블로그

ClickShare 취약점이 패치되었을 수 있지만 훨씬 더 큰 문제를 마스크합니다.

마티아스 마두, Ph.
게시일: 2020년 9월 28일

이 문서의 버전은 DevOps.com나타났습니다. 여기에 신디케이션을 위해 업데이트되었으며 취약점 문제에 대한 대화형 링크가 포함되어 있습니다.

나는 우리 모두가 회의 또는 회의에서 누군가가 프리젠 테이션 기술에 문제가 있는 최근 메모리의 시간을 기억할 수 있다고 생각합니다. 그것은 적어도 처음에, 어설픈 경험의 거의 기대가 너무 자주 발생합니다. 그것은 놀라운 일이 아니다, 다음, ClickShare의 원활한 응용 프로그램은 최종 사용자에게 즉시 인기가 있었다. 그들을 위해, 큰 화면이나 회의실 프로젝터에 자신의 노트북, 태블릿 이나 스마트 폰에서 프리젠 테이션을 밀어 ClickShare 응용 프로그램을 사용하는 것보다 쉬운 아무것도 없다. 벨기에에 기반을 둔 디지털 프로젝션 및 이미징 기술 공급업체 인 Barco는 자동화 플랫폼을 설계하여 이러한 방식으로 작동하도록 설계했으며 대기업은 이 개념을 받아들였습니다. FutureSource 컨설팅은 컨퍼런스 기술에서 Barco의 시장 점유율을 29%로, 포춘 1,000개 기업의 40%에 통합합니다.

F-Secure의 연구원들이 지난 12월 무해한 자동화 플랫폼이 보안 취약점으로 가득 차 있다고 밝혔을 때 비즈니스 커뮤니티를 통해 충격파를 보냈습니다. 발견 된 보안 결함은 본질적으로 중요하며 잠재적으로 여러 가지 악의적인 활동을 가능하게 할 수 있습니다.

연구원들은 이 취약점으로 원격 사용자가 활성 프레젠테이션을 스누핑하거나, 백도어를 보안 네트워크로 만들거나, Barco 장치에 연결하는 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법을 시연했습니다. 갑자기 기업들은 조직 전체의 회의실과 사무실 내부에 심각한 보안 문제가 설치될 것이라는 전망에 직면했습니다. 또한 취약점의 특성상 단일 손상된 장치는 네트워크 전체의 위반을 지원할 수 있습니다.

F-Secure 관계자는 보고서에서 "한 유닛을 성공적으로 손상한 공격자는 한 가족 내에서든 가족 간에 모든 장치에 대해 유효한 암호화된 이미지를 생성할 뿐만 아니라 암호를 해독할 수 있는 능력을 얻습니다." "또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 중요한 데이터에 액세스할 수 있습니다."

Barco는 제품 내에서 발견된 취약점에 대한 패치 및 수정 을 매우 적극적으로 발행했습니다. 보안 공급업체 Tenable은 최근 Barco를 포함한 8개의 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서를 발표했습니다. 2월 현재 Barco만이 수정 프로그램을 배포하는 데 적극적입니다.

Barco 취약점 중 일부는 하드웨어 변경이 필요하지만 (그리고 이러한 배포악몽이 될 것입니다, 회사가 전혀 그들을 보호하기 위해이 정도로 행동하는 경우), 그들 중 많은 소프트웨어 패치로 수정 할 수 있습니다. 이것은 대부분의 기업 사용자에게 즉각적인 문제를 해결하기 위해 겉보기에 좋은 계획을 제공하지만 지금은 거의 명확하지 않습니다. Barco의 문제는 잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 빙산의 일각에 불과합니다.

문제의 근본 원인

즉각적인 문제가 해결되었으므로 심각한 보안 결함이있는 장치가 전 세계 수천 개의 회의실에 어떻게 앉아 있는지 또는 왜 그렇게 제대로 설계되고 프로그래밍되었는지 물어봐야합니다. F-Secure 팀이 0일 또는 이전에 알려지지 않은 취약점을 발견한 것과는 다 아닙니다. Barco 제품에서 발견된 결함 중 10개는 코드 주입 공격과 같은 잘 알려진 일반적인 취약점과 관련이 있었습니다. 대부분은 이미 공통 의 취약성 및 노출(CVE) 식별을 가지고 있었습니다.

그렇다면 수십 년 된 CCV는 어떻게 코딩되었거나 심지어 유선으로 현대 프레젠테이션 도구로 들어갔을까요? 유일한 대답은 개발자가 그들에 대해 알지 못했거나 Barco 장치가 설계될 때 보안이 우선 순위가 되지 않았다는 것입니다. 슬프게도, 이것은 일반적인 상황이며, 바르코 팀만 독점하지는 않습니다.

취약점을 해결하는 가장 좋은 시기는 응용 프로그램이 개발되는 동안 사용자에게 전송되기 훨씬 전에입니다. 최악의 (그리고 가장 비싼) 시간은 제품이 배포 된 후 또는 공격자가 악용 한 후입니다. 이것은 어려운 교훈이 될 수 있으며, Barco가 한때 꿰뚫을 수없는 시장 점유율이 보안 fiasco에 따라 타격을 입히면서 확실히 배울 것입니다.

보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다. 이러한 환경에서 보안은 조직 모범 사례가 되어야 합니다. 회사가 소셜 미디어를 위한 앱을 프로그래밍하거나 스마트 토스터를 제조하는 경우 조직의 모든 면에서 보안을 고려해야 합니다.

보안 모범 사례의 우선 순위를 지정하고 공동 책임으로 만드는 것은 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다. 그것은 다른 어떤 것보다 문화의 변화를 필요로한다. 새로운 사고 방식은 보안 취약점이 있는 작업 제품을 배포하는 것은 기본 기능을 수행할 수 없는 제품을 만드는 것만큼 실패하는 것과 마찬가지로 실패해야 합니다.

건강한 DevSecOps 환경에서 소프트웨어를 만지는 사람은 누구나 보안 에 유의해야 하며, 개발자는 비참한 버그를 업무에 도입하지 않도록 관련성 있고 빈번한 교육을 받아야 합니다. Barco에서 일하는 팀이 보안을 공유 책임으로 보았다면 수십 년 된 CCV를 포함한 이러한 대규모 취약점 컬렉션이 프레젠테이션 도구로 만들었을 것입니다.

앞으로 의 안전 경로

아무도 다음 Barco가되고 싶어하지 않습니다, 왜 잘 알려진 보안 결함이 전 세계의 엔터프라이즈 네트워크의 수천에 자신의 장치를 통해 배포 된 이유를 설명 할 필요. 이러한 운명을 피하기 위해 소프트웨어 또는 스마트 하드웨어를 개발하는 기업은 보안에 대한 우선 순위를 공동책임과 조직 모범 사례로 즉시 우선순위를 지정해야 합니다. 건강한 DevSecOps 프로그램을 만드는 데는 시간이 걸리며 문화의 변화가 필요할 수도 있지만 그 결과는 노력할 만한 가치가 있습니다. 강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 분쇄할 수 있습니다.

제품과 소프트웨어를 구매하는 기업의 경우 DevSecOps를 수용한 기업을 지원하는 것이 가장 좋습니다. 이렇게 하면 점점 더 숙련된 공격자에 의해 악용되기를 기다리는 시한 폭탄을 똑딱거리지 않도록 하는 데 큰 시간이 갈 것입니다.

체크 아웃 Secure Code Warrior DevSecOps에 대한 자세한 정보를 위한 블로그 페이지와 보안 결함 및 취약점의 파괴로부터 조직과 고객을 보호하는 방법.

Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으신가요?

다음에서 이러한 게임화된 과제를 해결하십시오.

리소스 보기
리소스 보기

보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다.

더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
마티아스 마두, Ph.
게시일: 2020년 9월 28일

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

이 문서의 버전은 DevOps.com나타났습니다. 여기에 신디케이션을 위해 업데이트되었으며 취약점 문제에 대한 대화형 링크가 포함되어 있습니다.

나는 우리 모두가 회의 또는 회의에서 누군가가 프리젠 테이션 기술에 문제가 있는 최근 메모리의 시간을 기억할 수 있다고 생각합니다. 그것은 적어도 처음에, 어설픈 경험의 거의 기대가 너무 자주 발생합니다. 그것은 놀라운 일이 아니다, 다음, ClickShare의 원활한 응용 프로그램은 최종 사용자에게 즉시 인기가 있었다. 그들을 위해, 큰 화면이나 회의실 프로젝터에 자신의 노트북, 태블릿 이나 스마트 폰에서 프리젠 테이션을 밀어 ClickShare 응용 프로그램을 사용하는 것보다 쉬운 아무것도 없다. 벨기에에 기반을 둔 디지털 프로젝션 및 이미징 기술 공급업체 인 Barco는 자동화 플랫폼을 설계하여 이러한 방식으로 작동하도록 설계했으며 대기업은 이 개념을 받아들였습니다. FutureSource 컨설팅은 컨퍼런스 기술에서 Barco의 시장 점유율을 29%로, 포춘 1,000개 기업의 40%에 통합합니다.

F-Secure의 연구원들이 지난 12월 무해한 자동화 플랫폼이 보안 취약점으로 가득 차 있다고 밝혔을 때 비즈니스 커뮤니티를 통해 충격파를 보냈습니다. 발견 된 보안 결함은 본질적으로 중요하며 잠재적으로 여러 가지 악의적인 활동을 가능하게 할 수 있습니다.

연구원들은 이 취약점으로 원격 사용자가 활성 프레젠테이션을 스누핑하거나, 백도어를 보안 네트워크로 만들거나, Barco 장치에 연결하는 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법을 시연했습니다. 갑자기 기업들은 조직 전체의 회의실과 사무실 내부에 심각한 보안 문제가 설치될 것이라는 전망에 직면했습니다. 또한 취약점의 특성상 단일 손상된 장치는 네트워크 전체의 위반을 지원할 수 있습니다.

F-Secure 관계자는 보고서에서 "한 유닛을 성공적으로 손상한 공격자는 한 가족 내에서든 가족 간에 모든 장치에 대해 유효한 암호화된 이미지를 생성할 뿐만 아니라 암호를 해독할 수 있는 능력을 얻습니다." "또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 중요한 데이터에 액세스할 수 있습니다."

Barco는 제품 내에서 발견된 취약점에 대한 패치 및 수정 을 매우 적극적으로 발행했습니다. 보안 공급업체 Tenable은 최근 Barco를 포함한 8개의 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서를 발표했습니다. 2월 현재 Barco만이 수정 프로그램을 배포하는 데 적극적입니다.

Barco 취약점 중 일부는 하드웨어 변경이 필요하지만 (그리고 이러한 배포악몽이 될 것입니다, 회사가 전혀 그들을 보호하기 위해이 정도로 행동하는 경우), 그들 중 많은 소프트웨어 패치로 수정 할 수 있습니다. 이것은 대부분의 기업 사용자에게 즉각적인 문제를 해결하기 위해 겉보기에 좋은 계획을 제공하지만 지금은 거의 명확하지 않습니다. Barco의 문제는 잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 빙산의 일각에 불과합니다.

문제의 근본 원인

즉각적인 문제가 해결되었으므로 심각한 보안 결함이있는 장치가 전 세계 수천 개의 회의실에 어떻게 앉아 있는지 또는 왜 그렇게 제대로 설계되고 프로그래밍되었는지 물어봐야합니다. F-Secure 팀이 0일 또는 이전에 알려지지 않은 취약점을 발견한 것과는 다 아닙니다. Barco 제품에서 발견된 결함 중 10개는 코드 주입 공격과 같은 잘 알려진 일반적인 취약점과 관련이 있었습니다. 대부분은 이미 공통 의 취약성 및 노출(CVE) 식별을 가지고 있었습니다.

그렇다면 수십 년 된 CCV는 어떻게 코딩되었거나 심지어 유선으로 현대 프레젠테이션 도구로 들어갔을까요? 유일한 대답은 개발자가 그들에 대해 알지 못했거나 Barco 장치가 설계될 때 보안이 우선 순위가 되지 않았다는 것입니다. 슬프게도, 이것은 일반적인 상황이며, 바르코 팀만 독점하지는 않습니다.

취약점을 해결하는 가장 좋은 시기는 응용 프로그램이 개발되는 동안 사용자에게 전송되기 훨씬 전에입니다. 최악의 (그리고 가장 비싼) 시간은 제품이 배포 된 후 또는 공격자가 악용 한 후입니다. 이것은 어려운 교훈이 될 수 있으며, Barco가 한때 꿰뚫을 수없는 시장 점유율이 보안 fiasco에 따라 타격을 입히면서 확실히 배울 것입니다.

보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다. 이러한 환경에서 보안은 조직 모범 사례가 되어야 합니다. 회사가 소셜 미디어를 위한 앱을 프로그래밍하거나 스마트 토스터를 제조하는 경우 조직의 모든 면에서 보안을 고려해야 합니다.

보안 모범 사례의 우선 순위를 지정하고 공동 책임으로 만드는 것은 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다. 그것은 다른 어떤 것보다 문화의 변화를 필요로한다. 새로운 사고 방식은 보안 취약점이 있는 작업 제품을 배포하는 것은 기본 기능을 수행할 수 없는 제품을 만드는 것만큼 실패하는 것과 마찬가지로 실패해야 합니다.

건강한 DevSecOps 환경에서 소프트웨어를 만지는 사람은 누구나 보안 에 유의해야 하며, 개발자는 비참한 버그를 업무에 도입하지 않도록 관련성 있고 빈번한 교육을 받아야 합니다. Barco에서 일하는 팀이 보안을 공유 책임으로 보았다면 수십 년 된 CCV를 포함한 이러한 대규모 취약점 컬렉션이 프레젠테이션 도구로 만들었을 것입니다.

앞으로 의 안전 경로

아무도 다음 Barco가되고 싶어하지 않습니다, 왜 잘 알려진 보안 결함이 전 세계의 엔터프라이즈 네트워크의 수천에 자신의 장치를 통해 배포 된 이유를 설명 할 필요. 이러한 운명을 피하기 위해 소프트웨어 또는 스마트 하드웨어를 개발하는 기업은 보안에 대한 우선 순위를 공동책임과 조직 모범 사례로 즉시 우선순위를 지정해야 합니다. 건강한 DevSecOps 프로그램을 만드는 데는 시간이 걸리며 문화의 변화가 필요할 수도 있지만 그 결과는 노력할 만한 가치가 있습니다. 강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 분쇄할 수 있습니다.

제품과 소프트웨어를 구매하는 기업의 경우 DevSecOps를 수용한 기업을 지원하는 것이 가장 좋습니다. 이렇게 하면 점점 더 숙련된 공격자에 의해 악용되기를 기다리는 시한 폭탄을 똑딱거리지 않도록 하는 데 큰 시간이 갈 것입니다.

체크 아웃 Secure Code Warrior DevSecOps에 대한 자세한 정보를 위한 블로그 페이지와 보안 결함 및 취약점의 파괴로부터 조직과 고객을 보호하는 방법.

Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으신가요?

다음에서 이러한 게임화된 과제를 해결하십시오.

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

이 문서의 버전은 DevOps.com나타났습니다. 여기에 신디케이션을 위해 업데이트되었으며 취약점 문제에 대한 대화형 링크가 포함되어 있습니다.

나는 우리 모두가 회의 또는 회의에서 누군가가 프리젠 테이션 기술에 문제가 있는 최근 메모리의 시간을 기억할 수 있다고 생각합니다. 그것은 적어도 처음에, 어설픈 경험의 거의 기대가 너무 자주 발생합니다. 그것은 놀라운 일이 아니다, 다음, ClickShare의 원활한 응용 프로그램은 최종 사용자에게 즉시 인기가 있었다. 그들을 위해, 큰 화면이나 회의실 프로젝터에 자신의 노트북, 태블릿 이나 스마트 폰에서 프리젠 테이션을 밀어 ClickShare 응용 프로그램을 사용하는 것보다 쉬운 아무것도 없다. 벨기에에 기반을 둔 디지털 프로젝션 및 이미징 기술 공급업체 인 Barco는 자동화 플랫폼을 설계하여 이러한 방식으로 작동하도록 설계했으며 대기업은 이 개념을 받아들였습니다. FutureSource 컨설팅은 컨퍼런스 기술에서 Barco의 시장 점유율을 29%로, 포춘 1,000개 기업의 40%에 통합합니다.

F-Secure의 연구원들이 지난 12월 무해한 자동화 플랫폼이 보안 취약점으로 가득 차 있다고 밝혔을 때 비즈니스 커뮤니티를 통해 충격파를 보냈습니다. 발견 된 보안 결함은 본질적으로 중요하며 잠재적으로 여러 가지 악의적인 활동을 가능하게 할 수 있습니다.

연구원들은 이 취약점으로 원격 사용자가 활성 프레젠테이션을 스누핑하거나, 백도어를 보안 네트워크로 만들거나, Barco 장치에 연결하는 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법을 시연했습니다. 갑자기 기업들은 조직 전체의 회의실과 사무실 내부에 심각한 보안 문제가 설치될 것이라는 전망에 직면했습니다. 또한 취약점의 특성상 단일 손상된 장치는 네트워크 전체의 위반을 지원할 수 있습니다.

F-Secure 관계자는 보고서에서 "한 유닛을 성공적으로 손상한 공격자는 한 가족 내에서든 가족 간에 모든 장치에 대해 유효한 암호화된 이미지를 생성할 뿐만 아니라 암호를 해독할 수 있는 능력을 얻습니다." "또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 중요한 데이터에 액세스할 수 있습니다."

Barco는 제품 내에서 발견된 취약점에 대한 패치 및 수정 을 매우 적극적으로 발행했습니다. 보안 공급업체 Tenable은 최근 Barco를 포함한 8개의 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서를 발표했습니다. 2월 현재 Barco만이 수정 프로그램을 배포하는 데 적극적입니다.

Barco 취약점 중 일부는 하드웨어 변경이 필요하지만 (그리고 이러한 배포악몽이 될 것입니다, 회사가 전혀 그들을 보호하기 위해이 정도로 행동하는 경우), 그들 중 많은 소프트웨어 패치로 수정 할 수 있습니다. 이것은 대부분의 기업 사용자에게 즉각적인 문제를 해결하기 위해 겉보기에 좋은 계획을 제공하지만 지금은 거의 명확하지 않습니다. Barco의 문제는 잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 빙산의 일각에 불과합니다.

문제의 근본 원인

즉각적인 문제가 해결되었으므로 심각한 보안 결함이있는 장치가 전 세계 수천 개의 회의실에 어떻게 앉아 있는지 또는 왜 그렇게 제대로 설계되고 프로그래밍되었는지 물어봐야합니다. F-Secure 팀이 0일 또는 이전에 알려지지 않은 취약점을 발견한 것과는 다 아닙니다. Barco 제품에서 발견된 결함 중 10개는 코드 주입 공격과 같은 잘 알려진 일반적인 취약점과 관련이 있었습니다. 대부분은 이미 공통 의 취약성 및 노출(CVE) 식별을 가지고 있었습니다.

그렇다면 수십 년 된 CCV는 어떻게 코딩되었거나 심지어 유선으로 현대 프레젠테이션 도구로 들어갔을까요? 유일한 대답은 개발자가 그들에 대해 알지 못했거나 Barco 장치가 설계될 때 보안이 우선 순위가 되지 않았다는 것입니다. 슬프게도, 이것은 일반적인 상황이며, 바르코 팀만 독점하지는 않습니다.

취약점을 해결하는 가장 좋은 시기는 응용 프로그램이 개발되는 동안 사용자에게 전송되기 훨씬 전에입니다. 최악의 (그리고 가장 비싼) 시간은 제품이 배포 된 후 또는 공격자가 악용 한 후입니다. 이것은 어려운 교훈이 될 수 있으며, Barco가 한때 꿰뚫을 수없는 시장 점유율이 보안 fiasco에 따라 타격을 입히면서 확실히 배울 것입니다.

보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다. 이러한 환경에서 보안은 조직 모범 사례가 되어야 합니다. 회사가 소셜 미디어를 위한 앱을 프로그래밍하거나 스마트 토스터를 제조하는 경우 조직의 모든 면에서 보안을 고려해야 합니다.

보안 모범 사례의 우선 순위를 지정하고 공동 책임으로 만드는 것은 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다. 그것은 다른 어떤 것보다 문화의 변화를 필요로한다. 새로운 사고 방식은 보안 취약점이 있는 작업 제품을 배포하는 것은 기본 기능을 수행할 수 없는 제품을 만드는 것만큼 실패하는 것과 마찬가지로 실패해야 합니다.

건강한 DevSecOps 환경에서 소프트웨어를 만지는 사람은 누구나 보안 에 유의해야 하며, 개발자는 비참한 버그를 업무에 도입하지 않도록 관련성 있고 빈번한 교육을 받아야 합니다. Barco에서 일하는 팀이 보안을 공유 책임으로 보았다면 수십 년 된 CCV를 포함한 이러한 대규모 취약점 컬렉션이 프레젠테이션 도구로 만들었을 것입니다.

앞으로 의 안전 경로

아무도 다음 Barco가되고 싶어하지 않습니다, 왜 잘 알려진 보안 결함이 전 세계의 엔터프라이즈 네트워크의 수천에 자신의 장치를 통해 배포 된 이유를 설명 할 필요. 이러한 운명을 피하기 위해 소프트웨어 또는 스마트 하드웨어를 개발하는 기업은 보안에 대한 우선 순위를 공동책임과 조직 모범 사례로 즉시 우선순위를 지정해야 합니다. 건강한 DevSecOps 프로그램을 만드는 데는 시간이 걸리며 문화의 변화가 필요할 수도 있지만 그 결과는 노력할 만한 가치가 있습니다. 강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 분쇄할 수 있습니다.

제품과 소프트웨어를 구매하는 기업의 경우 DevSecOps를 수용한 기업을 지원하는 것이 가장 좋습니다. 이렇게 하면 점점 더 숙련된 공격자에 의해 악용되기를 기다리는 시한 폭탄을 똑딱거리지 않도록 하는 데 큰 시간이 갈 것입니다.

체크 아웃 Secure Code Warrior DevSecOps에 대한 자세한 정보를 위한 블로그 페이지와 보안 결함 및 취약점의 파괴로부터 조직과 고객을 보호하는 방법.

Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으신가요?

다음에서 이러한 게임화된 과제를 해결하십시오.

리소스에 접근

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
PDF 다운로드
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
마티아스 마두, Ph.
게시일: 2020년 9월 28일

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

공유하세요:

이 문서의 버전은 DevOps.com나타났습니다. 여기에 신디케이션을 위해 업데이트되었으며 취약점 문제에 대한 대화형 링크가 포함되어 있습니다.

나는 우리 모두가 회의 또는 회의에서 누군가가 프리젠 테이션 기술에 문제가 있는 최근 메모리의 시간을 기억할 수 있다고 생각합니다. 그것은 적어도 처음에, 어설픈 경험의 거의 기대가 너무 자주 발생합니다. 그것은 놀라운 일이 아니다, 다음, ClickShare의 원활한 응용 프로그램은 최종 사용자에게 즉시 인기가 있었다. 그들을 위해, 큰 화면이나 회의실 프로젝터에 자신의 노트북, 태블릿 이나 스마트 폰에서 프리젠 테이션을 밀어 ClickShare 응용 프로그램을 사용하는 것보다 쉬운 아무것도 없다. 벨기에에 기반을 둔 디지털 프로젝션 및 이미징 기술 공급업체 인 Barco는 자동화 플랫폼을 설계하여 이러한 방식으로 작동하도록 설계했으며 대기업은 이 개념을 받아들였습니다. FutureSource 컨설팅은 컨퍼런스 기술에서 Barco의 시장 점유율을 29%로, 포춘 1,000개 기업의 40%에 통합합니다.

F-Secure의 연구원들이 지난 12월 무해한 자동화 플랫폼이 보안 취약점으로 가득 차 있다고 밝혔을 때 비즈니스 커뮤니티를 통해 충격파를 보냈습니다. 발견 된 보안 결함은 본질적으로 중요하며 잠재적으로 여러 가지 악의적인 활동을 가능하게 할 수 있습니다.

연구원들은 이 취약점으로 원격 사용자가 활성 프레젠테이션을 스누핑하거나, 백도어를 보안 네트워크로 만들거나, Barco 장치에 연결하는 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법을 시연했습니다. 갑자기 기업들은 조직 전체의 회의실과 사무실 내부에 심각한 보안 문제가 설치될 것이라는 전망에 직면했습니다. 또한 취약점의 특성상 단일 손상된 장치는 네트워크 전체의 위반을 지원할 수 있습니다.

F-Secure 관계자는 보고서에서 "한 유닛을 성공적으로 손상한 공격자는 한 가족 내에서든 가족 간에 모든 장치에 대해 유효한 암호화된 이미지를 생성할 뿐만 아니라 암호를 해독할 수 있는 능력을 얻습니다." "또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 중요한 데이터에 액세스할 수 있습니다."

Barco는 제품 내에서 발견된 취약점에 대한 패치 및 수정 을 매우 적극적으로 발행했습니다. 보안 공급업체 Tenable은 최근 Barco를 포함한 8개의 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서를 발표했습니다. 2월 현재 Barco만이 수정 프로그램을 배포하는 데 적극적입니다.

Barco 취약점 중 일부는 하드웨어 변경이 필요하지만 (그리고 이러한 배포악몽이 될 것입니다, 회사가 전혀 그들을 보호하기 위해이 정도로 행동하는 경우), 그들 중 많은 소프트웨어 패치로 수정 할 수 있습니다. 이것은 대부분의 기업 사용자에게 즉각적인 문제를 해결하기 위해 겉보기에 좋은 계획을 제공하지만 지금은 거의 명확하지 않습니다. Barco의 문제는 잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 빙산의 일각에 불과합니다.

문제의 근본 원인

즉각적인 문제가 해결되었으므로 심각한 보안 결함이있는 장치가 전 세계 수천 개의 회의실에 어떻게 앉아 있는지 또는 왜 그렇게 제대로 설계되고 프로그래밍되었는지 물어봐야합니다. F-Secure 팀이 0일 또는 이전에 알려지지 않은 취약점을 발견한 것과는 다 아닙니다. Barco 제품에서 발견된 결함 중 10개는 코드 주입 공격과 같은 잘 알려진 일반적인 취약점과 관련이 있었습니다. 대부분은 이미 공통 의 취약성 및 노출(CVE) 식별을 가지고 있었습니다.

그렇다면 수십 년 된 CCV는 어떻게 코딩되었거나 심지어 유선으로 현대 프레젠테이션 도구로 들어갔을까요? 유일한 대답은 개발자가 그들에 대해 알지 못했거나 Barco 장치가 설계될 때 보안이 우선 순위가 되지 않았다는 것입니다. 슬프게도, 이것은 일반적인 상황이며, 바르코 팀만 독점하지는 않습니다.

취약점을 해결하는 가장 좋은 시기는 응용 프로그램이 개발되는 동안 사용자에게 전송되기 훨씬 전에입니다. 최악의 (그리고 가장 비싼) 시간은 제품이 배포 된 후 또는 공격자가 악용 한 후입니다. 이것은 어려운 교훈이 될 수 있으며, Barco가 한때 꿰뚫을 수없는 시장 점유율이 보안 fiasco에 따라 타격을 입히면서 확실히 배울 것입니다.

보안 수정을 개발 프로세스로 되돌리는 것은 쉽지 않지만 프레젠테이션 도구와 같은 단순한 장치조차도 놀라울 정도로 복잡하고 다른 모든 항목으로 네트워크로 전환되는 오늘날의 세계에서 필요합니다. 이러한 환경에서 보안은 조직 모범 사례가 되어야 합니다. 회사가 소셜 미디어를 위한 앱을 프로그래밍하거나 스마트 토스터를 제조하는 경우 조직의 모든 면에서 보안을 고려해야 합니다.

보안 모범 사례의 우선 순위를 지정하고 공동 책임으로 만드는 것은 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다. 그것은 다른 어떤 것보다 문화의 변화를 필요로한다. 새로운 사고 방식은 보안 취약점이 있는 작업 제품을 배포하는 것은 기본 기능을 수행할 수 없는 제품을 만드는 것만큼 실패하는 것과 마찬가지로 실패해야 합니다.

건강한 DevSecOps 환경에서 소프트웨어를 만지는 사람은 누구나 보안 에 유의해야 하며, 개발자는 비참한 버그를 업무에 도입하지 않도록 관련성 있고 빈번한 교육을 받아야 합니다. Barco에서 일하는 팀이 보안을 공유 책임으로 보았다면 수십 년 된 CCV를 포함한 이러한 대규모 취약점 컬렉션이 프레젠테이션 도구로 만들었을 것입니다.

앞으로 의 안전 경로

아무도 다음 Barco가되고 싶어하지 않습니다, 왜 잘 알려진 보안 결함이 전 세계의 엔터프라이즈 네트워크의 수천에 자신의 장치를 통해 배포 된 이유를 설명 할 필요. 이러한 운명을 피하기 위해 소프트웨어 또는 스마트 하드웨어를 개발하는 기업은 보안에 대한 우선 순위를 공동책임과 조직 모범 사례로 즉시 우선순위를 지정해야 합니다. 건강한 DevSecOps 프로그램을 만드는 데는 시간이 걸리며 문화의 변화가 필요할 수도 있지만 그 결과는 노력할 만한 가치가 있습니다. 강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 분쇄할 수 있습니다.

제품과 소프트웨어를 구매하는 기업의 경우 DevSecOps를 수용한 기업을 지원하는 것이 가장 좋습니다. 이렇게 하면 점점 더 숙련된 공격자에 의해 악용되기를 기다리는 시한 폭탄을 똑딱거리지 않도록 하는 데 큰 시간이 갈 것입니다.

체크 아웃 Secure Code Warrior DevSecOps에 대한 자세한 정보를 위한 블로그 페이지와 보안 결함 및 취약점의 파괴로부터 조직과 고객을 보호하는 방법.

Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으신가요?

다음에서 이러한 게임화된 과제를 해결하십시오.

목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물