未修补的攻击呈上升趋势。是时候规划防守优势了。
这篇文章的一个版本出现在 SC 杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼给自己做了钥匙。它们四处爬行,随心所欲地来来去去,但要小心谨慎行事,以免被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,保险箱被清空了,你的个人物品被洗劫一空,为时已晚。这与组织成为零日网络攻击的受害者时面临的现实相同。2020年,Ponemon 研究所的一项研究表明 80% 的成功数据泄露 是未修补漏洞利用的结果,遗憾的是,大多数公司仍然没有能力对这一统计数据做出重大改进。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者首先进入。损害已经造成,然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势,尽可能缩小这一优势至关重要。
没人想要的节日礼物——Log4Shell——目前正在炸毁互联网,据说有超过十亿台设备受到这一灾难性Java漏洞的影响。这将是有记录以来最严重的0天攻击,而我们才刚刚开始。尽管 一些报道 表示漏洞利用是在公开披露前几天开始的, 在 2016 年黑帽大会上发表的演讲 这表明这是一个已知问题已有一段时间了。哎哟。更糟糕的是,它很容易被利用,而且这个星球上的每个剧本小伙子和威胁行为者都在用这个漏洞追逐利润。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场巨大,零日漏洞往往要花很多钱,举一个例子 在这篇文章中 在撰写本文时,上市价格为250万美元。据报道,这是苹果iOS的一个漏洞,安全研究人员的要价居高不下也就不足为奇了;毕竟,这确实可能是入侵数百万台设备、收集数十亿条敏感数据记录并在发现和修补之前尽可能长时间地进行攻击的门户。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。但是,全球政府和国防部门是可以用于威胁情报的漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就可以减轻灾难。
2021 年打破了纪录 用于实时未修补漏洞的发现,而大型组织、政府部门和基础设施最有可能被调查任何漏洞。没有办法完全免受零日攻击的可能性,但是你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩游戏”。与其等到有人在暗网市场上提供软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供道德披露和潜在修复的丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理 从 55 到 75 个工具不等 在他们的安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率, 根据一项研究 由 Ponemon 研究所提供。 另一项研究 透露,只有17%的CISO认为他们的安全堆栈 “完全有效”。
在一个以精疲力尽、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是繁重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估 Log4j 的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但是,作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能,以及何时具有足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们把这个问题带回到 Log4Shell 漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,但是,如果将库配置为对用户输入进行消毒,则可能根本不会发生这种情况。反对这样做的决定 为了增加便利性,似乎是一个不起眼的功能,但它非常容易被利用(想想 SQL 注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐、精通安全的开发人员完成的,那么这种情景很可能会得到理论和考虑。
一个好的安全计划具有情感成分,人为干预和细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也是如此。这不是开发人员应该在一夜之间陷入的困境,但这是一种明确的途径,可以将他们的技能提高到可以减轻安全团队完成这项重要任务的压力,这是理想的方式(也是建立两个团队之间融洽关系的好方法)。
零日导致 n 天
处理未修补漏洞的下一部分是尽快发布补丁,他非常希望易受攻击软件的每个用户尽快应用补丁,当然是在攻击者首先到达那里之前。使用 Log4Shell, 它可能会让 Heartbleed 黯然失色 面对它嵌入到数百万台设备中,并在整个软件版本中产生复杂的依赖关系,它的耐久性和效力都很强。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者首先进入。损害已经造成,然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势,尽可能缩小这一优势至关重要。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章的一个版本出现在 SC 杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼给自己做了钥匙。它们四处爬行,随心所欲地来来去去,但要小心谨慎行事,以免被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,保险箱被清空了,你的个人物品被洗劫一空,为时已晚。这与组织成为零日网络攻击的受害者时面临的现实相同。2020年,Ponemon 研究所的一项研究表明 80% 的成功数据泄露 是未修补漏洞利用的结果,遗憾的是,大多数公司仍然没有能力对这一统计数据做出重大改进。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者首先进入。损害已经造成,然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势,尽可能缩小这一优势至关重要。
没人想要的节日礼物——Log4Shell——目前正在炸毁互联网,据说有超过十亿台设备受到这一灾难性Java漏洞的影响。这将是有记录以来最严重的0天攻击,而我们才刚刚开始。尽管 一些报道 表示漏洞利用是在公开披露前几天开始的, 在 2016 年黑帽大会上发表的演讲 这表明这是一个已知问题已有一段时间了。哎哟。更糟糕的是,它很容易被利用,而且这个星球上的每个剧本小伙子和威胁行为者都在用这个漏洞追逐利润。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场巨大,零日漏洞往往要花很多钱,举一个例子 在这篇文章中 在撰写本文时,上市价格为250万美元。据报道,这是苹果iOS的一个漏洞,安全研究人员的要价居高不下也就不足为奇了;毕竟,这确实可能是入侵数百万台设备、收集数十亿条敏感数据记录并在发现和修补之前尽可能长时间地进行攻击的门户。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。但是,全球政府和国防部门是可以用于威胁情报的漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就可以减轻灾难。
2021 年打破了纪录 用于实时未修补漏洞的发现,而大型组织、政府部门和基础设施最有可能被调查任何漏洞。没有办法完全免受零日攻击的可能性,但是你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩游戏”。与其等到有人在暗网市场上提供软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供道德披露和潜在修复的丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理 从 55 到 75 个工具不等 在他们的安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率, 根据一项研究 由 Ponemon 研究所提供。 另一项研究 透露,只有17%的CISO认为他们的安全堆栈 “完全有效”。
在一个以精疲力尽、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是繁重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估 Log4j 的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但是,作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能,以及何时具有足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们把这个问题带回到 Log4Shell 漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,但是,如果将库配置为对用户输入进行消毒,则可能根本不会发生这种情况。反对这样做的决定 为了增加便利性,似乎是一个不起眼的功能,但它非常容易被利用(想想 SQL 注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐、精通安全的开发人员完成的,那么这种情景很可能会得到理论和考虑。
一个好的安全计划具有情感成分,人为干预和细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也是如此。这不是开发人员应该在一夜之间陷入的困境,但这是一种明确的途径,可以将他们的技能提高到可以减轻安全团队完成这项重要任务的压力,这是理想的方式(也是建立两个团队之间融洽关系的好方法)。
零日导致 n 天
处理未修补漏洞的下一部分是尽快发布补丁,他非常希望易受攻击软件的每个用户尽快应用补丁,当然是在攻击者首先到达那里之前。使用 Log4Shell, 它可能会让 Heartbleed 黯然失色 面对它嵌入到数百万台设备中,并在整个软件版本中产生复杂的依赖关系,它的耐久性和效力都很强。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
这篇文章的一个版本出现在 SC 杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼给自己做了钥匙。它们四处爬行,随心所欲地来来去去,但要小心谨慎行事,以免被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,保险箱被清空了,你的个人物品被洗劫一空,为时已晚。这与组织成为零日网络攻击的受害者时面临的现实相同。2020年,Ponemon 研究所的一项研究表明 80% 的成功数据泄露 是未修补漏洞利用的结果,遗憾的是,大多数公司仍然没有能力对这一统计数据做出重大改进。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者首先进入。损害已经造成,然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势,尽可能缩小这一优势至关重要。
没人想要的节日礼物——Log4Shell——目前正在炸毁互联网,据说有超过十亿台设备受到这一灾难性Java漏洞的影响。这将是有记录以来最严重的0天攻击,而我们才刚刚开始。尽管 一些报道 表示漏洞利用是在公开披露前几天开始的, 在 2016 年黑帽大会上发表的演讲 这表明这是一个已知问题已有一段时间了。哎哟。更糟糕的是,它很容易被利用,而且这个星球上的每个剧本小伙子和威胁行为者都在用这个漏洞追逐利润。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场巨大,零日漏洞往往要花很多钱,举一个例子 在这篇文章中 在撰写本文时,上市价格为250万美元。据报道,这是苹果iOS的一个漏洞,安全研究人员的要价居高不下也就不足为奇了;毕竟,这确实可能是入侵数百万台设备、收集数十亿条敏感数据记录并在发现和修补之前尽可能长时间地进行攻击的门户。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。但是,全球政府和国防部门是可以用于威胁情报的漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就可以减轻灾难。
2021 年打破了纪录 用于实时未修补漏洞的发现,而大型组织、政府部门和基础设施最有可能被调查任何漏洞。没有办法完全免受零日攻击的可能性,但是你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩游戏”。与其等到有人在暗网市场上提供软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供道德披露和潜在修复的丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理 从 55 到 75 个工具不等 在他们的安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率, 根据一项研究 由 Ponemon 研究所提供。 另一项研究 透露,只有17%的CISO认为他们的安全堆栈 “完全有效”。
在一个以精疲力尽、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是繁重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估 Log4j 的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但是,作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能,以及何时具有足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们把这个问题带回到 Log4Shell 漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,但是,如果将库配置为对用户输入进行消毒,则可能根本不会发生这种情况。反对这样做的决定 为了增加便利性,似乎是一个不起眼的功能,但它非常容易被利用(想想 SQL 注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐、精通安全的开发人员完成的,那么这种情景很可能会得到理论和考虑。
一个好的安全计划具有情感成分,人为干预和细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也是如此。这不是开发人员应该在一夜之间陷入的困境,但这是一种明确的途径,可以将他们的技能提高到可以减轻安全团队完成这项重要任务的压力,这是理想的方式(也是建立两个团队之间融洽关系的好方法)。
零日导致 n 天
处理未修补漏洞的下一部分是尽快发布补丁,他非常希望易受攻击软件的每个用户尽快应用补丁,当然是在攻击者首先到达那里之前。使用 Log4Shell, 它可能会让 Heartbleed 黯然失色 面对它嵌入到数百万台设备中,并在整个软件版本中产生复杂的依赖关系,它的耐久性和效力都很强。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章的一个版本出现在 SC 杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼给自己做了钥匙。它们四处爬行,随心所欲地来来去去,但要小心谨慎行事,以免被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,保险箱被清空了,你的个人物品被洗劫一空,为时已晚。这与组织成为零日网络攻击的受害者时面临的现实相同。2020年,Ponemon 研究所的一项研究表明 80% 的成功数据泄露 是未修补漏洞利用的结果,遗憾的是,大多数公司仍然没有能力对这一统计数据做出重大改进。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者首先进入。损害已经造成,然后是疯狂地争先恐后地修复软件和企业声誉损失。攻击者始终处于优势,尽可能缩小这一优势至关重要。
没人想要的节日礼物——Log4Shell——目前正在炸毁互联网,据说有超过十亿台设备受到这一灾难性Java漏洞的影响。这将是有记录以来最严重的0天攻击,而我们才刚刚开始。尽管 一些报道 表示漏洞利用是在公开披露前几天开始的, 在 2016 年黑帽大会上发表的演讲 这表明这是一个已知问题已有一段时间了。哎哟。更糟糕的是,它很容易被利用,而且这个星球上的每个剧本小伙子和威胁行为者都在用这个漏洞追逐利润。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场巨大,零日漏洞往往要花很多钱,举一个例子 在这篇文章中 在撰写本文时,上市价格为250万美元。据报道,这是苹果iOS的一个漏洞,安全研究人员的要价居高不下也就不足为奇了;毕竟,这确实可能是入侵数百万台设备、收集数十亿条敏感数据记录并在发现和修补之前尽可能长时间地进行攻击的门户。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。但是,全球政府和国防部门是可以用于威胁情报的漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就可以减轻灾难。
2021 年打破了纪录 用于实时未修补漏洞的发现,而大型组织、政府部门和基础设施最有可能被调查任何漏洞。没有办法完全免受零日攻击的可能性,但是你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩游戏”。与其等到有人在暗网市场上提供软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供道德披露和潜在修复的丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理 从 55 到 75 个工具不等 在他们的安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率, 根据一项研究 由 Ponemon 研究所提供。 另一项研究 透露,只有17%的CISO认为他们的安全堆栈 “完全有效”。
在一个以精疲力尽、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是繁重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估 Log4j 的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但是,作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能,以及何时具有足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们把这个问题带回到 Log4Shell 漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,但是,如果将库配置为对用户输入进行消毒,则可能根本不会发生这种情况。反对这样做的决定 为了增加便利性,似乎是一个不起眼的功能,但它非常容易被利用(想想 SQL 注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐、精通安全的开发人员完成的,那么这种情景很可能会得到理论和考虑。
一个好的安全计划具有情感成分,人为干预和细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也是如此。这不是开发人员应该在一夜之间陷入的困境,但这是一种明确的途径,可以将他们的技能提高到可以减轻安全团队完成这项重要任务的压力,这是理想的方式(也是建立两个团队之间融洽关系的好方法)。
零日导致 n 天
处理未修补漏洞的下一部分是尽快发布补丁,他非常希望易受攻击软件的每个用户尽快应用补丁,当然是在攻击者首先到达那里之前。使用 Log4Shell, 它可能会让 Heartbleed 黯然失色 面对它嵌入到数百万台设备中,并在整个软件版本中产生复杂的依赖关系,它的耐久性和效力都很强。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
