ClickShare 취약점이 패치되었을 수도 있지만 훨씬 더 큰 문제를 숨기고 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
목차
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
