨어, 정적 링크 라이브러리, 레거시 시스템, 그리고 소스 코드를 확인할 수 없는 폐쇄형 소스 환경을 분석할 때 매우 중요합니다.

키사이트 SBOM 매니저는 소스 코드, 패키지 매니페스트 또는 빌드 시점의 아티팩트에만 의존하는 대신, 실제로 배포 및 적용되는 바이너리, 펌웨어 및 컴파일된 소프트웨어를 분석함으로써 SBOM의 정확성과 포괄성을 향상시킵니다. 많은 소프트웨어 제품에는 소스 기반 도구가 종종 놓치거나 잘못 식별하는 정적 링크 라이브러리, 네이티브 코드, 독점 모듈, 타사 구성 요소 및 깊이 내장된 종속성이 포함되어 있기 때문에 이는 매우 중요합니다. 키사이트는 특허 출원 중인 바이너리 탐지 기술을 활용하여 오픈 소스, 독점 및 폐쇄형 소스 소프트웨어 전반에 걸쳐 더 광범위한 구성 요소를 식별함으로써, 조직이 출하된 제품의 실제 내용을 더 정확하게 반영하는 SBOM을 구축할 수 있도록 지원합니다. 또한 구성 요소 이름과 버전을 더 정확하게 식별하고 CPE 및 PURL을 포함한 올바른 식별자를 할당하여 신뢰할 수 있는 취약점 매핑을 지원함으로써 정확도를 높입니다. 또한 키사이트 SBOM 매니저는 SBOM 데이터를 검증, 정규화, 수정 및 보강하여 완성도와 품질을 향상시키며, 가능한 경우 종속성 관계와 필수 메타데이터를 포함합니다. 그 결과, 취약점 관리, 규정 준수 및 하류 운영 활용을 더 효과적으로 지원하는 고품질의, 더 완전하고 신뢰할 수 있는 SBOM을 얻을 수 있습니다.

키사이트 SBOM 매니저는 SBOM을 단순히 생성하는 데 그치지 않고, 업계 및 정부의 기대에 부합하도록 측정 가능하고 검증 가능하며 지속적으로 유지 관리되도록 함으로써, 조직이 변화하는 규제 요건을 충족할 수 있도록 지원합니다. 이 플랫폼에는 NTIA 최소 요소, BSI TR-03183 및 기타 글로벌 지침과 같은 공인된 프레임워크에 부합하는 내장형 SBOM 품질 평가 및 검증 기능이 포함되어 있어, 팀이 SBOM 데이터를 제출하거나 공유하기 전에 그 완전성, 일관성 및 사용성을 평가할 수 있도록 지원합니다. 또한 여러 취약점 인텔리전스 소스를 기반으로 SBOM 구성 요소를 지속적으로 모니터링하여, 지속적인 위험 평가 및 새로 공개된 취약점에 대한 적시 대응과 같은 시판 후 및 운영 규정 준수 요구 사항을 지원합니다. 또한 키사이트 SBOM 매니저는 VEX를 통한 취약점 컨텍스트의 체계적인 처리, 통제되고 추적 가능한 SBOM 공유, 제품 릴리스 전반에 걸친 버전 관리를 지원합니다. 품질 검증, 지속적인 모니터링, 라이프사이클 추적성을 결합함으로써, 이 플랫폼은 조직이 일회성 규정 준수 보고에서 벗어나 FDA 지침, EU 사이버 복원력 법(Cyber Resilience Act), PCI DSS, CERT-In 요건과 같은 규정에 부합하는 반복 가능하고 감사에 대비된 규정 준수 프로세스로 전환할 수 있도록 지원합니다.

Vulnerability Exploitability eXchange(VEX)는 소프트웨어 제조사가 알려진 취약점(CVE)이 자사 제품에 실제로 영향을 미치는지, 그리고 영향을 미친다면 어떤 조건에서 발생하는지를 전달하기 위한 표준화된 방식입니다. SBOM은 모든 구성 요소와 잠재적 취약점을 나열하지만, 악용 가능성에 대한 맥락은 제공하지 않습니다. 이로 인해 보고되는 CVE의 양이 방대해지지만, 그중 상당수는 특정 제품 구성과 관련이 없을 수 있습니다. VEX는 공급업체가 취약점에 대해 '영향 없음', '영향 있음', '수정됨' 또는 '조사 중'임을 선언하고 이에 대한 근거를 제시할 수 있도록 함으로써 이러한 격차를 해소합니다. 이러한 맥락 정보는 규정 준수, 고객 커뮤니케이션 및 효과적인 취약점 우선순위 지정에 매우 중요합니다. Keysight SBOM Manager는 VEX를 SBOM 데이터와 긴밀하게 통합하여 확장 가능하고 라이프사이클 중심의 VEX 관리를 지원합니다. 이 솔루션은 VEX 문서의 생성 및 가져오기를 모두 지원하여, 조직이 자체 VEX 성명서를 작성할 수 있을 뿐만 아니라 공급업체 및 제3자로부터 VEX 데이터를 수집할 수 있도록 합니다. 이 플랫폼은 제품 및 버전 전반에 걸쳐 SBOM 업데이트와 취약점 상태 간의 동기화를 유지하여 시간이 지나도 일관성을 보장합니다. 또한 SBOM 구성 요소를 다중 출처의 취약점 인텔리전스와 지속적으로 연계하여 새로 공개된 CVE를 식별하고, 팀이 악용 가능성을 효율적으로 평가하고 상태를 할당할 수 있도록 지원합니다. 키사이트는 VEX를 지능형 취약점 필터링 및 우선순위 지정 기능과 결합하여 CVE 관련 불필요한 정보를 줄이고, 보안 팀이 실질적인 조치 대상 위험에 집중할 수 있도록 지원합니다. 또한, VEX 문서는 제어되고 버전 관리가 되는 배포 메커니즘을 통해 SBOM과 함께 고객, 파트너 및 규제 기관과 안전하게 공유될 수 있어, 소프트웨어 공급망 라이프사이클 전반에 걸쳐 투명성, 신뢰 및 규정 준수를 향상시킵니다.

키사이트 SBOM 매니저는 SBOM 기반 분석에서 발생하는 노이즈의 근본 원인, 즉 부정확한 취약점 매핑, 불완전한 데이터 소스, 악용 가능성 컨텍스트의 부재를 해결함으로써 취약점 과부하를 줄여줍니다. 많은 도구는 National Vulnerability Database(NVD)와 같은 단일 소스에 크게 의존하고 자동화된 CPE 기반 매칭을 사용하는데, 이는 매핑의 누락, 지나치게 광범위한 범위, 또는 부정확성으로 인해 오탐(false positive)과 누락(false negative)을 모두 초래할 수 있습니다. 키사이트는 SBOM 구성 요소를 벤더 권고 사항 및 프로젝트 관리 저장소와 같은 신뢰할 수 있는 출처를 포함한 다양한 취약점 및 위협 인텔리전스 소스와 연계하고, 불일치가 발생할 경우 이를 우선순위화함으로써 이러한 문제를 해결합니다. 이를 통해 플랫폼은 취약점 데이터의 불일치를 식별하고 정확도를 크게 향상시킬 수 있습니다. 또한 키사이트 SBOM 매니저는 정밀한 버전 및 패치 수준 분석을 수행하여, 특정 구성 요소 버전에서 이미 수정된 취약점은 자동으로 제외합니다. 이를 통해 적용된 패치를 고려하지 않고 기본 버전만을 기준으로 취약점을 보고하는 일반적인 문제를 방지합니다. 노이즈를 더욱 효과적으로 제거하기 위해, 이 플랫폼은 악용 가능성에 대해 실용적이고 자동화된 접근 방식을 적용합니다. 선택된 구성 요소에 대해 고급 CVE 도달 가능성 분석을 수행하여 취약한 코드가 제품에 실제로 존재하거나 사용되는지 여부를 판단합니다. 이 분석을 바탕으로, 관련 코드가 포함되지 않은 경우 취약점을 '영향 없음(Not Affected)'으로 표시하는 등 VEX(Vulnerability Exploitability eXchange) 문장을 자동으로 생성할 수 있습니다. Keysight SBOM Manager는 다중 출처 인텔리전스, 권위 있는 검증, 패치 인식 분석, 선택적 접근성 평가 및 자동화된 VEX 생성을 결합하여 오탐(false positive)과 누락(false negative)을 획기적으로 줄입니다. 그 결과, 보안 팀이 실제 위험에 우선순위를 두고, 수동 조사 노력을 줄이며, 보안 및 규정 준수 요구 사항에 더 효율적으로 대응할 수 있도록 돕는 집중적이고 실행 가능한 취약점 보기를 제공합니다.

키사이트 SBOM 매니저는 SBOM 사용자와 자산 소유자가 정적인 SBOM의 한계를 넘어, 실제 환경에 직접적으로 매핑되는 운영 보안 인텔리전스로 전환할 수 있도록 지원합니다. 오늘날 많은 조직은 SBOM에 대한 가시성이 부족하거나, SBOM을 취약점 피드나 자산 인벤토리와 연계되지 않은 정적인 문서로 취급함으로써 그 실질적인 가치를 제한하고 있습니다. 키사이트는 공급업체가 제공한 SBOM을 수집하고, 바이너리 파일로부터 독립적으로 SBOM을 생성하며, 두 가지를 비교하여 정확성을 검증하고 숨겨지거나 누락된 구성 요소를 발견할 수 있는 중앙 집중식 플랫폼을 제공함으로써 이러한 문제를 해결합니다. 이는 “신뢰하되 검증하라(trust but verify)”는 접근 방식을 지원합니다. 이후 플랫폼은 다중 출처의 취약점 인텔리전스와 지속적인 모니터링을 통해 SBOM 데이터를 보강하여, 새로 공개된 취약점이 모든 알려진 구성 요소와 자동으로 연관되도록 보장합니다. 벤더 권고 사항과 수동 조사에 의존하여 수주 또는 수개월이 소요될 수 있는 기존 워크플로우와 달리, 키사이트는 새로운 CVE가 공개된 지 몇 초 만에 영향을 받는 구성 요소와 자산을 식별하여 실시간으로 노출을 탐지합니다. 주요 차별화 요소는 SBOM 데이터를 실제 배포된 자산에 매핑하는 기능으로, 자산 인벤토리 및 탐색 시스템과 통합되어 자산 위치, 소유권, 중요도 등의 전체적인 맥락을 제공합니다. 이를 통해 조직은 다음과 같은 중요한 질문에 즉시 답할 수 있습니다: 우리 조직이 영향을 받았는가? 어떤 자산인가? ' 어디에 위치해 있는가? ' 얼마나 중요한가? ' 키사이트 SBOM 매니저는 VEX 수집 및 관리 기능도 통합하여, 사용자가 공급업체가 제공하는 악용 가능성 컨텍스트를 적용하고 시간이 지남에 따라 초기 위험 평가를 정교화할 수 있도록 지원합니다. 자동화된 취약점 분류, 지능형 우선순위 지정, 컨텍스트 기반 경보와 결합되어 수작업 부담을 크게 줄이고 의사결정을 개선합니다. Keysight SBOM Manager는 SBOM 수집 및 생성, 지속적인 취약점 모니터링, 자산 수준 상관관계 분석, VEX 기반 컨텍스트를 통합함으로써, 자산 소유자가 지연되고 사후 대응적인 분석에서 즉각적이고 정밀하며 실행 가능한 위험 가시성으로 전환할 수 있도록 지원합니다. 이를 통해 사고 대응 속도가 빨라지고, 운영 복원력이 향상되며, NIS2 및 IEC 62443과 같은 규정을 더욱 강력하게 준수할 수 있습니다.

키사이트 SBOM 매니저는 SBOM 및 VEX 문서를 공유하기 위한 중앙 집중식, 역할 기반 액세스 및 통제된 배포 메커니즘을 제공합니다. 이 솔루션은 버전 관리, 추적성 및 안전한 액세스를 보장함으로써 수동 파일 전송의 필요성을 없애고, 조직이 규제 당국의 기대치와 투명성에 대한 고객 요구 사항을 모두 충족할 수 있도록 지원합니다.