블로그

안전하지 않은 암호화 스토리지 및 보안 | Secure Code Warrior

야프 카란 싱
게시일: 2019년 3월 7일

데이터는 기업의 생명선입니다. 생존, 돈을 벌고 고객에게 서비스를 제공하는 데 필요한 기본 정보입니다. 점점 더 디지털 중심이 되는 사회에서 개발자들은 이 귀중한 정보의 관리인으로서 막대한 책임을 지고 있습니다. 개발자가 기밀 데이터를 보호하지 않으면 비즈니스는 안전하지 않은 암호화 스토리지에 속합니다.

데이터를 안전하게 저장하는 방법과 데이터를 저장하지 않을 때 발생할 수 있는 방법을 살펴보겠습니다.

안전하지 않은 암호화 스토리지 이해

공격자가 시스템에 액세스할 때 일반적으로 값 데이터를 찾기 위해 합니다. 알고 있는 데이터 유형은 다른 사람의 계정을 인수하는 데 사용하거나 다른 공격을 실행하는 데 사용할 수 있습니다. 때때로, 데이터의이 종류는 단순히 빠른 현금에 대한 암시장에서 판매된다.

안전하지 않은 암호화 스토리지는 SQL 주입 이나 XSS와 같은 단일 취약점이 아닙니다. 보호해야 하는 데이터를 보호해야 하는 방식으로 보호하지 않는 결과입니다.

중요한 정보는 보호되어야 합니다. 당신은 일반 텍스트에 암호 와 신용 카드 정보를 저장할 때, 당신은 당신의 사업과 러시아어 룰렛을 재생됩니다.

해커가 데이터베이스에 침입하여 SQL 주입, XML 주입 또는 기타 공격을 사용하여 데이터를 훔치는 경우 모든 것을 갖습니다. 그러나 데이터를 암호화하면 실제 데이터를 사용하는 데 훨씬 더 힘든 시간이 주어질 수 있습니다.

위반이 항상 악의적인 외부인의 결과는 아니라는 점에 유의해야 합니다. 악성 내부자는 암호화되지 않은 경우 쉽게 데이터를 훔칠 수 있습니다. 회사의 직원은 데이터베이스의 모든 것을 볼 필요가 없으며 부적절한 액세스 제어 또는 노출된 중요한 데이터가 완전히 도난당할 수 있습니다.

모든 암호화가 동일하지 않다는 것을 기억하십시오. 잘못된 암호화 알고리즘을 사용하는 것은 사용하지 않는 것만큼 위험합니다. 알려진 약한 알고리즘은 정통한 공격자에 대한 저항을 거의 제공하지 않습니다.

안전하지 않은 암호화 스토리지가 위험한 이유

많은 회사가 다른 취약점(예: SQL 주입)에 의해 손상되어 도난당한 데이터를 숨길 수 없게 됩니다. 이것은 끔찍한 상황을 더욱 악화시다.

  • 성인 친구 파인더는 4억 1,200만 개의 계정을 유출하여 위반되었습니다. 계정의 암호는 약한 SHA-1 해싱 알고리즘으로 보호되었습니다. 그들은 한 달 이내에 공격자에 의해 쉽게 금이 되었습니다.
  • Uber는 5,700만 건의 사용자 기록과 600,000건의 운전자 기록을 유출하여 위반되었습니다. 개인 정보가 손실되었습니다. Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 비밀번호가 포함된 리포지토리가 오픈에 사용되어 있었기 때문에 발생했습니다... 좋은 생각이 아닙니다. Uber의 밸류에이션은 200억 달러 감소했으며, 이는 이 위반으로 인해 크게 감소했습니다.
  • 소니의 플레이 스테이션 네트워크는 7,700 만 개의 계정을 유출, 위반되었다. 1,200만 개의 계정에암호화되지 않은 신용 카드 정보가 포함되어 있습니다. 소니는 나중에 위반에 대한 1$500 만 달러의 집단 소송을 해결했습니다.

중요한 데이터를 제대로 저장하지 않는 데는 분명히 심각한 결과가 있습니다.

소니는 상당한 처벌인 소송을 제기했습니다. 그러나 소송을 당하지 않더라도 평판및 규제 적 피해는 비즈니스에 치명적일 수 있습니다.

안전하지 않은 암호화 스토리지 를 패배

개발자는 위의 데이터 유출이 발생하지 않도록 어떻게 막을 수 있습니까?

첫 번째 단계는 암호화가 필요한 데이터를 식별하는 것입니다. 결국 모든 데이터가 동일하지는 않습니다. 데이터를 분류한다음 적절한 경우 암호화를 사용합니다.

일반적으로 주민등록번호, 비밀번호, 신용카드 정보와 같은 개인정보를 보호해야 합니다. 비즈니스의 특성에 따라 개인으로 간주되는 건강 기록 또는 기타 정보를 보호해야 할 수 있습니다.

어떤 데이터를 보호해야 하는지 알게 되면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다. 일반적으로, 그것은 시간의 시험을 서 하 고 강한 것으로 간주 되는 암호화 알고리즘에 충실 하는 것이 좋다.

아무리, 자신의 암호화 기능을 작성하지 않습니다. 공격자가 암호화를 끊는 데 사용할 수 있는 결함이 포함될 수 있습니다.

사회 보장 번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 AES를사용합니다. AES에 대한 다른 작업 모드가 있으며, 쓰기 시 매우 권장되는 모드는 갈로이/카운터 모드(GCM)입니다. 또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩을 사용하지 않도록 하는 것입니다.

암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시합니다. 해시된 값을 감안할 때 공격자는 값을 만든 원본 텍스트를 검색할 수 없습니다. Argon2Bcrypt는암호를 해시하는 데 적합한 선택으로 간주됩니다. 해시하기 전에 임의의 값을 가진 암호를 항상 "소금"해야 하므로 동일한 암호에 대해 두 해시가 비슷하지 않습니다.

이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 있습니다. 특정 언어 또는 프레임워크에 대한 설명서를 확인하여 효과적으로 사용하는 방법에 대한 정보를 확인하십시오.

주요 생성, 스토리지 및 관리는 암호화의 중요한 구성 요소입니다. 제대로 관리되지 않는 키를 노출하여 데이터를 해독하는 데 사용할 수 있습니다. 일부 프레임워크는 ASP와 같은 주요 관리에 도움이 됩니다. NET의 데이터 보호 API. 주요 관리를 위한 일반적인 모범 사례는 OWASP의 치트 시트를확인하십시오.

데이터를 안전하게 저장하는 것은 비용이 많이 들고 당황스러운 데이터 유출을 방지하는 방법입니다. 최악의 경우 공격자가 데이터를 도용할 수 있는 경우 악의적인 목적으로 데이터를 보거나 사용하는 데 훨씬 더 어려운 시간을 할애할 수 있습니다.

눈에 보이지 않는 곳에 데이터 숨기기

데이터를 보호하는 방법을 신속하게 살펴보겠습니다.

  • 보호가 필요한 것을 알 수 있도록 데이터를 분류합니다.
  • 중요한 데이터를 암호화하기 위해 업계에서 검증한 강력한 알고리즘을 사용
  • 강력한 단방향 해시를 사용하여 암호 저장

주제를 자세히 연구하려면 학습 리소스를확인하십시오. 당신이 파고 연습 할 준비가되면, 당신의 원하는 언어로 우리의 플랫폼을 시도. 우리는 많이 커버!

이러한 도구를 사용하면 데이터가 도난당하지 않도록 하고 회사가 돈을 잃고 명성을 손상시키는 것을 방지할 수 있습니다.

지금 안전하지 않은 암호화 스토리지를 찾고 수정할 준비가 되셨습니까? 경기장으로 가서 기술을 테스트하십시오[여기에서 시작]

리소스 보기
리소스 보기

이 디지털 사회에서 개발자는 정보 및 비즈니스를 안전하지 않은 암호화 스토리지로부터 안전하게 보호할 책임이 있습니다. 에서 배우기 Secure Code Warrior .

더 알고 싶으신가요?

야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
야프 카란 싱
게시일: 2019년 3월 7일

야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .

공유하세요:

데이터는 기업의 생명선입니다. 생존, 돈을 벌고 고객에게 서비스를 제공하는 데 필요한 기본 정보입니다. 점점 더 디지털 중심이 되는 사회에서 개발자들은 이 귀중한 정보의 관리인으로서 막대한 책임을 지고 있습니다. 개발자가 기밀 데이터를 보호하지 않으면 비즈니스는 안전하지 않은 암호화 스토리지에 속합니다.

데이터를 안전하게 저장하는 방법과 데이터를 저장하지 않을 때 발생할 수 있는 방법을 살펴보겠습니다.

안전하지 않은 암호화 스토리지 이해

공격자가 시스템에 액세스할 때 일반적으로 값 데이터를 찾기 위해 합니다. 알고 있는 데이터 유형은 다른 사람의 계정을 인수하는 데 사용하거나 다른 공격을 실행하는 데 사용할 수 있습니다. 때때로, 데이터의이 종류는 단순히 빠른 현금에 대한 암시장에서 판매된다.

안전하지 않은 암호화 스토리지는 SQL 주입 이나 XSS와 같은 단일 취약점이 아닙니다. 보호해야 하는 데이터를 보호해야 하는 방식으로 보호하지 않는 결과입니다.

중요한 정보는 보호되어야 합니다. 당신은 일반 텍스트에 암호 와 신용 카드 정보를 저장할 때, 당신은 당신의 사업과 러시아어 룰렛을 재생됩니다.

해커가 데이터베이스에 침입하여 SQL 주입, XML 주입 또는 기타 공격을 사용하여 데이터를 훔치는 경우 모든 것을 갖습니다. 그러나 데이터를 암호화하면 실제 데이터를 사용하는 데 훨씬 더 힘든 시간이 주어질 수 있습니다.

위반이 항상 악의적인 외부인의 결과는 아니라는 점에 유의해야 합니다. 악성 내부자는 암호화되지 않은 경우 쉽게 데이터를 훔칠 수 있습니다. 회사의 직원은 데이터베이스의 모든 것을 볼 필요가 없으며 부적절한 액세스 제어 또는 노출된 중요한 데이터가 완전히 도난당할 수 있습니다.

모든 암호화가 동일하지 않다는 것을 기억하십시오. 잘못된 암호화 알고리즘을 사용하는 것은 사용하지 않는 것만큼 위험합니다. 알려진 약한 알고리즘은 정통한 공격자에 대한 저항을 거의 제공하지 않습니다.

안전하지 않은 암호화 스토리지가 위험한 이유

많은 회사가 다른 취약점(예: SQL 주입)에 의해 손상되어 도난당한 데이터를 숨길 수 없게 됩니다. 이것은 끔찍한 상황을 더욱 악화시다.

  • 성인 친구 파인더는 4억 1,200만 개의 계정을 유출하여 위반되었습니다. 계정의 암호는 약한 SHA-1 해싱 알고리즘으로 보호되었습니다. 그들은 한 달 이내에 공격자에 의해 쉽게 금이 되었습니다.
  • Uber는 5,700만 건의 사용자 기록과 600,000건의 운전자 기록을 유출하여 위반되었습니다. 개인 정보가 손실되었습니다. Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 비밀번호가 포함된 리포지토리가 오픈에 사용되어 있었기 때문에 발생했습니다... 좋은 생각이 아닙니다. Uber의 밸류에이션은 200억 달러 감소했으며, 이는 이 위반으로 인해 크게 감소했습니다.
  • 소니의 플레이 스테이션 네트워크는 7,700 만 개의 계정을 유출, 위반되었다. 1,200만 개의 계정에암호화되지 않은 신용 카드 정보가 포함되어 있습니다. 소니는 나중에 위반에 대한 1$500 만 달러의 집단 소송을 해결했습니다.

중요한 데이터를 제대로 저장하지 않는 데는 분명히 심각한 결과가 있습니다.

소니는 상당한 처벌인 소송을 제기했습니다. 그러나 소송을 당하지 않더라도 평판및 규제 적 피해는 비즈니스에 치명적일 수 있습니다.

안전하지 않은 암호화 스토리지 를 패배

개발자는 위의 데이터 유출이 발생하지 않도록 어떻게 막을 수 있습니까?

첫 번째 단계는 암호화가 필요한 데이터를 식별하는 것입니다. 결국 모든 데이터가 동일하지는 않습니다. 데이터를 분류한다음 적절한 경우 암호화를 사용합니다.

일반적으로 주민등록번호, 비밀번호, 신용카드 정보와 같은 개인정보를 보호해야 합니다. 비즈니스의 특성에 따라 개인으로 간주되는 건강 기록 또는 기타 정보를 보호해야 할 수 있습니다.

어떤 데이터를 보호해야 하는지 알게 되면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다. 일반적으로, 그것은 시간의 시험을 서 하 고 강한 것으로 간주 되는 암호화 알고리즘에 충실 하는 것이 좋다.

아무리, 자신의 암호화 기능을 작성하지 않습니다. 공격자가 암호화를 끊는 데 사용할 수 있는 결함이 포함될 수 있습니다.

사회 보장 번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 AES를사용합니다. AES에 대한 다른 작업 모드가 있으며, 쓰기 시 매우 권장되는 모드는 갈로이/카운터 모드(GCM)입니다. 또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩을 사용하지 않도록 하는 것입니다.

암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시합니다. 해시된 값을 감안할 때 공격자는 값을 만든 원본 텍스트를 검색할 수 없습니다. Argon2Bcrypt는암호를 해시하는 데 적합한 선택으로 간주됩니다. 해시하기 전에 임의의 값을 가진 암호를 항상 "소금"해야 하므로 동일한 암호에 대해 두 해시가 비슷하지 않습니다.

이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 있습니다. 특정 언어 또는 프레임워크에 대한 설명서를 확인하여 효과적으로 사용하는 방법에 대한 정보를 확인하십시오.

주요 생성, 스토리지 및 관리는 암호화의 중요한 구성 요소입니다. 제대로 관리되지 않는 키를 노출하여 데이터를 해독하는 데 사용할 수 있습니다. 일부 프레임워크는 ASP와 같은 주요 관리에 도움이 됩니다. NET의 데이터 보호 API. 주요 관리를 위한 일반적인 모범 사례는 OWASP의 치트 시트를확인하십시오.

데이터를 안전하게 저장하는 것은 비용이 많이 들고 당황스러운 데이터 유출을 방지하는 방법입니다. 최악의 경우 공격자가 데이터를 도용할 수 있는 경우 악의적인 목적으로 데이터를 보거나 사용하는 데 훨씬 더 어려운 시간을 할애할 수 있습니다.

눈에 보이지 않는 곳에 데이터 숨기기

데이터를 보호하는 방법을 신속하게 살펴보겠습니다.

  • 보호가 필요한 것을 알 수 있도록 데이터를 분류합니다.
  • 중요한 데이터를 암호화하기 위해 업계에서 검증한 강력한 알고리즘을 사용
  • 강력한 단방향 해시를 사용하여 암호 저장

주제를 자세히 연구하려면 학습 리소스를확인하십시오. 당신이 파고 연습 할 준비가되면, 당신의 원하는 언어로 우리의 플랫폼을 시도. 우리는 많이 커버!

이러한 도구를 사용하면 데이터가 도난당하지 않도록 하고 회사가 돈을 잃고 명성을 손상시키는 것을 방지할 수 있습니다.

지금 안전하지 않은 암호화 스토리지를 찾고 수정할 준비가 되셨습니까? 경기장으로 가서 기술을 테스트하십시오[여기에서 시작]

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

데이터는 기업의 생명선입니다. 생존, 돈을 벌고 고객에게 서비스를 제공하는 데 필요한 기본 정보입니다. 점점 더 디지털 중심이 되는 사회에서 개발자들은 이 귀중한 정보의 관리인으로서 막대한 책임을 지고 있습니다. 개발자가 기밀 데이터를 보호하지 않으면 비즈니스는 안전하지 않은 암호화 스토리지에 속합니다.

데이터를 안전하게 저장하는 방법과 데이터를 저장하지 않을 때 발생할 수 있는 방법을 살펴보겠습니다.

안전하지 않은 암호화 스토리지 이해

공격자가 시스템에 액세스할 때 일반적으로 값 데이터를 찾기 위해 합니다. 알고 있는 데이터 유형은 다른 사람의 계정을 인수하는 데 사용하거나 다른 공격을 실행하는 데 사용할 수 있습니다. 때때로, 데이터의이 종류는 단순히 빠른 현금에 대한 암시장에서 판매된다.

안전하지 않은 암호화 스토리지는 SQL 주입 이나 XSS와 같은 단일 취약점이 아닙니다. 보호해야 하는 데이터를 보호해야 하는 방식으로 보호하지 않는 결과입니다.

중요한 정보는 보호되어야 합니다. 당신은 일반 텍스트에 암호 와 신용 카드 정보를 저장할 때, 당신은 당신의 사업과 러시아어 룰렛을 재생됩니다.

해커가 데이터베이스에 침입하여 SQL 주입, XML 주입 또는 기타 공격을 사용하여 데이터를 훔치는 경우 모든 것을 갖습니다. 그러나 데이터를 암호화하면 실제 데이터를 사용하는 데 훨씬 더 힘든 시간이 주어질 수 있습니다.

위반이 항상 악의적인 외부인의 결과는 아니라는 점에 유의해야 합니다. 악성 내부자는 암호화되지 않은 경우 쉽게 데이터를 훔칠 수 있습니다. 회사의 직원은 데이터베이스의 모든 것을 볼 필요가 없으며 부적절한 액세스 제어 또는 노출된 중요한 데이터가 완전히 도난당할 수 있습니다.

모든 암호화가 동일하지 않다는 것을 기억하십시오. 잘못된 암호화 알고리즘을 사용하는 것은 사용하지 않는 것만큼 위험합니다. 알려진 약한 알고리즘은 정통한 공격자에 대한 저항을 거의 제공하지 않습니다.

안전하지 않은 암호화 스토리지가 위험한 이유

많은 회사가 다른 취약점(예: SQL 주입)에 의해 손상되어 도난당한 데이터를 숨길 수 없게 됩니다. 이것은 끔찍한 상황을 더욱 악화시다.

  • 성인 친구 파인더는 4억 1,200만 개의 계정을 유출하여 위반되었습니다. 계정의 암호는 약한 SHA-1 해싱 알고리즘으로 보호되었습니다. 그들은 한 달 이내에 공격자에 의해 쉽게 금이 되었습니다.
  • Uber는 5,700만 건의 사용자 기록과 600,000건의 운전자 기록을 유출하여 위반되었습니다. 개인 정보가 손실되었습니다. Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 비밀번호가 포함된 리포지토리가 오픈에 사용되어 있었기 때문에 발생했습니다... 좋은 생각이 아닙니다. Uber의 밸류에이션은 200억 달러 감소했으며, 이는 이 위반으로 인해 크게 감소했습니다.
  • 소니의 플레이 스테이션 네트워크는 7,700 만 개의 계정을 유출, 위반되었다. 1,200만 개의 계정에암호화되지 않은 신용 카드 정보가 포함되어 있습니다. 소니는 나중에 위반에 대한 1$500 만 달러의 집단 소송을 해결했습니다.

중요한 데이터를 제대로 저장하지 않는 데는 분명히 심각한 결과가 있습니다.

소니는 상당한 처벌인 소송을 제기했습니다. 그러나 소송을 당하지 않더라도 평판및 규제 적 피해는 비즈니스에 치명적일 수 있습니다.

안전하지 않은 암호화 스토리지 를 패배

개발자는 위의 데이터 유출이 발생하지 않도록 어떻게 막을 수 있습니까?

첫 번째 단계는 암호화가 필요한 데이터를 식별하는 것입니다. 결국 모든 데이터가 동일하지는 않습니다. 데이터를 분류한다음 적절한 경우 암호화를 사용합니다.

일반적으로 주민등록번호, 비밀번호, 신용카드 정보와 같은 개인정보를 보호해야 합니다. 비즈니스의 특성에 따라 개인으로 간주되는 건강 기록 또는 기타 정보를 보호해야 할 수 있습니다.

어떤 데이터를 보호해야 하는지 알게 되면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다. 일반적으로, 그것은 시간의 시험을 서 하 고 강한 것으로 간주 되는 암호화 알고리즘에 충실 하는 것이 좋다.

아무리, 자신의 암호화 기능을 작성하지 않습니다. 공격자가 암호화를 끊는 데 사용할 수 있는 결함이 포함될 수 있습니다.

사회 보장 번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 AES를사용합니다. AES에 대한 다른 작업 모드가 있으며, 쓰기 시 매우 권장되는 모드는 갈로이/카운터 모드(GCM)입니다. 또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩을 사용하지 않도록 하는 것입니다.

암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시합니다. 해시된 값을 감안할 때 공격자는 값을 만든 원본 텍스트를 검색할 수 없습니다. Argon2Bcrypt는암호를 해시하는 데 적합한 선택으로 간주됩니다. 해시하기 전에 임의의 값을 가진 암호를 항상 "소금"해야 하므로 동일한 암호에 대해 두 해시가 비슷하지 않습니다.

이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 있습니다. 특정 언어 또는 프레임워크에 대한 설명서를 확인하여 효과적으로 사용하는 방법에 대한 정보를 확인하십시오.

주요 생성, 스토리지 및 관리는 암호화의 중요한 구성 요소입니다. 제대로 관리되지 않는 키를 노출하여 데이터를 해독하는 데 사용할 수 있습니다. 일부 프레임워크는 ASP와 같은 주요 관리에 도움이 됩니다. NET의 데이터 보호 API. 주요 관리를 위한 일반적인 모범 사례는 OWASP의 치트 시트를확인하십시오.

데이터를 안전하게 저장하는 것은 비용이 많이 들고 당황스러운 데이터 유출을 방지하는 방법입니다. 최악의 경우 공격자가 데이터를 도용할 수 있는 경우 악의적인 목적으로 데이터를 보거나 사용하는 데 훨씬 더 어려운 시간을 할애할 수 있습니다.

눈에 보이지 않는 곳에 데이터 숨기기

데이터를 보호하는 방법을 신속하게 살펴보겠습니다.

  • 보호가 필요한 것을 알 수 있도록 데이터를 분류합니다.
  • 중요한 데이터를 암호화하기 위해 업계에서 검증한 강력한 알고리즘을 사용
  • 강력한 단방향 해시를 사용하여 암호 저장

주제를 자세히 연구하려면 학습 리소스를확인하십시오. 당신이 파고 연습 할 준비가되면, 당신의 원하는 언어로 우리의 플랫폼을 시도. 우리는 많이 커버!

이러한 도구를 사용하면 데이터가 도난당하지 않도록 하고 회사가 돈을 잃고 명성을 손상시키는 것을 방지할 수 있습니다.

지금 안전하지 않은 암호화 스토리지를 찾고 수정할 준비가 되셨습니까? 경기장으로 가서 기술을 테스트하십시오[여기에서 시작]

시작

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
야프 카란 싱
게시일: 2019년 3월 7일

야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .

공유하세요:

데이터는 기업의 생명선입니다. 생존, 돈을 벌고 고객에게 서비스를 제공하는 데 필요한 기본 정보입니다. 점점 더 디지털 중심이 되는 사회에서 개발자들은 이 귀중한 정보의 관리인으로서 막대한 책임을 지고 있습니다. 개발자가 기밀 데이터를 보호하지 않으면 비즈니스는 안전하지 않은 암호화 스토리지에 속합니다.

데이터를 안전하게 저장하는 방법과 데이터를 저장하지 않을 때 발생할 수 있는 방법을 살펴보겠습니다.

안전하지 않은 암호화 스토리지 이해

공격자가 시스템에 액세스할 때 일반적으로 값 데이터를 찾기 위해 합니다. 알고 있는 데이터 유형은 다른 사람의 계정을 인수하는 데 사용하거나 다른 공격을 실행하는 데 사용할 수 있습니다. 때때로, 데이터의이 종류는 단순히 빠른 현금에 대한 암시장에서 판매된다.

안전하지 않은 암호화 스토리지는 SQL 주입 이나 XSS와 같은 단일 취약점이 아닙니다. 보호해야 하는 데이터를 보호해야 하는 방식으로 보호하지 않는 결과입니다.

중요한 정보는 보호되어야 합니다. 당신은 일반 텍스트에 암호 와 신용 카드 정보를 저장할 때, 당신은 당신의 사업과 러시아어 룰렛을 재생됩니다.

해커가 데이터베이스에 침입하여 SQL 주입, XML 주입 또는 기타 공격을 사용하여 데이터를 훔치는 경우 모든 것을 갖습니다. 그러나 데이터를 암호화하면 실제 데이터를 사용하는 데 훨씬 더 힘든 시간이 주어질 수 있습니다.

위반이 항상 악의적인 외부인의 결과는 아니라는 점에 유의해야 합니다. 악성 내부자는 암호화되지 않은 경우 쉽게 데이터를 훔칠 수 있습니다. 회사의 직원은 데이터베이스의 모든 것을 볼 필요가 없으며 부적절한 액세스 제어 또는 노출된 중요한 데이터가 완전히 도난당할 수 있습니다.

모든 암호화가 동일하지 않다는 것을 기억하십시오. 잘못된 암호화 알고리즘을 사용하는 것은 사용하지 않는 것만큼 위험합니다. 알려진 약한 알고리즘은 정통한 공격자에 대한 저항을 거의 제공하지 않습니다.

안전하지 않은 암호화 스토리지가 위험한 이유

많은 회사가 다른 취약점(예: SQL 주입)에 의해 손상되어 도난당한 데이터를 숨길 수 없게 됩니다. 이것은 끔찍한 상황을 더욱 악화시다.

  • 성인 친구 파인더는 4억 1,200만 개의 계정을 유출하여 위반되었습니다. 계정의 암호는 약한 SHA-1 해싱 알고리즘으로 보호되었습니다. 그들은 한 달 이내에 공격자에 의해 쉽게 금이 되었습니다.
  • Uber는 5,700만 건의 사용자 기록과 600,000건의 운전자 기록을 유출하여 위반되었습니다. 개인 정보가 손실되었습니다. Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 비밀번호가 포함된 리포지토리가 오픈에 사용되어 있었기 때문에 발생했습니다... 좋은 생각이 아닙니다. Uber의 밸류에이션은 200억 달러 감소했으며, 이는 이 위반으로 인해 크게 감소했습니다.
  • 소니의 플레이 스테이션 네트워크는 7,700 만 개의 계정을 유출, 위반되었다. 1,200만 개의 계정에암호화되지 않은 신용 카드 정보가 포함되어 있습니다. 소니는 나중에 위반에 대한 1$500 만 달러의 집단 소송을 해결했습니다.

중요한 데이터를 제대로 저장하지 않는 데는 분명히 심각한 결과가 있습니다.

소니는 상당한 처벌인 소송을 제기했습니다. 그러나 소송을 당하지 않더라도 평판및 규제 적 피해는 비즈니스에 치명적일 수 있습니다.

안전하지 않은 암호화 스토리지 를 패배

개발자는 위의 데이터 유출이 발생하지 않도록 어떻게 막을 수 있습니까?

첫 번째 단계는 암호화가 필요한 데이터를 식별하는 것입니다. 결국 모든 데이터가 동일하지는 않습니다. 데이터를 분류한다음 적절한 경우 암호화를 사용합니다.

일반적으로 주민등록번호, 비밀번호, 신용카드 정보와 같은 개인정보를 보호해야 합니다. 비즈니스의 특성에 따라 개인으로 간주되는 건강 기록 또는 기타 정보를 보호해야 할 수 있습니다.

어떤 데이터를 보호해야 하는지 알게 되면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다. 일반적으로, 그것은 시간의 시험을 서 하 고 강한 것으로 간주 되는 암호화 알고리즘에 충실 하는 것이 좋다.

아무리, 자신의 암호화 기능을 작성하지 않습니다. 공격자가 암호화를 끊는 데 사용할 수 있는 결함이 포함될 수 있습니다.

사회 보장 번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 AES를사용합니다. AES에 대한 다른 작업 모드가 있으며, 쓰기 시 매우 권장되는 모드는 갈로이/카운터 모드(GCM)입니다. 또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩을 사용하지 않도록 하는 것입니다.

암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시합니다. 해시된 값을 감안할 때 공격자는 값을 만든 원본 텍스트를 검색할 수 없습니다. Argon2Bcrypt는암호를 해시하는 데 적합한 선택으로 간주됩니다. 해시하기 전에 임의의 값을 가진 암호를 항상 "소금"해야 하므로 동일한 암호에 대해 두 해시가 비슷하지 않습니다.

이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 있습니다. 특정 언어 또는 프레임워크에 대한 설명서를 확인하여 효과적으로 사용하는 방법에 대한 정보를 확인하십시오.

주요 생성, 스토리지 및 관리는 암호화의 중요한 구성 요소입니다. 제대로 관리되지 않는 키를 노출하여 데이터를 해독하는 데 사용할 수 있습니다. 일부 프레임워크는 ASP와 같은 주요 관리에 도움이 됩니다. NET의 데이터 보호 API. 주요 관리를 위한 일반적인 모범 사례는 OWASP의 치트 시트를확인하십시오.

데이터를 안전하게 저장하는 것은 비용이 많이 들고 당황스러운 데이터 유출을 방지하는 방법입니다. 최악의 경우 공격자가 데이터를 도용할 수 있는 경우 악의적인 목적으로 데이터를 보거나 사용하는 데 훨씬 더 어려운 시간을 할애할 수 있습니다.

눈에 보이지 않는 곳에 데이터 숨기기

데이터를 보호하는 방법을 신속하게 살펴보겠습니다.

  • 보호가 필요한 것을 알 수 있도록 데이터를 분류합니다.
  • 중요한 데이터를 암호화하기 위해 업계에서 검증한 강력한 알고리즘을 사용
  • 강력한 단방향 해시를 사용하여 암호 저장

주제를 자세히 연구하려면 학습 리소스를확인하십시오. 당신이 파고 연습 할 준비가되면, 당신의 원하는 언어로 우리의 플랫폼을 시도. 우리는 많이 커버!

이러한 도구를 사용하면 데이터가 도난당하지 않도록 하고 회사가 돈을 잃고 명성을 손상시키는 것을 방지할 수 있습니다.

지금 안전하지 않은 암호화 스토리지를 찾고 수정할 준비가 되셨습니까? 경기장으로 가서 기술을 테스트하십시오[여기에서 시작]

목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물