サイバーセキュリティの未来:今後1年間に起こらないこと
この記事のバージョンは、最初に掲載されました ダークリーディング。こちらでシンジケーション用に更新されました。
私たちの業界では、多くのセキュリティ専門家が来年のホットボタン問題を予測する習慣をつけています(私も例外ではありません)が、それだけではありません 2019年に50億件の機密データレコードが盗まれた、何を予測する方が正確だと思いました しない 2020年、あるいは実際には近い将来にサイバーセキュリティで起こるでしょう。
共同創設者のマティアス・マドゥに話を聞いて、このリストをまとめるのに少し笑いました。いくぶん気楽な見方を意図していますが、悪意のあるサイバー攻撃からすべての組織を強化するための長い道のりを振り返らせてくれます。
それでは、私たちの水晶玉を見て、私たちの予測を明らかにしましょう。次の情報は表示されません。
すべてのソフトウェアからSQLインジェクションを根絶しました
世界中のセキュリティ専門家は皆、SQLインジェクションのバグの特定に頭を悩ませることがなくなる日を待ち望んでいたと思います。
悲しいことに、私たちはこの日を20年以上待っていましたが、少なくとももう1回は待ち続けるでしょう。その脆弱性こそが ゴキブリのように、これまでのあらゆる戦術を生き延びて永久に根絶してきました。
この治療法はほぼ同じ期間前から知られているため、控えめに言ってもイライラします。しかし、ソフトウェア開発のあらゆる段階 (特に最初から) におけるセキュリティのベストプラクティスの優先順位付けは依然として低く、SQL インジェクションの発見以来のコード生成の大幅な増加を考えると、確かに不十分です。
(SQLインジェクションにつながる可能性のあるコーディングパターンについて詳しく知りたいですか?挑戦してみましょう。 ここに)。
デベロッパーとAppSecがベストフレンドになる
ああ、開発者とAppSecチーム。彼らは仲良くなるのか、それともロッキー対アポロのようなライバル生活を送る運命にあるのか?簡単に言えば、「はい」です。彼らは仲良くできますが、今のところ、彼らの優先順位は大きく異なることがよくあります。
プロジェクト環境で出会うと、意見が対立し、最後のハードル、つまりAppSecスペシャリストが開発者のコードを詳しく調べるときにぶつかります。開発者は美しく機能的な機能 (最優先事項) を構築していますが、セキュリティの脆弱性が発見されればばらばらになります。ソフトウェア・セキュリティの第一人者は、事実上、自分たちの赤ん坊を醜いと言い、開発者に戻ってバグの修正を強要し、しばしばデプロイを遅らせています。
現在の状態では、開発者とアプリケーションセキュリティチームが安全なソフトウェアの作成という共通の目標に向かって取り組むまで、この問題は解決されません。2020年にはデフォルトのプロセスとして実現することはないでしょう(そして多くの企業ではその数年後)が、DevSecOpsムーブメントの到来とその先で、開発者はセキュリティのスキルを向上させ、最初からセキュリティ目標を含むより高い水準に取り組む必要性を認識しています。
セキュリティ専門家の供給過剰
2020年、2025年、2030年... セキュリティの専門知識に関しては、世界中で人員が不足することはほぼ確実です。
ISCの報告(2)によると、周りには 293万件のサイバーセキュリティポジション 現在未入力です。状況は良くなる前に悪化することはほぼ確実で、今後数年の間に私たちの救出のために行進してくれる隠れた治安部隊は存在しません。
近い将来、このスキル不足に対処する最善のチャンスは、セキュリティを組織の優先事項とし、既存の従業員のスキルを向上させることです。そのためには、安全にコーディングするためのトレーニングとツールを開発者に提供し、全社的なセキュリティ文化を構築する必要があります。現在のアプリケーションセキュリティチームのほとんどは、おそらく既知の古いセキュリティバグ (上記のポイント 1 を参照) と戦っているでしょう。こうした一般的な問題の修正に貴重な時間と労力を費やす必要がないようにすれば、難しいセキュリティ問題 (現時点では、開発パイプラインに適合するツールの構築だけでなく、APIの問題も含まれる可能性が高い) に集中できる余裕が増えます。
生成されるコードの削減
世界は驚異的な速度でデジタル化されており、社会の需要が揺らぐことはありません。毎年、約1110億行のコードが記述されており、この数は今後も増え続け、さらに恐ろしいものとなるでしょう (いずれにしても、すでに窮地に立たされているアプリケーションセキュリティチームにとっては)。
コード量が増えると、必然的に潜在的なセキュリティの脆弱性が増えるため、2020年がソフトウェアの生産と侵害の時期が遅くなることを考えると、グランドナショナルで開催されるユニコーンレースと同じくらい現実的です。
盗まれるデータレコードの減少
すでに述べたように、コードが増えるほど脆弱性が高くなり、攻撃者がデータを盗む方法を見つける機会が増えます。
2019年には世界中で少なくとも53億件の記録が盗まれましたそして、攻撃者に対する防御はまだ少し必死で事後対応的なスクランブルです。この数字は、今後 12 か月で倍にはならないかもしれませんが、近づくと思います。
例として、米国で報告された盗難データの過去の傾向を前年比で見てみましょう。
2005年から2010年までの期間を見ると、年ごとに少し増減しながら着実に上昇しています。これは興味深いことですが、注目すべき重要な要因は、2009 年に報告された侵害件数が 2008 年と比較して急激に減少したことです。しかし、漏洩件数は少なかったものの、盗まれた記録の数は明らかに増加しています。
データレコードは新しい金であり、攻撃者にとって価値があります。このグラフは、侵害件数が全般的に増加傾向にあることを反映しています。 そして 盗まれたレコードの数。2017年にピークに達しました。2018 年に攻撃件数は、おそらくセキュリティ対策の強化により減少傾向にありましたが、取得された記録数は過去最高でした。サイバー攻撃はますます巧妙になり、大規模になり、すぐになくなることはありません。また、企業がかつてないほど多くのソフトウェアを急速に生産しているため、世界的に見ると、2020年に景気後退が見られることはまずありません。企業こそが私たちのデータの門番であり、私たちのプライバシーを保護するためにはもっと賢く取り組む必要があります。
より長く、より頻繁なビデオベースのセキュリティトレーニングを必要とする開発者
開発者が気に入っていることが1つあるとすれば、それは何時間ものコンピューターベースのトレーニング(CBT)ビデオを視聴することです。実際、このような魅力的なコンテンツに対する需要が高まっているため、Netflixは一般的なセキュリティトレーニングビデオに特化したまったく新しいサブカテゴリを発表します。
えー、いや。今じゃない、2020年じゃない、絶対に。
開発者にとって、セキュリティの導入は多くの場合、職場のコンプライアンス研修を通じて行われます。セキュアコーディングが高等教育の一部になることはめったになく、実地研修がソフトウェアセキュリティに初めて触れることもあります。そして、当然のことながら、彼らはしばしばそれが気に入らないのです。
開発者がセキュリティを真剣に受け止め、トレーニングが役に立つためには、自分の仕事に関連性があり、魅力的で、状況に応じたものでなければなりません。一回限りのコンプライアンストレーニングや、終わりのない退屈な動画は、開発者の心に届く方法ではなく、脆弱性を減らすことにもなりません。
開発者コホートに一般的な脆弱性に対するセキュリティ意識の高い防御力になってもらいたい場合は、実際のコード例、つまり日常業務で出くわすようなコード例を使って作業してもらう必要があります。学習内容を一口サイズにまとめ、簡単に構築できるようにし、楽しい気持ちでやる気を引き出しましょう。セキュリティ文化が繁栄するためには、ポジティブで魅力的であり、組織全体で実際のスキルとソリューションを身に付ける必要があります。
誰が知っている?適切なトレーニングを受ければ、開発者は自分の内なるセキュリティチャンピオンに気づき、セキュアコーディングのメリットを広く広めることができるかもしれません。
サイバーセキュリティ関連のインシデントによる死亡者数ゼロ
さて、これは明らかに笑い事ではありません。サイバー攻撃関連の事件で人々が死に始めるまで、世界はサイバーセキュリティに関心を示さないと何度も言ってきました。
問題は、これがすでに起こっていて、ほとんど気付かれなかったことです。
米国の病院に対するサイバー攻撃 2019年の心臓発作による死亡者数の増加と関連していますもちろん、攻撃者が患者に致命的な心臓疾患を引き起こすことはありませんでしたが、ランサムウェアによる病院のシステムや設備への攻撃は、救命救急の治療時間を遅らせました。
これ 調査 セントラルフロリダ大学は3000の病院を分析し、そのうち311の病院がデータ侵害を経験しました。セキュリティインシデントの影響を受けた病院では、心臓発作の疑いのある被害者に心電図を送るまでに平均2.7分長くかかりました。これはおそらく、手続きの変更、新たに導入されたセキュリティ対策、ITサポートの問題により、以前よりも時間がかかったことが原因と考えられます。心臓発作の特定と治療は時間との戦いであり、これらの病院では、年間平均で心臓発作10,000件あたり36人が死亡しています。
これは衝撃的ですし、残念ながら良くなる前に悪くなると思います。これは、ソフトウェア・セキュリティを強化し、あらゆるビジネスにおいてソフトウェア・セキュリティを念頭に置くために、私たち全員がもっと取り組む必要があることをはっきりと思い出させるはずです。
「フード付きハッカー」のストック画像が少ない
画像検索に「ハッカー」と入力すると、必然的に、フード付きの顔のない人物がラップトップに向かってタイプしている画像や、ガイ・フォークスのマスクをかぶった同様の人物の画像が何千枚も見つかります。
このようなハッカーのステレオタイプ的なイメージは本当に飽きてきていて、まあ、誰もが悪者のように見えてしまいます。セキュリティには善良な男も女もたくさんいて、「ハッカー」のイメージにまつわる否定的な意味合いは誰にとっても不利益になります。
これはすぐに変わると思いますか?おそらくないだろうが、夢を見るのはいいことだ。今のところ、それを覚えておくことが大切です。 セキュリティを怖がる必要はありません。
私たちの業界では、多くのセキュリティ専門家が、今年発生する可能性のある問題の予測を開始していますが、2019年には50億件を超える機密データレコードが盗まれたことを踏まえ、近い将来、サイバーセキュリティで何が起こらないかを予測する方が正確であることがわかりました。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
この記事のバージョンは、最初に掲載されました ダークリーディング。こちらでシンジケーション用に更新されました。
私たちの業界では、多くのセキュリティ専門家が来年のホットボタン問題を予測する習慣をつけています(私も例外ではありません)が、それだけではありません 2019年に50億件の機密データレコードが盗まれた、何を予測する方が正確だと思いました しない 2020年、あるいは実際には近い将来にサイバーセキュリティで起こるでしょう。
共同創設者のマティアス・マドゥに話を聞いて、このリストをまとめるのに少し笑いました。いくぶん気楽な見方を意図していますが、悪意のあるサイバー攻撃からすべての組織を強化するための長い道のりを振り返らせてくれます。
それでは、私たちの水晶玉を見て、私たちの予測を明らかにしましょう。次の情報は表示されません。
すべてのソフトウェアからSQLインジェクションを根絶しました
世界中のセキュリティ専門家は皆、SQLインジェクションのバグの特定に頭を悩ませることがなくなる日を待ち望んでいたと思います。
悲しいことに、私たちはこの日を20年以上待っていましたが、少なくとももう1回は待ち続けるでしょう。その脆弱性こそが ゴキブリのように、これまでのあらゆる戦術を生き延びて永久に根絶してきました。
この治療法はほぼ同じ期間前から知られているため、控えめに言ってもイライラします。しかし、ソフトウェア開発のあらゆる段階 (特に最初から) におけるセキュリティのベストプラクティスの優先順位付けは依然として低く、SQL インジェクションの発見以来のコード生成の大幅な増加を考えると、確かに不十分です。
(SQLインジェクションにつながる可能性のあるコーディングパターンについて詳しく知りたいですか?挑戦してみましょう。 ここに)。
デベロッパーとAppSecがベストフレンドになる
ああ、開発者とAppSecチーム。彼らは仲良くなるのか、それともロッキー対アポロのようなライバル生活を送る運命にあるのか?簡単に言えば、「はい」です。彼らは仲良くできますが、今のところ、彼らの優先順位は大きく異なることがよくあります。
プロジェクト環境で出会うと、意見が対立し、最後のハードル、つまりAppSecスペシャリストが開発者のコードを詳しく調べるときにぶつかります。開発者は美しく機能的な機能 (最優先事項) を構築していますが、セキュリティの脆弱性が発見されればばらばらになります。ソフトウェア・セキュリティの第一人者は、事実上、自分たちの赤ん坊を醜いと言い、開発者に戻ってバグの修正を強要し、しばしばデプロイを遅らせています。
現在の状態では、開発者とアプリケーションセキュリティチームが安全なソフトウェアの作成という共通の目標に向かって取り組むまで、この問題は解決されません。2020年にはデフォルトのプロセスとして実現することはないでしょう(そして多くの企業ではその数年後)が、DevSecOpsムーブメントの到来とその先で、開発者はセキュリティのスキルを向上させ、最初からセキュリティ目標を含むより高い水準に取り組む必要性を認識しています。
セキュリティ専門家の供給過剰
2020年、2025年、2030年... セキュリティの専門知識に関しては、世界中で人員が不足することはほぼ確実です。
ISCの報告(2)によると、周りには 293万件のサイバーセキュリティポジション 現在未入力です。状況は良くなる前に悪化することはほぼ確実で、今後数年の間に私たちの救出のために行進してくれる隠れた治安部隊は存在しません。
近い将来、このスキル不足に対処する最善のチャンスは、セキュリティを組織の優先事項とし、既存の従業員のスキルを向上させることです。そのためには、安全にコーディングするためのトレーニングとツールを開発者に提供し、全社的なセキュリティ文化を構築する必要があります。現在のアプリケーションセキュリティチームのほとんどは、おそらく既知の古いセキュリティバグ (上記のポイント 1 を参照) と戦っているでしょう。こうした一般的な問題の修正に貴重な時間と労力を費やす必要がないようにすれば、難しいセキュリティ問題 (現時点では、開発パイプラインに適合するツールの構築だけでなく、APIの問題も含まれる可能性が高い) に集中できる余裕が増えます。
生成されるコードの削減
世界は驚異的な速度でデジタル化されており、社会の需要が揺らぐことはありません。毎年、約1110億行のコードが記述されており、この数は今後も増え続け、さらに恐ろしいものとなるでしょう (いずれにしても、すでに窮地に立たされているアプリケーションセキュリティチームにとっては)。
コード量が増えると、必然的に潜在的なセキュリティの脆弱性が増えるため、2020年がソフトウェアの生産と侵害の時期が遅くなることを考えると、グランドナショナルで開催されるユニコーンレースと同じくらい現実的です。
盗まれるデータレコードの減少
すでに述べたように、コードが増えるほど脆弱性が高くなり、攻撃者がデータを盗む方法を見つける機会が増えます。
2019年には世界中で少なくとも53億件の記録が盗まれましたそして、攻撃者に対する防御はまだ少し必死で事後対応的なスクランブルです。この数字は、今後 12 か月で倍にはならないかもしれませんが、近づくと思います。
例として、米国で報告された盗難データの過去の傾向を前年比で見てみましょう。
2005年から2010年までの期間を見ると、年ごとに少し増減しながら着実に上昇しています。これは興味深いことですが、注目すべき重要な要因は、2009 年に報告された侵害件数が 2008 年と比較して急激に減少したことです。しかし、漏洩件数は少なかったものの、盗まれた記録の数は明らかに増加しています。
データレコードは新しい金であり、攻撃者にとって価値があります。このグラフは、侵害件数が全般的に増加傾向にあることを反映しています。 そして 盗まれたレコードの数。2017年にピークに達しました。2018 年に攻撃件数は、おそらくセキュリティ対策の強化により減少傾向にありましたが、取得された記録数は過去最高でした。サイバー攻撃はますます巧妙になり、大規模になり、すぐになくなることはありません。また、企業がかつてないほど多くのソフトウェアを急速に生産しているため、世界的に見ると、2020年に景気後退が見られることはまずありません。企業こそが私たちのデータの門番であり、私たちのプライバシーを保護するためにはもっと賢く取り組む必要があります。
より長く、より頻繁なビデオベースのセキュリティトレーニングを必要とする開発者
開発者が気に入っていることが1つあるとすれば、それは何時間ものコンピューターベースのトレーニング(CBT)ビデオを視聴することです。実際、このような魅力的なコンテンツに対する需要が高まっているため、Netflixは一般的なセキュリティトレーニングビデオに特化したまったく新しいサブカテゴリを発表します。
えー、いや。今じゃない、2020年じゃない、絶対に。
開発者にとって、セキュリティの導入は多くの場合、職場のコンプライアンス研修を通じて行われます。セキュアコーディングが高等教育の一部になることはめったになく、実地研修がソフトウェアセキュリティに初めて触れることもあります。そして、当然のことながら、彼らはしばしばそれが気に入らないのです。
開発者がセキュリティを真剣に受け止め、トレーニングが役に立つためには、自分の仕事に関連性があり、魅力的で、状況に応じたものでなければなりません。一回限りのコンプライアンストレーニングや、終わりのない退屈な動画は、開発者の心に届く方法ではなく、脆弱性を減らすことにもなりません。
開発者コホートに一般的な脆弱性に対するセキュリティ意識の高い防御力になってもらいたい場合は、実際のコード例、つまり日常業務で出くわすようなコード例を使って作業してもらう必要があります。学習内容を一口サイズにまとめ、簡単に構築できるようにし、楽しい気持ちでやる気を引き出しましょう。セキュリティ文化が繁栄するためには、ポジティブで魅力的であり、組織全体で実際のスキルとソリューションを身に付ける必要があります。
誰が知っている?適切なトレーニングを受ければ、開発者は自分の内なるセキュリティチャンピオンに気づき、セキュアコーディングのメリットを広く広めることができるかもしれません。
サイバーセキュリティ関連のインシデントによる死亡者数ゼロ
さて、これは明らかに笑い事ではありません。サイバー攻撃関連の事件で人々が死に始めるまで、世界はサイバーセキュリティに関心を示さないと何度も言ってきました。
問題は、これがすでに起こっていて、ほとんど気付かれなかったことです。
米国の病院に対するサイバー攻撃 2019年の心臓発作による死亡者数の増加と関連していますもちろん、攻撃者が患者に致命的な心臓疾患を引き起こすことはありませんでしたが、ランサムウェアによる病院のシステムや設備への攻撃は、救命救急の治療時間を遅らせました。
これ 調査 セントラルフロリダ大学は3000の病院を分析し、そのうち311の病院がデータ侵害を経験しました。セキュリティインシデントの影響を受けた病院では、心臓発作の疑いのある被害者に心電図を送るまでに平均2.7分長くかかりました。これはおそらく、手続きの変更、新たに導入されたセキュリティ対策、ITサポートの問題により、以前よりも時間がかかったことが原因と考えられます。心臓発作の特定と治療は時間との戦いであり、これらの病院では、年間平均で心臓発作10,000件あたり36人が死亡しています。
これは衝撃的ですし、残念ながら良くなる前に悪くなると思います。これは、ソフトウェア・セキュリティを強化し、あらゆるビジネスにおいてソフトウェア・セキュリティを念頭に置くために、私たち全員がもっと取り組む必要があることをはっきりと思い出させるはずです。
「フード付きハッカー」のストック画像が少ない
画像検索に「ハッカー」と入力すると、必然的に、フード付きの顔のない人物がラップトップに向かってタイプしている画像や、ガイ・フォークスのマスクをかぶった同様の人物の画像が何千枚も見つかります。
このようなハッカーのステレオタイプ的なイメージは本当に飽きてきていて、まあ、誰もが悪者のように見えてしまいます。セキュリティには善良な男も女もたくさんいて、「ハッカー」のイメージにまつわる否定的な意味合いは誰にとっても不利益になります。
これはすぐに変わると思いますか?おそらくないだろうが、夢を見るのはいいことだ。今のところ、それを覚えておくことが大切です。 セキュリティを怖がる必要はありません。
この記事のバージョンは、最初に掲載されました ダークリーディング。こちらでシンジケーション用に更新されました。
私たちの業界では、多くのセキュリティ専門家が来年のホットボタン問題を予測する習慣をつけています(私も例外ではありません)が、それだけではありません 2019年に50億件の機密データレコードが盗まれた、何を予測する方が正確だと思いました しない 2020年、あるいは実際には近い将来にサイバーセキュリティで起こるでしょう。
共同創設者のマティアス・マドゥに話を聞いて、このリストをまとめるのに少し笑いました。いくぶん気楽な見方を意図していますが、悪意のあるサイバー攻撃からすべての組織を強化するための長い道のりを振り返らせてくれます。
それでは、私たちの水晶玉を見て、私たちの予測を明らかにしましょう。次の情報は表示されません。
すべてのソフトウェアからSQLインジェクションを根絶しました
世界中のセキュリティ専門家は皆、SQLインジェクションのバグの特定に頭を悩ませることがなくなる日を待ち望んでいたと思います。
悲しいことに、私たちはこの日を20年以上待っていましたが、少なくとももう1回は待ち続けるでしょう。その脆弱性こそが ゴキブリのように、これまでのあらゆる戦術を生き延びて永久に根絶してきました。
この治療法はほぼ同じ期間前から知られているため、控えめに言ってもイライラします。しかし、ソフトウェア開発のあらゆる段階 (特に最初から) におけるセキュリティのベストプラクティスの優先順位付けは依然として低く、SQL インジェクションの発見以来のコード生成の大幅な増加を考えると、確かに不十分です。
(SQLインジェクションにつながる可能性のあるコーディングパターンについて詳しく知りたいですか?挑戦してみましょう。 ここに)。
デベロッパーとAppSecがベストフレンドになる
ああ、開発者とAppSecチーム。彼らは仲良くなるのか、それともロッキー対アポロのようなライバル生活を送る運命にあるのか?簡単に言えば、「はい」です。彼らは仲良くできますが、今のところ、彼らの優先順位は大きく異なることがよくあります。
プロジェクト環境で出会うと、意見が対立し、最後のハードル、つまりAppSecスペシャリストが開発者のコードを詳しく調べるときにぶつかります。開発者は美しく機能的な機能 (最優先事項) を構築していますが、セキュリティの脆弱性が発見されればばらばらになります。ソフトウェア・セキュリティの第一人者は、事実上、自分たちの赤ん坊を醜いと言い、開発者に戻ってバグの修正を強要し、しばしばデプロイを遅らせています。
現在の状態では、開発者とアプリケーションセキュリティチームが安全なソフトウェアの作成という共通の目標に向かって取り組むまで、この問題は解決されません。2020年にはデフォルトのプロセスとして実現することはないでしょう(そして多くの企業ではその数年後)が、DevSecOpsムーブメントの到来とその先で、開発者はセキュリティのスキルを向上させ、最初からセキュリティ目標を含むより高い水準に取り組む必要性を認識しています。
セキュリティ専門家の供給過剰
2020年、2025年、2030年... セキュリティの専門知識に関しては、世界中で人員が不足することはほぼ確実です。
ISCの報告(2)によると、周りには 293万件のサイバーセキュリティポジション 現在未入力です。状況は良くなる前に悪化することはほぼ確実で、今後数年の間に私たちの救出のために行進してくれる隠れた治安部隊は存在しません。
近い将来、このスキル不足に対処する最善のチャンスは、セキュリティを組織の優先事項とし、既存の従業員のスキルを向上させることです。そのためには、安全にコーディングするためのトレーニングとツールを開発者に提供し、全社的なセキュリティ文化を構築する必要があります。現在のアプリケーションセキュリティチームのほとんどは、おそらく既知の古いセキュリティバグ (上記のポイント 1 を参照) と戦っているでしょう。こうした一般的な問題の修正に貴重な時間と労力を費やす必要がないようにすれば、難しいセキュリティ問題 (現時点では、開発パイプラインに適合するツールの構築だけでなく、APIの問題も含まれる可能性が高い) に集中できる余裕が増えます。
生成されるコードの削減
世界は驚異的な速度でデジタル化されており、社会の需要が揺らぐことはありません。毎年、約1110億行のコードが記述されており、この数は今後も増え続け、さらに恐ろしいものとなるでしょう (いずれにしても、すでに窮地に立たされているアプリケーションセキュリティチームにとっては)。
コード量が増えると、必然的に潜在的なセキュリティの脆弱性が増えるため、2020年がソフトウェアの生産と侵害の時期が遅くなることを考えると、グランドナショナルで開催されるユニコーンレースと同じくらい現実的です。
盗まれるデータレコードの減少
すでに述べたように、コードが増えるほど脆弱性が高くなり、攻撃者がデータを盗む方法を見つける機会が増えます。
2019年には世界中で少なくとも53億件の記録が盗まれましたそして、攻撃者に対する防御はまだ少し必死で事後対応的なスクランブルです。この数字は、今後 12 か月で倍にはならないかもしれませんが、近づくと思います。
例として、米国で報告された盗難データの過去の傾向を前年比で見てみましょう。
2005年から2010年までの期間を見ると、年ごとに少し増減しながら着実に上昇しています。これは興味深いことですが、注目すべき重要な要因は、2009 年に報告された侵害件数が 2008 年と比較して急激に減少したことです。しかし、漏洩件数は少なかったものの、盗まれた記録の数は明らかに増加しています。
データレコードは新しい金であり、攻撃者にとって価値があります。このグラフは、侵害件数が全般的に増加傾向にあることを反映しています。 そして 盗まれたレコードの数。2017年にピークに達しました。2018 年に攻撃件数は、おそらくセキュリティ対策の強化により減少傾向にありましたが、取得された記録数は過去最高でした。サイバー攻撃はますます巧妙になり、大規模になり、すぐになくなることはありません。また、企業がかつてないほど多くのソフトウェアを急速に生産しているため、世界的に見ると、2020年に景気後退が見られることはまずありません。企業こそが私たちのデータの門番であり、私たちのプライバシーを保護するためにはもっと賢く取り組む必要があります。
より長く、より頻繁なビデオベースのセキュリティトレーニングを必要とする開発者
開発者が気に入っていることが1つあるとすれば、それは何時間ものコンピューターベースのトレーニング(CBT)ビデオを視聴することです。実際、このような魅力的なコンテンツに対する需要が高まっているため、Netflixは一般的なセキュリティトレーニングビデオに特化したまったく新しいサブカテゴリを発表します。
えー、いや。今じゃない、2020年じゃない、絶対に。
開発者にとって、セキュリティの導入は多くの場合、職場のコンプライアンス研修を通じて行われます。セキュアコーディングが高等教育の一部になることはめったになく、実地研修がソフトウェアセキュリティに初めて触れることもあります。そして、当然のことながら、彼らはしばしばそれが気に入らないのです。
開発者がセキュリティを真剣に受け止め、トレーニングが役に立つためには、自分の仕事に関連性があり、魅力的で、状況に応じたものでなければなりません。一回限りのコンプライアンストレーニングや、終わりのない退屈な動画は、開発者の心に届く方法ではなく、脆弱性を減らすことにもなりません。
開発者コホートに一般的な脆弱性に対するセキュリティ意識の高い防御力になってもらいたい場合は、実際のコード例、つまり日常業務で出くわすようなコード例を使って作業してもらう必要があります。学習内容を一口サイズにまとめ、簡単に構築できるようにし、楽しい気持ちでやる気を引き出しましょう。セキュリティ文化が繁栄するためには、ポジティブで魅力的であり、組織全体で実際のスキルとソリューションを身に付ける必要があります。
誰が知っている?適切なトレーニングを受ければ、開発者は自分の内なるセキュリティチャンピオンに気づき、セキュアコーディングのメリットを広く広めることができるかもしれません。
サイバーセキュリティ関連のインシデントによる死亡者数ゼロ
さて、これは明らかに笑い事ではありません。サイバー攻撃関連の事件で人々が死に始めるまで、世界はサイバーセキュリティに関心を示さないと何度も言ってきました。
問題は、これがすでに起こっていて、ほとんど気付かれなかったことです。
米国の病院に対するサイバー攻撃 2019年の心臓発作による死亡者数の増加と関連していますもちろん、攻撃者が患者に致命的な心臓疾患を引き起こすことはありませんでしたが、ランサムウェアによる病院のシステムや設備への攻撃は、救命救急の治療時間を遅らせました。
これ 調査 セントラルフロリダ大学は3000の病院を分析し、そのうち311の病院がデータ侵害を経験しました。セキュリティインシデントの影響を受けた病院では、心臓発作の疑いのある被害者に心電図を送るまでに平均2.7分長くかかりました。これはおそらく、手続きの変更、新たに導入されたセキュリティ対策、ITサポートの問題により、以前よりも時間がかかったことが原因と考えられます。心臓発作の特定と治療は時間との戦いであり、これらの病院では、年間平均で心臓発作10,000件あたり36人が死亡しています。
これは衝撃的ですし、残念ながら良くなる前に悪くなると思います。これは、ソフトウェア・セキュリティを強化し、あらゆるビジネスにおいてソフトウェア・セキュリティを念頭に置くために、私たち全員がもっと取り組む必要があることをはっきりと思い出させるはずです。
「フード付きハッカー」のストック画像が少ない
画像検索に「ハッカー」と入力すると、必然的に、フード付きの顔のない人物がラップトップに向かってタイプしている画像や、ガイ・フォークスのマスクをかぶった同様の人物の画像が何千枚も見つかります。
このようなハッカーのステレオタイプ的なイメージは本当に飽きてきていて、まあ、誰もが悪者のように見えてしまいます。セキュリティには善良な男も女もたくさんいて、「ハッカー」のイメージにまつわる否定的な意味合いは誰にとっても不利益になります。
これはすぐに変わると思いますか?おそらくないだろうが、夢を見るのはいいことだ。今のところ、それを覚えておくことが大切です。 セキュリティを怖がる必要はありません。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
この記事のバージョンは、最初に掲載されました ダークリーディング。こちらでシンジケーション用に更新されました。
私たちの業界では、多くのセキュリティ専門家が来年のホットボタン問題を予測する習慣をつけています(私も例外ではありません)が、それだけではありません 2019年に50億件の機密データレコードが盗まれた、何を予測する方が正確だと思いました しない 2020年、あるいは実際には近い将来にサイバーセキュリティで起こるでしょう。
共同創設者のマティアス・マドゥに話を聞いて、このリストをまとめるのに少し笑いました。いくぶん気楽な見方を意図していますが、悪意のあるサイバー攻撃からすべての組織を強化するための長い道のりを振り返らせてくれます。
それでは、私たちの水晶玉を見て、私たちの予測を明らかにしましょう。次の情報は表示されません。
すべてのソフトウェアからSQLインジェクションを根絶しました
世界中のセキュリティ専門家は皆、SQLインジェクションのバグの特定に頭を悩ませることがなくなる日を待ち望んでいたと思います。
悲しいことに、私たちはこの日を20年以上待っていましたが、少なくとももう1回は待ち続けるでしょう。その脆弱性こそが ゴキブリのように、これまでのあらゆる戦術を生き延びて永久に根絶してきました。
この治療法はほぼ同じ期間前から知られているため、控えめに言ってもイライラします。しかし、ソフトウェア開発のあらゆる段階 (特に最初から) におけるセキュリティのベストプラクティスの優先順位付けは依然として低く、SQL インジェクションの発見以来のコード生成の大幅な増加を考えると、確かに不十分です。
(SQLインジェクションにつながる可能性のあるコーディングパターンについて詳しく知りたいですか?挑戦してみましょう。 ここに)。
デベロッパーとAppSecがベストフレンドになる
ああ、開発者とAppSecチーム。彼らは仲良くなるのか、それともロッキー対アポロのようなライバル生活を送る運命にあるのか?簡単に言えば、「はい」です。彼らは仲良くできますが、今のところ、彼らの優先順位は大きく異なることがよくあります。
プロジェクト環境で出会うと、意見が対立し、最後のハードル、つまりAppSecスペシャリストが開発者のコードを詳しく調べるときにぶつかります。開発者は美しく機能的な機能 (最優先事項) を構築していますが、セキュリティの脆弱性が発見されればばらばらになります。ソフトウェア・セキュリティの第一人者は、事実上、自分たちの赤ん坊を醜いと言い、開発者に戻ってバグの修正を強要し、しばしばデプロイを遅らせています。
現在の状態では、開発者とアプリケーションセキュリティチームが安全なソフトウェアの作成という共通の目標に向かって取り組むまで、この問題は解決されません。2020年にはデフォルトのプロセスとして実現することはないでしょう(そして多くの企業ではその数年後)が、DevSecOpsムーブメントの到来とその先で、開発者はセキュリティのスキルを向上させ、最初からセキュリティ目標を含むより高い水準に取り組む必要性を認識しています。
セキュリティ専門家の供給過剰
2020年、2025年、2030年... セキュリティの専門知識に関しては、世界中で人員が不足することはほぼ確実です。
ISCの報告(2)によると、周りには 293万件のサイバーセキュリティポジション 現在未入力です。状況は良くなる前に悪化することはほぼ確実で、今後数年の間に私たちの救出のために行進してくれる隠れた治安部隊は存在しません。
近い将来、このスキル不足に対処する最善のチャンスは、セキュリティを組織の優先事項とし、既存の従業員のスキルを向上させることです。そのためには、安全にコーディングするためのトレーニングとツールを開発者に提供し、全社的なセキュリティ文化を構築する必要があります。現在のアプリケーションセキュリティチームのほとんどは、おそらく既知の古いセキュリティバグ (上記のポイント 1 を参照) と戦っているでしょう。こうした一般的な問題の修正に貴重な時間と労力を費やす必要がないようにすれば、難しいセキュリティ問題 (現時点では、開発パイプラインに適合するツールの構築だけでなく、APIの問題も含まれる可能性が高い) に集中できる余裕が増えます。
生成されるコードの削減
世界は驚異的な速度でデジタル化されており、社会の需要が揺らぐことはありません。毎年、約1110億行のコードが記述されており、この数は今後も増え続け、さらに恐ろしいものとなるでしょう (いずれにしても、すでに窮地に立たされているアプリケーションセキュリティチームにとっては)。
コード量が増えると、必然的に潜在的なセキュリティの脆弱性が増えるため、2020年がソフトウェアの生産と侵害の時期が遅くなることを考えると、グランドナショナルで開催されるユニコーンレースと同じくらい現実的です。
盗まれるデータレコードの減少
すでに述べたように、コードが増えるほど脆弱性が高くなり、攻撃者がデータを盗む方法を見つける機会が増えます。
2019年には世界中で少なくとも53億件の記録が盗まれましたそして、攻撃者に対する防御はまだ少し必死で事後対応的なスクランブルです。この数字は、今後 12 か月で倍にはならないかもしれませんが、近づくと思います。
例として、米国で報告された盗難データの過去の傾向を前年比で見てみましょう。
2005年から2010年までの期間を見ると、年ごとに少し増減しながら着実に上昇しています。これは興味深いことですが、注目すべき重要な要因は、2009 年に報告された侵害件数が 2008 年と比較して急激に減少したことです。しかし、漏洩件数は少なかったものの、盗まれた記録の数は明らかに増加しています。
データレコードは新しい金であり、攻撃者にとって価値があります。このグラフは、侵害件数が全般的に増加傾向にあることを反映しています。 そして 盗まれたレコードの数。2017年にピークに達しました。2018 年に攻撃件数は、おそらくセキュリティ対策の強化により減少傾向にありましたが、取得された記録数は過去最高でした。サイバー攻撃はますます巧妙になり、大規模になり、すぐになくなることはありません。また、企業がかつてないほど多くのソフトウェアを急速に生産しているため、世界的に見ると、2020年に景気後退が見られることはまずありません。企業こそが私たちのデータの門番であり、私たちのプライバシーを保護するためにはもっと賢く取り組む必要があります。
より長く、より頻繁なビデオベースのセキュリティトレーニングを必要とする開発者
開発者が気に入っていることが1つあるとすれば、それは何時間ものコンピューターベースのトレーニング(CBT)ビデオを視聴することです。実際、このような魅力的なコンテンツに対する需要が高まっているため、Netflixは一般的なセキュリティトレーニングビデオに特化したまったく新しいサブカテゴリを発表します。
えー、いや。今じゃない、2020年じゃない、絶対に。
開発者にとって、セキュリティの導入は多くの場合、職場のコンプライアンス研修を通じて行われます。セキュアコーディングが高等教育の一部になることはめったになく、実地研修がソフトウェアセキュリティに初めて触れることもあります。そして、当然のことながら、彼らはしばしばそれが気に入らないのです。
開発者がセキュリティを真剣に受け止め、トレーニングが役に立つためには、自分の仕事に関連性があり、魅力的で、状況に応じたものでなければなりません。一回限りのコンプライアンストレーニングや、終わりのない退屈な動画は、開発者の心に届く方法ではなく、脆弱性を減らすことにもなりません。
開発者コホートに一般的な脆弱性に対するセキュリティ意識の高い防御力になってもらいたい場合は、実際のコード例、つまり日常業務で出くわすようなコード例を使って作業してもらう必要があります。学習内容を一口サイズにまとめ、簡単に構築できるようにし、楽しい気持ちでやる気を引き出しましょう。セキュリティ文化が繁栄するためには、ポジティブで魅力的であり、組織全体で実際のスキルとソリューションを身に付ける必要があります。
誰が知っている?適切なトレーニングを受ければ、開発者は自分の内なるセキュリティチャンピオンに気づき、セキュアコーディングのメリットを広く広めることができるかもしれません。
サイバーセキュリティ関連のインシデントによる死亡者数ゼロ
さて、これは明らかに笑い事ではありません。サイバー攻撃関連の事件で人々が死に始めるまで、世界はサイバーセキュリティに関心を示さないと何度も言ってきました。
問題は、これがすでに起こっていて、ほとんど気付かれなかったことです。
米国の病院に対するサイバー攻撃 2019年の心臓発作による死亡者数の増加と関連していますもちろん、攻撃者が患者に致命的な心臓疾患を引き起こすことはありませんでしたが、ランサムウェアによる病院のシステムや設備への攻撃は、救命救急の治療時間を遅らせました。
これ 調査 セントラルフロリダ大学は3000の病院を分析し、そのうち311の病院がデータ侵害を経験しました。セキュリティインシデントの影響を受けた病院では、心臓発作の疑いのある被害者に心電図を送るまでに平均2.7分長くかかりました。これはおそらく、手続きの変更、新たに導入されたセキュリティ対策、ITサポートの問題により、以前よりも時間がかかったことが原因と考えられます。心臓発作の特定と治療は時間との戦いであり、これらの病院では、年間平均で心臓発作10,000件あたり36人が死亡しています。
これは衝撃的ですし、残念ながら良くなる前に悪くなると思います。これは、ソフトウェア・セキュリティを強化し、あらゆるビジネスにおいてソフトウェア・セキュリティを念頭に置くために、私たち全員がもっと取り組む必要があることをはっきりと思い出させるはずです。
「フード付きハッカー」のストック画像が少ない
画像検索に「ハッカー」と入力すると、必然的に、フード付きの顔のない人物がラップトップに向かってタイプしている画像や、ガイ・フォークスのマスクをかぶった同様の人物の画像が何千枚も見つかります。
このようなハッカーのステレオタイプ的なイメージは本当に飽きてきていて、まあ、誰もが悪者のように見えてしまいます。セキュリティには善良な男も女もたくさんいて、「ハッカー」のイメージにまつわる否定的な意味合いは誰にとっても不利益になります。
これはすぐに変わると思いますか?おそらくないだろうが、夢を見るのはいいことだ。今のところ、それを覚えておくことが大切です。 セキュリティを怖がる必要はありません。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
