SQL 주사가 AppSec 세계의 바퀴벌레인 이유 (그리고 CIS가 한 번에 그들을 근절 할 수있는 방법)

게시일: 2018년 9월 26일
작성자: 마티아스 마두, Ph.
사례 연구

SQL 주사가 AppSec 세계의 바퀴벌레인 이유 (그리고 CIS가 한 번에 그들을 근절 할 수있는 방법)

게시일: 2018년 9월 26일
작성자: 마티아스 마두, Ph.
리소스 보기
리소스 보기

바퀴벌레가 기본적으로 무엇이든 살아남을 수 있다는 잘 알려진 이론이 있습니다 - 심지어 핵 폭발. 그 이론은 지점에 충실 반지 하는 동안, 그들의 간단한 신체 구성 그들의 크기에 대 한 매우 강건 하 게, 그리고 대부분의 조건에서 근절 하기 어려운.

생각 중이에요... 바퀴벌레가 디지털 세계에서 동등한 경우 코드에서 SQL 주입(SQLi) 취약점이어야 합니다. 이것은 20 년 이상 알려진 취약점이었지만 조직은 몇 번이고 다시 희생자가됩니다. 대상에 대한 광범위하고 비용이 많이 드는 공격은 200,000 명의 유권자 기록이 노출된 일리노이 주에서 선거 해킹의 경우와 마찬가지로 SQL 주입의 결과였으며 FBI는 모든 IT 관리자가 보안 관행을 강화하기 위해 신속하게 일할 것을 권장했습니다.

Imperva의 해커 인텔리전스 이니셔티브 보고서에 따르면 2005년과 2011년 사이에 SQLi 공격은 보고된 모든 데이터 유출의 83%에 사용되었습니다. 오늘날, 주입 취약점은 OWASP 탑 10에서가장 큰 위협입니다. 그들은 상대적으로 간단하지만 죽지 않을 것입니다.

이 같은 취약점이 여전히 응용 프로그램 보안 검사의 상당수에 나타나는 것은 어리석은 것 같다. 우리는 그것이 어떻게 작동하는지 알고 있으며, 그것을 막는 방법을 알고 있습니다. 어떻게 이것이 가능합니까? 진실은, 우리의 소프트웨어 보안은 개선의 여지가 광대 한 양의.

Veracode의 소프트웨어 보안 현황 보고서 - 2017년 400,000건의 응용 프로그램 스캔을 기반으로 한 "놀라운 통계를 공개했습니다: 응용 프로그램의 30%만이 OWASP Top 10 정책을 통과했습니다. 이는 지난 5년 동안 일관된 주제였으며, SQL 주사는 새로 스캔된 3개의 응용 프로그램 중 거의 1개에 나타났습니다. 이것은 풍토성 문제의 증거입니다. 우리는 우리의 실수에서 배우고 있지 않으며, CISOs는 충분한 보안 인재를 조달 할 수있는 오르막 전투에 직면 하는 것 같다. 일반적으로 AppSec 전문가와 개발자의 비율은 부적절한 1:100입니다.

소프트웨어 보안이 생명 유지에 중요한 이유는 무엇입니까?

전문 보안 인재가 부족하다는 것은 비밀이 아니지만 개발자가 문제를 해결하지 못하고 있으며 애초에 취약점을 도입하지 않는 데 매우 잘 갖추어져 있다는 사실에주의를 기울여야 합니다. 동일한 Veracode 보고서에서 모든 개발 취약점의 14.4%에 대한 문서화된 완화가 있었다는 사실이 공개되었습니다. 즉, 대부분의 취약점은 개발 완화 없이 제출되었습니다. 처음 90일 동안 취약점의 3분의 1 미만이 폐쇄되었으며, 개발 기간 내에 42%의 취약점이 닫히지 않았습니다.

나는 보안 전문가, CIS및 CEO에게 항상 이야기하고, 일화적으로, 나는 많은 기업들이 완화 될 수없는 취약점의 수에 너무 좌절된다는 것을 알게되었습니다 (거짓 긍정으로 알려진 재앙에 추가), 그들은 모두 그들을 위해 스캔을 중지하고, 손가락을 교차하고 최선을 기대.

AppSec 전문가가 이런 일이 일어나게 하는 이유는 무엇입니까?

실수하지 마세요: AppSec 사람들은 코드의 문제를 고통스럽게 알고 있습니다. 결국, 그것은 그들에게 귀중한 팀 자원을 만드는 그들의 핵심 기술 중 하나입니다. 그러나, 그들은 종종 여러 요인에 의해 방해.

예를 들어 AppSec 관리자는 문제를 찾아 개발자에게 "코드를 수정할 수 있습니까?" 하고 묻습니다. 이 중요한 질문에 대한 대답은 조직마다 다르지만 일반적으로 개발자는 엄격한 기능 전달 스프린트를 충족하여 이러한 문제를 해결할 시간이 없으며 이를 도울 수 있는 적절한 도구가 없습니다. AppSec 전문가 자신은 취약점을 식별할 수 있지만, 그 자리에서 취약점을 수정할 수 있는 기술 및/또는 액세스 권한이 없는 경우가 많습니다.

우리는 또한 모든 문제에 대해 해결책을 찾고 구현한 다음 테스트해야 하는 프로세스가 있음을 깨달아야 합니다. 코드에서 발견되는 사소한 문제조차도 필요한 리소스는 말할 것도 없고 수정하는 데 걸리는 시간은 엄청입니다. 소프트웨어에 도입할 수 있는 취약점은 700개 이상이며, 한 사람이 모두 방어할 수 있는 것은 불가능합니다. 이러한 이유로 대부분의 기업은 OWASP Top 10만 팔로우하고 있습니다. 그 동안 개발자는 기능을 계속 빌드하고, 동시에 작성하는 코드에 취약점을 계속 도입합니다.

해결책은 무엇입니까?

간단한 사실은, 우리는 우리의 개발자에게 안전한 코딩 성공을 촉진하기 위한 도구와 교육을 제공하지 않습니다. 개발자가 적절한 보안 기술을 보유하도록 조직을 강제하는 규정은 없으며, 대부분의 대학과 인턴십이 주니어 개발자가 안전하게 코딩할 수 있도록 준비하지 않는 것은 슬픈 현실입니다.

누군가가 비행기를 조종하기를 원할 때, 비행하기 전에 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장하는 매우 엄격한 프로세스가 있습니다. 아무도 감히 그들이 기술의이 광범위한 준비와 검증없이 하늘에서 느슨하게 될 것이라고 상상하지 않을 것이다, 그러나 이것은 코드 쓰기와 매일 일어나는 것입니다.  

개발자가 보안 코드를 작성하는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되는 요즘에는 공급 부족에 존재하는 훌륭한 개발자와 보안 전문가가 우선순위가 되지 않는 것 같습니다. 대화를 바꿔야 할 때입니다.

세계경제포럼의 최근 헤드라인은 "보안이 없는 디지털 경제는 있을 수 없다"고 외쳤고, 첨부된 콘텐츠는 보안이 디지털 혁신 전략의 핵심부분이 될 필요성을 주장했다. "보안은 비즈니스를 보호하고 혁신하고 새로운 제품과 서비스를 구축할 수 있도록 하는 것입니다. 보안은 방어적인 역할을 넘어 기업에 전략적 성장 우위를 제공합니다."

보안 코딩 기술과 결과를 개선하면 조직에 대한 강력한 사이버 보호 계층이 추가되어 더 빠르고 빠른 코드를 만들 수 있습니다. 개발자는 보안 전문가가 될 필요는 없지만 사이버 공격에 대한 첫 번째 방어 선이 되기 위해서는 긍정적이고 실질적으로 권한을 부여받아야 합니다. 개발자는 다음 보안 및 혁신 영웅이 될 수 있습니다. 그들은 매우 영리한 사람들, 그들은 창조적 인 문제 해결사이며, 일반적으로 자신의 기술을 구축하기 위해 촉각을 곤두 세우고있다. 그들이 받을 자격이 있는 전문 교육으로 자신의 강점을 발휘하고 더 높은 소프트웨어 보안 표준을 준수하십시오. 백서를 읽고 자세히 알아보십시오.

누군가가 비행기를 조종하기를 원할 때, 비행하기 전에 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장하는 매우 엄격한 프로세스가 있습니다. 아무도 감히 그들이 기술의이 광범위한 준비와 검증없이 하늘에서 느슨하게 될 것이라고 상상하지 않을 것이다, 그러나 이것은 코드 쓰기와 매일 일어나는 것입니다.
리소스 보기
리소스 보기

저자

마티아스 마두, Ph.

Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.

마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

SQL 주사가 AppSec 세계의 바퀴벌레인 이유 (그리고 CIS가 한 번에 그들을 근절 할 수있는 방법)

게시일: 2018년 9월 26일
마티아스 마두, Ph.

바퀴벌레가 기본적으로 무엇이든 살아남을 수 있다는 잘 알려진 이론이 있습니다 - 심지어 핵 폭발. 그 이론은 지점에 충실 반지 하는 동안, 그들의 간단한 신체 구성 그들의 크기에 대 한 매우 강건 하 게, 그리고 대부분의 조건에서 근절 하기 어려운.

생각 중이에요... 바퀴벌레가 디지털 세계에서 동등한 경우 코드에서 SQL 주입(SQLi) 취약점이어야 합니다. 이것은 20 년 이상 알려진 취약점이었지만 조직은 몇 번이고 다시 희생자가됩니다. 대상에 대한 광범위하고 비용이 많이 드는 공격은 200,000 명의 유권자 기록이 노출된 일리노이 주에서 선거 해킹의 경우와 마찬가지로 SQL 주입의 결과였으며 FBI는 모든 IT 관리자가 보안 관행을 강화하기 위해 신속하게 일할 것을 권장했습니다.

Imperva의 해커 인텔리전스 이니셔티브 보고서에 따르면 2005년과 2011년 사이에 SQLi 공격은 보고된 모든 데이터 유출의 83%에 사용되었습니다. 오늘날, 주입 취약점은 OWASP 탑 10에서가장 큰 위협입니다. 그들은 상대적으로 간단하지만 죽지 않을 것입니다.

이 같은 취약점이 여전히 응용 프로그램 보안 검사의 상당수에 나타나는 것은 어리석은 것 같다. 우리는 그것이 어떻게 작동하는지 알고 있으며, 그것을 막는 방법을 알고 있습니다. 어떻게 이것이 가능합니까? 진실은, 우리의 소프트웨어 보안은 개선의 여지가 광대 한 양의.

Veracode의 소프트웨어 보안 현황 보고서 - 2017년 400,000건의 응용 프로그램 스캔을 기반으로 한 "놀라운 통계를 공개했습니다: 응용 프로그램의 30%만이 OWASP Top 10 정책을 통과했습니다. 이는 지난 5년 동안 일관된 주제였으며, SQL 주사는 새로 스캔된 3개의 응용 프로그램 중 거의 1개에 나타났습니다. 이것은 풍토성 문제의 증거입니다. 우리는 우리의 실수에서 배우고 있지 않으며, CISOs는 충분한 보안 인재를 조달 할 수있는 오르막 전투에 직면 하는 것 같다. 일반적으로 AppSec 전문가와 개발자의 비율은 부적절한 1:100입니다.

소프트웨어 보안이 생명 유지에 중요한 이유는 무엇입니까?

전문 보안 인재가 부족하다는 것은 비밀이 아니지만 개발자가 문제를 해결하지 못하고 있으며 애초에 취약점을 도입하지 않는 데 매우 잘 갖추어져 있다는 사실에주의를 기울여야 합니다. 동일한 Veracode 보고서에서 모든 개발 취약점의 14.4%에 대한 문서화된 완화가 있었다는 사실이 공개되었습니다. 즉, 대부분의 취약점은 개발 완화 없이 제출되었습니다. 처음 90일 동안 취약점의 3분의 1 미만이 폐쇄되었으며, 개발 기간 내에 42%의 취약점이 닫히지 않았습니다.

나는 보안 전문가, CIS및 CEO에게 항상 이야기하고, 일화적으로, 나는 많은 기업들이 완화 될 수없는 취약점의 수에 너무 좌절된다는 것을 알게되었습니다 (거짓 긍정으로 알려진 재앙에 추가), 그들은 모두 그들을 위해 스캔을 중지하고, 손가락을 교차하고 최선을 기대.

AppSec 전문가가 이런 일이 일어나게 하는 이유는 무엇입니까?

실수하지 마세요: AppSec 사람들은 코드의 문제를 고통스럽게 알고 있습니다. 결국, 그것은 그들에게 귀중한 팀 자원을 만드는 그들의 핵심 기술 중 하나입니다. 그러나, 그들은 종종 여러 요인에 의해 방해.

예를 들어 AppSec 관리자는 문제를 찾아 개발자에게 "코드를 수정할 수 있습니까?" 하고 묻습니다. 이 중요한 질문에 대한 대답은 조직마다 다르지만 일반적으로 개발자는 엄격한 기능 전달 스프린트를 충족하여 이러한 문제를 해결할 시간이 없으며 이를 도울 수 있는 적절한 도구가 없습니다. AppSec 전문가 자신은 취약점을 식별할 수 있지만, 그 자리에서 취약점을 수정할 수 있는 기술 및/또는 액세스 권한이 없는 경우가 많습니다.

우리는 또한 모든 문제에 대해 해결책을 찾고 구현한 다음 테스트해야 하는 프로세스가 있음을 깨달아야 합니다. 코드에서 발견되는 사소한 문제조차도 필요한 리소스는 말할 것도 없고 수정하는 데 걸리는 시간은 엄청입니다. 소프트웨어에 도입할 수 있는 취약점은 700개 이상이며, 한 사람이 모두 방어할 수 있는 것은 불가능합니다. 이러한 이유로 대부분의 기업은 OWASP Top 10만 팔로우하고 있습니다. 그 동안 개발자는 기능을 계속 빌드하고, 동시에 작성하는 코드에 취약점을 계속 도입합니다.

해결책은 무엇입니까?

간단한 사실은, 우리는 우리의 개발자에게 안전한 코딩 성공을 촉진하기 위한 도구와 교육을 제공하지 않습니다. 개발자가 적절한 보안 기술을 보유하도록 조직을 강제하는 규정은 없으며, 대부분의 대학과 인턴십이 주니어 개발자가 안전하게 코딩할 수 있도록 준비하지 않는 것은 슬픈 현실입니다.

누군가가 비행기를 조종하기를 원할 때, 비행하기 전에 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장하는 매우 엄격한 프로세스가 있습니다. 아무도 감히 그들이 기술의이 광범위한 준비와 검증없이 하늘에서 느슨하게 될 것이라고 상상하지 않을 것이다, 그러나 이것은 코드 쓰기와 매일 일어나는 것입니다.  

개발자가 보안 코드를 작성하는 데 시간을 할애해야 합니다. 그러나 소프트웨어 개발이 빠르게 진행되는 요즘에는 공급 부족에 존재하는 훌륭한 개발자와 보안 전문가가 우선순위가 되지 않는 것 같습니다. 대화를 바꿔야 할 때입니다.

세계경제포럼의 최근 헤드라인은 "보안이 없는 디지털 경제는 있을 수 없다"고 외쳤고, 첨부된 콘텐츠는 보안이 디지털 혁신 전략의 핵심부분이 될 필요성을 주장했다. "보안은 비즈니스를 보호하고 혁신하고 새로운 제품과 서비스를 구축할 수 있도록 하는 것입니다. 보안은 방어적인 역할을 넘어 기업에 전략적 성장 우위를 제공합니다."

보안 코딩 기술과 결과를 개선하면 조직에 대한 강력한 사이버 보호 계층이 추가되어 더 빠르고 빠른 코드를 만들 수 있습니다. 개발자는 보안 전문가가 될 필요는 없지만 사이버 공격에 대한 첫 번째 방어 선이 되기 위해서는 긍정적이고 실질적으로 권한을 부여받아야 합니다. 개발자는 다음 보안 및 혁신 영웅이 될 수 있습니다. 그들은 매우 영리한 사람들, 그들은 창조적 인 문제 해결사이며, 일반적으로 자신의 기술을 구축하기 위해 촉각을 곤두 세우고있다. 그들이 받을 자격이 있는 전문 교육으로 자신의 강점을 발휘하고 더 높은 소프트웨어 보안 표준을 준수하십시오. 백서를 읽고 자세히 알아보십시오.

누군가가 비행기를 조종하기를 원할 때, 비행하기 전에 교육, 실무 경험, 건강 검진, 안전 지식 및 시험을 보장하는 매우 엄격한 프로세스가 있습니다. 아무도 감히 그들이 기술의이 광범위한 준비와 검증없이 하늘에서 느슨하게 될 것이라고 상상하지 않을 것이다, 그러나 이것은 코드 쓰기와 매일 일어나는 것입니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.