제로 데이 공격이 증가하고 있습니다. 수비 우위를 계획해야 할 때입니다.
이 문서의 버전은 SC 매거진에 등장. 그것은 수정 및 여기에 신디케이트되었습니다.
도둑에 의해 집이 부서진 적이 있다면, 뭔가 잘못되었다는 초기 가라앉는 느낌과 실제로 도난당하고 위반되었다는 것을 깨닫게 됩니다. 그것은 일반적으로 지속적인 불편 귀착됩니다, 포트 녹스에 필적 것 보안 조치에 피벗은 말할 것도없고.
도둑이 스스로 열쇠를 만들었기 때문에 이제 당신의 집이 침해되었다고 상상해보십시오. 그들은 주위를 기어 다니고, 오고, 그들이 원하는대로 가고 있지만, 발견되지 않은 상태로 유지하도록주의합니다. 그런 다음 어느 날, 냉동실에 숨어있던 보석이 사라지고 금고가 비어 있고 개인 소지품이 약탈당했다는 것을 너무나 늦게 알 수 있습니다. 이것은 조직이 제로 데이 사이버 공격의 희생자가 되면 직면하는 것과 동등한 현실입니다. 2020년 Ponemon Institute의 연구에 따르면 성공적인 데이터 유출의 80%가 제로 데이 악용의 결과이며, 슬프게도 대부분의 기업은 이 통계를 크게 개선하기 위해 제대로 갖추지 못하고 있습니다.
제로 데이 공격은 정의에 따라 개발자에게 위협 행위자 먼저 얻었기 때문에 악용될 수 있는 기존 취약점을 찾고 패치할 시간을 제로로 제공합니다. 손상이 완료되고 소프트웨어와 비즈니스에 대한 평판 손상을 모두 해결하기 위한 미친 출격입니다. 공격자는 항상 우위를 점하고 있으며 가능한 한 그 가장자리를 닫는 것이 중요합니다.
아무도 원하지 않는 휴일 선물 - Log4Shell - 현재 이 치명적인 자바 취약점의 영향을 받는 것으로 전해지는 10억 개가 넘는 장치가 인터넷을 폭파하고 있습니다. 그것은 기록에 최악의 0 일 공격까지 형성, 그리고 우리는 단지 시작. 악용이 공개되기 며칠 전에 시작되었다는 일부 보고서에 도 불구하고 2016 년 Black Hat 컨퍼런스에서 발표 된 프리젠 테이션 은 이것이 한동안 알려진 문제임을 시사합니다. 아야. 더 나쁜 것은 악용하기가 고통스럽고, 지구상에 있는 모든 스크립트 키디와 위협 배우는 이 취약점으로 페이더트를 쫓고 있습니다.
그렇다면 소프트웨어 개발 과정에서 놓친 취약점은 말할 것도 없고 미끄러운 사악한 위협에 맞서 방어할 수 있는 최선의 방법은 무엇일까요? 살펴 보자.
큰 대상에 대한 제로 데이 공격은 드물고 비용이 많이 듭니다.
어두운 웹에 악용에 대 한 거 대 한 시장, 그리고 제로 일 꽤 페니에 대 한 이동 하는 경향이, 이 문서에 대 한 나열 된 한 예와 함께 $2.5 M 쓰기의 시간에. 애플 iOS의 악용으로 보고, 그것은 보안 연구원의 요구 가격은 지붕을 통해 놀라운 일이 아니다; 결국, 이것은 실제로 수백만 개의 장치를 손상시키고, 수십억 개의 중요한 데이터 레코드를 수확하고, 발견되고 패치되기 전에 가능한 한 오랫동안 할 수 있는 관문이 될 수 있습니다.
하지만 어쨌든 누가 그런 종류의 돈이 있습니까? 일반적으로 조직 된 사이버 범죄 신디케이트는 특히 인기있는 랜섬웨어 공격에 대해 가치가 있다고 판단되면 현금을 마련할 것입니다. 그러나 글로벌 정부와 국방부는 위협 인텔리전스에 사용할 수 있는 악용을 위한 고객 중 하나이며, 보다 긍정적인 시나리오에서는 회사 자체가 재해를 완화할 수 있도록 제로 데이 의 잠재적 인 악용의 구매자일 수 있습니다.
2021년 생 방송 제로데이 악용 검색에 대한 기록이 깨졌으며, 약점에 대해 조사할 위험이 가장 큰 조직, 정부 부처 및 인프라입니다. 제로 데이 공격의 가능성에서 완전히 안전 할 수있는 방법은 없지만 관대하고 잘 구조화 된 버그 현상금 프로그램을 제공함으로써 다소 "게임을 플레이"할 수 있습니다. 어두운 웹 마켓플레이스에서 소프트웨어 성에 대한 열쇠를 제공할 때까지 기다리지 말고, 합법적인 보안 강화 효과를 얻고 윤리적 공개 및 잠재적 수정에 대한 적절한 보상을 제공합니다.
그리고 만약 그것이 단지 그렇게 머리를 기르는 제로 데이 위협이 될 경우, 그것은 당신이 아마존 기프트 카드 보다 더 기침 해야 합니다 가정 하는 것이 안전 (그리고 그것은 그렇게 하는 동안 가치가 있을 것입니다).
툴링은 보안 담당자에게 책임이 될 수 있습니다.
성가신 보안 툴링은 오랫동안 문제가되어 왔으며, 평균 CISO는 보안 무기고 에서 55개에서 75개의 도구를 관리합니다. 포네몬 연구소의 연구에 따르면 , 세계에서 가장 혼란스러운 (은유적인) 스위스 육군 칼이 아닌 53%의 기업이 효과적으로 일하고 있다고 확신하지 못합니다. 또 다른 연구에 따르면 CISSo의 17%만이 보안 스택이 "완전히 효과적"이라고 생각했습니다.
소진, 수요를 충족하기 위해 보안 숙련도가 부족한 사람, 민첩성이 필요한 분야의 경우 보안 전문가가 막대한 도구 집합의 데이터, 보고 및 모니터링 의 형태로 정보 과부하를 처리해야 하는 것은 부담스러울 수 있습니다. 이것은 정확히 그들이 중요한 경고를 놓칠 수 있습니다 시나리오의 유형입니다, 잘 제대로 약점에 대한 Log4j를 평가에 올 때 되었을 수 있습니다.
예방 보안에는 개발자 기반 위협 모델링이 포함되어야 합니다.
코드 수준 취약점은 종종 개발자가 도입하는 경우가 많으며, 안전한 코딩 기술을 구축하기 위해서는 정밀 지침과 정기적인 학습 경로가 필요합니다. 그러나 차세대 보안 개발자는 소프트웨어 생성 프로세스의 일환으로 위협 모델링을 배우고 연습할 수 있는 기회를 얻었습니다.
자신의 소프트웨어를 가장 잘 아는 사람들이 거기에 앉아서 그것을 만든 개발자라는 것은 놀랄 일이 아닙니다. 사용자가 상호 작용하는 방법, 기능이 사용되는 위치, 보안에 충분히 인식할 때 중단되거나 악용될 수 있는 잠재적 시나리오에 대한 강력한 지식을 보유하고 있습니다.
Log4Shell 악용으로 다시 가져오는 경우, 안타깝게도 전문가 및 복잡한 도구 집합에 의해 치명적인 취약점이 탐지를 벗어난 시나리오가 있지만 라이브러리가 사용자 입력을 소독하도록 구성된 경우 전혀 발생하지 않았을 수 있습니다. 그렇게하는 것에 대한 결정은 추가 편의를위한 모호한 기능인 것 같지만 악용하기가 고통스럽게 쉬워졌습니다 (SQL 주입 수준을 생각하면 확실히 천재적인 것이 아닙니다). 보안에 정통한 개발자 그룹이 위협 모델링을 수행했다면 이 시나리오가 이론화되고 고려되었을 가능성이 높습니다.
훌륭한 보안 프로그램은 인간이 만든 문제를 해결하는 중심에 인간의 개입과 뉘앙스를 가진 감정적 인 구성 요소를 가지고 있습니다. 위협 모델링은 소프트웨어 및 응용 프로그램의 아키텍처 수준에서 코딩 및 구성을 보호하는 것처럼 공감과 경험이 효과적이도록 합니다. 이것은 개발자가 하룻밤 사이에 던져져야하는 것이 아니라이 중요한 작업에 대한 보안 팀의 압력을 취할 수있는 수준으로 업 스킬을 제공하는 명확한 경로는 이상적입니다 (그리고 양 팀 간의 교감을 구축 할 수있는 좋은 방법입니다).
제로 데이는 n-일로 이어질
제로 데이를 다루는 다음 부분은 취약한 소프트웨어의 모든 사용자가 가능한 한 빨리 적용하고 공격자가 먼저 도착하기 전에 지옥처럼 기대하면서 가능한 한 빨리 패치를 얻는 것입니다. Log4Shell을 사용하면 수백만 개의 장치에 내장되어 소프트웨어 빌드전반에 걸쳐 복잡한 종속성을 생성하는 데 직면하여 내구성과 힘에 Heartbleed를 가리킬 수 있습니다.
현실적으로, 완전히 교활한 공격의이 유형을 중지 할 수있는 방법은 없습니다. 그러나 모든 길을 사용하여 품질, 보안 소프트웨어를 만들고 중요한 인프라와 동일한 사고 방식을 사용하여 개발에 접근하려는 약속으로 우리는 모두 싸울 기회를 가질 수 있습니다.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
제로 데이 공격이 증가하고 있습니다. 수비 우위를 계획해야 할 때입니다.
이 문서의 버전은 SC 매거진에 등장. 그것은 수정 및 여기에 신디케이트되었습니다.
도둑에 의해 집이 부서진 적이 있다면, 뭔가 잘못되었다는 초기 가라앉는 느낌과 실제로 도난당하고 위반되었다는 것을 깨닫게 됩니다. 그것은 일반적으로 지속적인 불편 귀착됩니다, 포트 녹스에 필적 것 보안 조치에 피벗은 말할 것도없고.
도둑이 스스로 열쇠를 만들었기 때문에 이제 당신의 집이 침해되었다고 상상해보십시오. 그들은 주위를 기어 다니고, 오고, 그들이 원하는대로 가고 있지만, 발견되지 않은 상태로 유지하도록주의합니다. 그런 다음 어느 날, 냉동실에 숨어있던 보석이 사라지고 금고가 비어 있고 개인 소지품이 약탈당했다는 것을 너무나 늦게 알 수 있습니다. 이것은 조직이 제로 데이 사이버 공격의 희생자가 되면 직면하는 것과 동등한 현실입니다. 2020년 Ponemon Institute의 연구에 따르면 성공적인 데이터 유출의 80%가 제로 데이 악용의 결과이며, 슬프게도 대부분의 기업은 이 통계를 크게 개선하기 위해 제대로 갖추지 못하고 있습니다.
제로 데이 공격은 정의에 따라 개발자에게 위협 행위자 먼저 얻었기 때문에 악용될 수 있는 기존 취약점을 찾고 패치할 시간을 제로로 제공합니다. 손상이 완료되고 소프트웨어와 비즈니스에 대한 평판 손상을 모두 해결하기 위한 미친 출격입니다. 공격자는 항상 우위를 점하고 있으며 가능한 한 그 가장자리를 닫는 것이 중요합니다.
아무도 원하지 않는 휴일 선물 - Log4Shell - 현재 이 치명적인 자바 취약점의 영향을 받는 것으로 전해지는 10억 개가 넘는 장치가 인터넷을 폭파하고 있습니다. 그것은 기록에 최악의 0 일 공격까지 형성, 그리고 우리는 단지 시작. 악용이 공개되기 며칠 전에 시작되었다는 일부 보고서에 도 불구하고 2016 년 Black Hat 컨퍼런스에서 발표 된 프리젠 테이션 은 이것이 한동안 알려진 문제임을 시사합니다. 아야. 더 나쁜 것은 악용하기가 고통스럽고, 지구상에 있는 모든 스크립트 키디와 위협 배우는 이 취약점으로 페이더트를 쫓고 있습니다.
그렇다면 소프트웨어 개발 과정에서 놓친 취약점은 말할 것도 없고 미끄러운 사악한 위협에 맞서 방어할 수 있는 최선의 방법은 무엇일까요? 살펴 보자.
큰 대상에 대한 제로 데이 공격은 드물고 비용이 많이 듭니다.
어두운 웹에 악용에 대 한 거 대 한 시장, 그리고 제로 일 꽤 페니에 대 한 이동 하는 경향이, 이 문서에 대 한 나열 된 한 예와 함께 $2.5 M 쓰기의 시간에. 애플 iOS의 악용으로 보고, 그것은 보안 연구원의 요구 가격은 지붕을 통해 놀라운 일이 아니다; 결국, 이것은 실제로 수백만 개의 장치를 손상시키고, 수십억 개의 중요한 데이터 레코드를 수확하고, 발견되고 패치되기 전에 가능한 한 오랫동안 할 수 있는 관문이 될 수 있습니다.
하지만 어쨌든 누가 그런 종류의 돈이 있습니까? 일반적으로 조직 된 사이버 범죄 신디케이트는 특히 인기있는 랜섬웨어 공격에 대해 가치가 있다고 판단되면 현금을 마련할 것입니다. 그러나 글로벌 정부와 국방부는 위협 인텔리전스에 사용할 수 있는 악용을 위한 고객 중 하나이며, 보다 긍정적인 시나리오에서는 회사 자체가 재해를 완화할 수 있도록 제로 데이 의 잠재적 인 악용의 구매자일 수 있습니다.
2021년 생 방송 제로데이 악용 검색에 대한 기록이 깨졌으며, 약점에 대해 조사할 위험이 가장 큰 조직, 정부 부처 및 인프라입니다. 제로 데이 공격의 가능성에서 완전히 안전 할 수있는 방법은 없지만 관대하고 잘 구조화 된 버그 현상금 프로그램을 제공함으로써 다소 "게임을 플레이"할 수 있습니다. 어두운 웹 마켓플레이스에서 소프트웨어 성에 대한 열쇠를 제공할 때까지 기다리지 말고, 합법적인 보안 강화 효과를 얻고 윤리적 공개 및 잠재적 수정에 대한 적절한 보상을 제공합니다.
그리고 만약 그것이 단지 그렇게 머리를 기르는 제로 데이 위협이 될 경우, 그것은 당신이 아마존 기프트 카드 보다 더 기침 해야 합니다 가정 하는 것이 안전 (그리고 그것은 그렇게 하는 동안 가치가 있을 것입니다).
툴링은 보안 담당자에게 책임이 될 수 있습니다.
성가신 보안 툴링은 오랫동안 문제가되어 왔으며, 평균 CISO는 보안 무기고 에서 55개에서 75개의 도구를 관리합니다. 포네몬 연구소의 연구에 따르면 , 세계에서 가장 혼란스러운 (은유적인) 스위스 육군 칼이 아닌 53%의 기업이 효과적으로 일하고 있다고 확신하지 못합니다. 또 다른 연구에 따르면 CISSo의 17%만이 보안 스택이 "완전히 효과적"이라고 생각했습니다.
소진, 수요를 충족하기 위해 보안 숙련도가 부족한 사람, 민첩성이 필요한 분야의 경우 보안 전문가가 막대한 도구 집합의 데이터, 보고 및 모니터링 의 형태로 정보 과부하를 처리해야 하는 것은 부담스러울 수 있습니다. 이것은 정확히 그들이 중요한 경고를 놓칠 수 있습니다 시나리오의 유형입니다, 잘 제대로 약점에 대한 Log4j를 평가에 올 때 되었을 수 있습니다.
예방 보안에는 개발자 기반 위협 모델링이 포함되어야 합니다.
코드 수준 취약점은 종종 개발자가 도입하는 경우가 많으며, 안전한 코딩 기술을 구축하기 위해서는 정밀 지침과 정기적인 학습 경로가 필요합니다. 그러나 차세대 보안 개발자는 소프트웨어 생성 프로세스의 일환으로 위협 모델링을 배우고 연습할 수 있는 기회를 얻었습니다.
자신의 소프트웨어를 가장 잘 아는 사람들이 거기에 앉아서 그것을 만든 개발자라는 것은 놀랄 일이 아닙니다. 사용자가 상호 작용하는 방법, 기능이 사용되는 위치, 보안에 충분히 인식할 때 중단되거나 악용될 수 있는 잠재적 시나리오에 대한 강력한 지식을 보유하고 있습니다.
Log4Shell 악용으로 다시 가져오는 경우, 안타깝게도 전문가 및 복잡한 도구 집합에 의해 치명적인 취약점이 탐지를 벗어난 시나리오가 있지만 라이브러리가 사용자 입력을 소독하도록 구성된 경우 전혀 발생하지 않았을 수 있습니다. 그렇게하는 것에 대한 결정은 추가 편의를위한 모호한 기능인 것 같지만 악용하기가 고통스럽게 쉬워졌습니다 (SQL 주입 수준을 생각하면 확실히 천재적인 것이 아닙니다). 보안에 정통한 개발자 그룹이 위협 모델링을 수행했다면 이 시나리오가 이론화되고 고려되었을 가능성이 높습니다.
훌륭한 보안 프로그램은 인간이 만든 문제를 해결하는 중심에 인간의 개입과 뉘앙스를 가진 감정적 인 구성 요소를 가지고 있습니다. 위협 모델링은 소프트웨어 및 응용 프로그램의 아키텍처 수준에서 코딩 및 구성을 보호하는 것처럼 공감과 경험이 효과적이도록 합니다. 이것은 개발자가 하룻밤 사이에 던져져야하는 것이 아니라이 중요한 작업에 대한 보안 팀의 압력을 취할 수있는 수준으로 업 스킬을 제공하는 명확한 경로는 이상적입니다 (그리고 양 팀 간의 교감을 구축 할 수있는 좋은 방법입니다).
제로 데이는 n-일로 이어질
제로 데이를 다루는 다음 부분은 취약한 소프트웨어의 모든 사용자가 가능한 한 빨리 적용하고 공격자가 먼저 도착하기 전에 지옥처럼 기대하면서 가능한 한 빨리 패치를 얻는 것입니다. Log4Shell을 사용하면 수백만 개의 장치에 내장되어 소프트웨어 빌드전반에 걸쳐 복잡한 종속성을 생성하는 데 직면하여 내구성과 힘에 Heartbleed를 가리킬 수 있습니다.
현실적으로, 완전히 교활한 공격의이 유형을 중지 할 수있는 방법은 없습니다. 그러나 모든 길을 사용하여 품질, 보안 소프트웨어를 만들고 중요한 인프라와 동일한 사고 방식을 사용하여 개발에 접근하려는 약속으로 우리는 모두 싸울 기회를 가질 수 있습니다.
