더 많은 위반, 더 많은 문제: 타사 앱에 대한 신뢰 비용
우리의 주요 임무는 소프트웨어와 개발을 안전하게 만드는 것이 비밀이 아닙니다. 생산 초기부터 보안을 염두에 두고 제작되었습니다. 당사의 비전은 개발자가 작성 과정에서 취약한 코드를 감지하고 문제가 되기 전에 해결해야 하는 기술과 지식에 힘을 실어주는 소프트웨어 생성을 위한 새로운 벤치마크를 설정합니다.
따라서 이러한 점을 염두에 두고 새로운 데이터 유출, 사이버 공격 및 전 세계 기업에 영향을 미치는 악용 된 코드에 대해 듣고 기쁘게 생각할 수 있습니다 . 진실은, 그것은 매우 실망. 대부분의 보안 교육이 위험을 최소화하고 이러한 위반을 막을 만큼 견고하지 않기 때문에 업계로서 우리는 몇 번이고 똑같은 실수를 저지르고 있습니다.
최신 데이터 유출 피해자는 Ticketmaster입니다. 영향을 받는 수천 명의 고객 중 한 명이라면 인시던트에 대한 통지와 비밀번호를 변경하는 이메일을 받았습니다. 아무도 콘서트 나 스포츠 이벤트 티켓을 구입하기 위해 단순히 자신의 개인 데이터를 위반 할 것으로 예상, 아직 여기에 우리는 있다.
그것은 모두에게 끔찍한 상황입니다. Ticketmaster의 명성과 명백히 썩은 고객 경험에 해를 끼칩니다. 하지만 한 가지 문제가 있습니다: 그것은 전적으로 그들의 잘못이 아니었습니다.
아시다시피, 이 회사는 Inbenta Technologies의 타사 고객 지원 애플리케이션의 서비스를 활용했습니다. Ticketmaster UK는 제품에 악성 코드가 포함되어 있다는 것을 발견하여 전 세계 고객 데이터의 5 %가 손상되었습니다.
그리고 해커가 이 시스템을 어떻게 악용할 수 있었을까요? 그들은 티켓 마스터의 요구 사항에 대한 Inbenta 기술에 의해 사용자 정의 자바 스크립트 코드의 한 줄을 조작. Inbenta에 따르면 코드는 수용하도록 제작되지 않은 페이지에서 사용되었으며, 코드가 알고 있었다면 보안 취약점으로 식별했을 것입니다.
취약점 자체는 기본적으로 파일 업로드/저장소 라이브러리 보안 문제이며, 여기서 하나의 위반만 동일한 코드가 로드되는 모든 사이트에 영향을 줄 수 있습니다. 이 코드는 먼저 개인 데이터를 수집하고 공격자에게 라우팅하도록 수정할 수 있습니다. 이것은 광범위한 피해 잠재력을 가진 간단한 악용이며 개발자를위한 다양한 플랫폼 교육 연습으로 방어하기 위해 노력하고 있습니다.
물론 일부 타사 응용 프로그램에 의존하지 않고는 비즈니스를 운영하는 것이 사실상 불가능합니다. 그러나 소프트웨어를 빌드하는 방법을 제어할 수 없으며 코드의 보안 강도에 대한 가시성이 0입니다. 신뢰 운동이 됩니다. 타사 파트너가 보안 코딩 관행이 느슨한 경우 회사에서 위반의 문을 열 수 있습니다.
그렇다면 해결책은 무엇일까요? 간단히 말해서, 우리 모두는 더 잘해야 합니다. 우리는 회사 혁신의 길에 자극적인 장애물로 보안을 생각하지 말아야 합니다.
개발 팀에게 보안을 수용할 수 있는 적절한 도구와 지식을 부여하여 트랙에서 잘못된 코드를 중지하는 것이 더 쉽습니다. 우리는 세계에서 가장 크고 가장 잘 알려진 금융, 통신, 소매 및 기술 회사가이 새로운 접근 방식을 채택하는 것을 기쁘게 생각하지만, 보안 교육에 대한 조치를 취할 포춘 100 기업의 유일한 영역이 되어서는 안됩니다. 개발자를 직원 중으로 계산하는 모든 회사는 팀이 안전하게 코딩할 수 있도록 교육을 구현해야 합니다.
최근에 발표된 백서는 CTO 마티아스 마두(Matias Madou)와 함께 작성한 것으로, 조직에서 보안 문화를 구축하는 이점을 보여줍니다. 우리는 왜 혁신의 잠금을 해제하고 민첩성을 유지하고 안전하지 않은 코드의 재정적 영향을 줄이는 열쇠인지 자세히 설명합니다.
다음과 같은 팁을 찾을 수 있습니다.
* 개발자에게 관련성 있고 참여를 유도하는 보안 교육을 만드는 방법
* 개발자가 자신의 문제를 식별하고 해결하도록 가르치는 방법
* 개발자가 자신의 코드를 안전하게 구성하는 데 도움이되는 방법.
이 리소스를 다운로드하여 조직의 보안을 옹호하고, 팀의 기술을 구축하고, 더 높은 수준의 코드를 설정하는 데 앞장서도록 초대합니다.
우리는 회사 혁신의 길에 자극적인 장애물로 보안을 생각하지 말아야 합니다.
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
더 많은 위반, 더 많은 문제: 타사 앱에 대한 신뢰 비용
우리의 주요 임무는 소프트웨어와 개발을 안전하게 만드는 것이 비밀이 아닙니다. 생산 초기부터 보안을 염두에 두고 제작되었습니다. 당사의 비전은 개발자가 작성 과정에서 취약한 코드를 감지하고 문제가 되기 전에 해결해야 하는 기술과 지식에 힘을 실어주는 소프트웨어 생성을 위한 새로운 벤치마크를 설정합니다.
따라서 이러한 점을 염두에 두고 새로운 데이터 유출, 사이버 공격 및 전 세계 기업에 영향을 미치는 악용 된 코드에 대해 듣고 기쁘게 생각할 수 있습니다 . 진실은, 그것은 매우 실망. 대부분의 보안 교육이 위험을 최소화하고 이러한 위반을 막을 만큼 견고하지 않기 때문에 업계로서 우리는 몇 번이고 똑같은 실수를 저지르고 있습니다.
최신 데이터 유출 피해자는 Ticketmaster입니다. 영향을 받는 수천 명의 고객 중 한 명이라면 인시던트에 대한 통지와 비밀번호를 변경하는 이메일을 받았습니다. 아무도 콘서트 나 스포츠 이벤트 티켓을 구입하기 위해 단순히 자신의 개인 데이터를 위반 할 것으로 예상, 아직 여기에 우리는 있다.
그것은 모두에게 끔찍한 상황입니다. Ticketmaster의 명성과 명백히 썩은 고객 경험에 해를 끼칩니다. 하지만 한 가지 문제가 있습니다: 그것은 전적으로 그들의 잘못이 아니었습니다.
아시다시피, 이 회사는 Inbenta Technologies의 타사 고객 지원 애플리케이션의 서비스를 활용했습니다. Ticketmaster UK는 제품에 악성 코드가 포함되어 있다는 것을 발견하여 전 세계 고객 데이터의 5 %가 손상되었습니다.
그리고 해커가 이 시스템을 어떻게 악용할 수 있었을까요? 그들은 티켓 마스터의 요구 사항에 대한 Inbenta 기술에 의해 사용자 정의 자바 스크립트 코드의 한 줄을 조작. Inbenta에 따르면 코드는 수용하도록 제작되지 않은 페이지에서 사용되었으며, 코드가 알고 있었다면 보안 취약점으로 식별했을 것입니다.
취약점 자체는 기본적으로 파일 업로드/저장소 라이브러리 보안 문제이며, 여기서 하나의 위반만 동일한 코드가 로드되는 모든 사이트에 영향을 줄 수 있습니다. 이 코드는 먼저 개인 데이터를 수집하고 공격자에게 라우팅하도록 수정할 수 있습니다. 이것은 광범위한 피해 잠재력을 가진 간단한 악용이며 개발자를위한 다양한 플랫폼 교육 연습으로 방어하기 위해 노력하고 있습니다.
물론 일부 타사 응용 프로그램에 의존하지 않고는 비즈니스를 운영하는 것이 사실상 불가능합니다. 그러나 소프트웨어를 빌드하는 방법을 제어할 수 없으며 코드의 보안 강도에 대한 가시성이 0입니다. 신뢰 운동이 됩니다. 타사 파트너가 보안 코딩 관행이 느슨한 경우 회사에서 위반의 문을 열 수 있습니다.
그렇다면 해결책은 무엇일까요? 간단히 말해서, 우리 모두는 더 잘해야 합니다. 우리는 회사 혁신의 길에 자극적인 장애물로 보안을 생각하지 말아야 합니다.
개발 팀에게 보안을 수용할 수 있는 적절한 도구와 지식을 부여하여 트랙에서 잘못된 코드를 중지하는 것이 더 쉽습니다. 우리는 세계에서 가장 크고 가장 잘 알려진 금융, 통신, 소매 및 기술 회사가이 새로운 접근 방식을 채택하는 것을 기쁘게 생각하지만, 보안 교육에 대한 조치를 취할 포춘 100 기업의 유일한 영역이 되어서는 안됩니다. 개발자를 직원 중으로 계산하는 모든 회사는 팀이 안전하게 코딩할 수 있도록 교육을 구현해야 합니다.
최근에 발표된 백서는 CTO 마티아스 마두(Matias Madou)와 함께 작성한 것으로, 조직에서 보안 문화를 구축하는 이점을 보여줍니다. 우리는 왜 혁신의 잠금을 해제하고 민첩성을 유지하고 안전하지 않은 코드의 재정적 영향을 줄이는 열쇠인지 자세히 설명합니다.
다음과 같은 팁을 찾을 수 있습니다.
* 개발자에게 관련성 있고 참여를 유도하는 보안 교육을 만드는 방법
* 개발자가 자신의 문제를 식별하고 해결하도록 가르치는 방법
* 개발자가 자신의 코드를 안전하게 구성하는 데 도움이되는 방법.
이 리소스를 다운로드하여 조직의 보안을 옹호하고, 팀의 기술을 구축하고, 더 높은 수준의 코드를 설정하는 데 앞장서도록 초대합니다.
우리는 회사 혁신의 길에 자극적인 장애물로 보안을 생각하지 말아야 합니다.
