Blog

为什么 SQL 注入是 AppSec 世界的蟑螂(以及 CISO 如何一劳永逸地根除它们)

September 26, 2018
Matias Madou, Ph.D.

有一种众所周知的理论认为,蟑螂基本上可以在任何情况下存活下来,即使是核爆炸也是如此。尽管这种理论在一定程度上是正确的,但它们简单的身体构成使它们对自己的体型极其耐寒,在大多数条件下也很难消除。

我一直在想... 如果蟑螂在数字世界中有类似的漏洞,那一定是代码中的 SQL 注入 (SQLi) 漏洞。二十多年来,这一漏洞一直是众所周知的,但组织一次又一次地成为其受害者。广泛的, 对目标的攻击代价高昂 是 SQL 注入的结果,就像一个例子一样 选举黑客攻击 在伊利诺伊州,有20万份选民记录被泄露,这促使联邦调查局建议所有IT管理员迅速采取行动加强安全措施。

Imperva的 黑客情报倡议报告 透露,在2005年至2011年之间,在所有报告的数据泄露中,有83%使用了SQLi攻击。今天,注入漏洞仍然是美国的头号威胁 OWASP 前 10 名。它们相对简单,但它们根本不会死。

在大量应用程序安全扫描中仍然出现同样的漏洞,这似乎很荒谬。我们知道它是如何运作的,我们知道如何阻止它。这怎么可能?事实是,我们的软件安全性还有很大的改进余地。

Veracode 的 软件安全状况报告 -基于2017年的40万次应用程序扫描” 显示了一个令人震惊的统计数据:只有30%的应用程序通过了OWASP前十名政策。在过去五年中,这一直是一个始终如一的主题,近三分之一的新扫描应用程序中出现了 SQL 注入。这是一个普遍存在的问题的证据;我们没有从错误中吸取教训,首席信息安全官在招聘足够的安全人才方面似乎面临着艰苦的战斗。通常,AppSec 专家与开发人员的比例不足 1:100。

为什么软件安全是生命支持?

专业安全人才稀缺已经不是什么秘密了,但我们还必须注意这样一个事实,即开发人员没有在出现问题时修复问题,而且一开始显然没有能力不引入漏洞。在同一份Veracode报告中,据透露,在所有开发漏洞中,仅有14.4%的缓解措施已记录在案。换句话说,大多数漏洞是在没有开发缓解措施的情况下提交的。不到三分之一的漏洞在最初的90天内被关闭,42%的漏洞在开发期间从未关闭过。

我一直在与安全专业人员、首席信息安全官和首席执行官交谈,有趣的是,我意识到许多公司对发现的无法缓解的漏洞(还有被称为误报的祸害)感到非常沮丧,以至于他们完全停止扫描这些漏洞,交叉手画脚,希望得到最好的结果。

为什么 AppSec 专业人员让这种情况发生?

毫无疑问:AppSec 的人们痛苦地意识到代码中的问题。毕竟,这是他们的核心技能之一,使他们成为如此宝贵的团队资源。但是,它们往往受到多种因素的阻碍。

例如,AppSec 经理会发现问题并询问开发人员:“你能修复代码吗?”。这个重要问题的答案因组织而异,但总的来说,开发人员在满足严格的功能交付冲刺时非常紧张,以至于他们根本没有时间解决这些问题,也没有像样的工具来帮助他们。AppSec 专业人员自己也许能够识别漏洞,但他们通常不具备现场修复漏洞的技能和/或权限。

我们还必须认识到,对于每个问题,都有一个过程,需要找到解决方案,实施它,然后进行测试。即使在代码中发现最轻微的问题,修复所需的时间也是巨大的,更不用说所需的资源了。软件中可以引入700多个漏洞,任何人根本不可能抵御所有这些漏洞。正是出于这个原因,大多数公司坚持只关注OWASP前十名。与此同时,开发人员一直在构建功能,反过来,他们不断在编写的代码中引入漏洞。

解决方案是什么?

简单的事实是,我们不为开发人员提供促进安全编码成功的工具和培训。没有任何法规强制组织确保开发人员拥有足够的安全技能,可悲的现实是,大多数大学和实习机构也没有为初级开发人员做好安全编码的准备。

当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。

我们需要花时间教育开发人员如何编写安全代码。但是,在当今世界,软件开发节奏很快,优秀的开发人员和安全专业人员供不应求,这似乎从来都不是优先事项。现在是我们改变对话的时候了。

最近的头条新闻来自 世界经济论坛 尖叫:“没有安全就不可能有数字经济”,随附的内容认为安全必须成为任何数字化转型战略的核心部分。“安全是保护企业的关键,使他们能够创新,开发新产品和服务。除了防御作用外,安全还为企业提供了战略增长优势。”

提高安全编码技能和结果将为组织增加强大的网络保护层,帮助他们创建更好、更快的代码。开发人员不需要成为安全专家,但他们必须获得积极和实际的能力,才能成为抵御网络攻击的第一道防线。开发人员可以成为下一个安全和创新英雄。他们是非常聪明的人,他们是创造性的问题解决者,并且普遍热衷于培养自己的技能。通过应有的专业培训发挥自己的优势,并致力于更高的软件安全标准。 阅读我们的白皮书 以了解更多信息。

当有人想驾驶飞机时,有一个非常严格的流程,可以确保他们在飞行之前接受培训、实践经验、体检、安全知识和检查。没有人敢想象,如果没有如此全面的准备和技能验证,他们会被放任自流,但这就是代码编写中每天发生的事情。
标语

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
标语

Explore more blogs

Lorem Issum diam quis eim leboutis ein selerisque lobortis sepitis beelrisque lobortis sepitis celerisque lobortis celeriskue filmentis celeriskue filmentis celeriskue diam

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo