驱动 Web 应用程序安全漏洞的被遗忘的人为因素
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
