2022년에 무시할 수 없는 사이버 보안 문제
이 문서의 버전은 인포시큐리티 매거진에 게재되었습니다. 여기에 업데이트되고 신디케이트되었습니다.
지난 2 년 동안 은 불에 의해 다소 세례되었습니다, 잘, 모든 사람, 하지만 대부분의 조직에 대한 사이버 보안 청사진은 우리 중 많은 사람들이 거의 하룻밤 원격 작업 모델에 떨어졌다으로 테스트에 넣어. 우리는 전염병이 시작된 이후 보고 된 사이버 범죄가 300 % 급증하는 필사적 인 위협 행위자의 여파로 특히 업계로 적응해야했습니다.
우리는 모두 몇 가지 교훈을 배웠고, 일반적인 사이버 보안이 더 심각하게 받아들여지고 있다는 사실에 위안을 얻었기 때문에 코드 수준 소프트웨어 보안 및 품질도 마찬가지입니다. 소프트웨어 공급망 확보에 대한 Biden의 행정 명령은 특히 SolarWinds 대량 유출의 여파로 중요한 문제를 초래했습니다. 우리 모두가 보안에 더 많은 관심을 가지고 측정 가능한 보안 인식을 통해 취약점을 줄이기 위해 노력해야 한다는 생각은 분명히 대화의 큰 부분입니다.
즉, 사이버 범죄자에 맞서 싸울 때, 우리는 예방 적 사고 방식으로 놀이터를 선점하면서 가능한 한 그들과 함께 해야합니다.
내년에 파도를 일으키기 시작할 수 있다고 생각합니다.
메타버스는 새로운 공격 표면입니다.
메타버스는 인터넷의 다음 진화일 지 모르지만, 대부분의 산업이 소프트웨어와 디지털 환경을 보호하는 방식에 접근하는 방식에서 유사한 변화는 아직 실현되지 못하고 있습니다.
피싱 사기와 같은 일반적인 사이버 보안 함정은 피할 수 없지만 (모두가 메타 버스로 발을 찾는 동안 가능성이 풍부함), 이 몰입형 가상 세계를 가능하게하는 실제 인프라 및 장치는 안전해야합니다. 스마트폰이 온라인 생활을 하는 데 도움이 된 방식과 마찬가지로 VR 헤드셋과 같은 주변 기기는 사용자 데이터의 산에 대한 새로운 관문입니다. IoT 가젯을 안전하게 만들기 위해서는 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR의 용감한 새로운 세계도 예외는 아닙니다. Log4Shell 악용에서 보았듯이 코드 레벨의 간단한 오류는 위협 행위자의 백스테이지 패스로 피어날 수 있으며 시뮬레이션된 현실에서 모든 움직임은 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있는 동안 성공적인 메타버스는 암호 화폐 (최신 밈 동전의 무작위 비장뿐만 아니라)의 실질적인 채택을 요구할 것이며, NFT와 같은 가치 항목은 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수있는 새로운 "와일드 웨스트"로 열립니다. 엔지니어들이 서사시적인 기능과 향상된 기능으로 미쳐 가기 전에 이 새롭고 광대한 공격 표면을 처음부터 최소화하는 것이 우선순위가 되어야 합니다.
Log4Shell의 여파로 법률
혼란에 던져 진 개발자의 점수에 대 한, 어떤 인스턴스가 있는지 찾기 위해 스크램블, 또는 종속성, 널리 사용 되는 Log4j 로깅 도구의 악용 버전, 휴가 기간 즐거운 시간 되었을 것 이라고 생각 하지 않습니다.
이 제로 데이 공격은 기록상 최악의 공격 중 하나이며, Log4Shell과 6 년 후에도 여전히 악용되고있는 파괴적인 Heartbleed OpenSSL 취약점 을 비교합니다. 이 타임라인이 가야 할 것이라면, 우리는 앞으로 오랫동안 Log4Shell 숙취를 다룰 것입니다. 적어도 가능한 한 빨리 패치를 출시하고 구현해야 한다는 측면에서 Heartbleed에서 얻은 교훈에도 불구하고 많은 조직이 스스로를 보호하기에 충분히 빨리 행동하지 않는다는 것은 분명합니다. 회사의 규모에 따라 패치는 매우 어렵고 관료적일 수 있으며, 부서 간 문서와 구현이 필요합니다. IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과 사전 지식이 없으며 중단 및 응용 프로그램 중단 시간을 최소화하기 위해 엄격한 배포 일정에 방해를 받습니다. 이 작업 방법에 대한 타당한 이유가 있습니다 (읽기 : 아무도 작품에 스패너를 던져 뭔가를 깰 싶지 않습니다), 하지만 너무 느리게 패치하는 것은 앉아 오리가 될 것입니다.
SolarWinds 공격이 소프트웨어 공급망의 게임을 변경한 것처럼 Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상됩니다. 일부 중요한 산업에는 이미 패치 관리 명령과 권장 사항이 있지만 광범위한 법안은 또 다른 이야기입니다. 예방 소프트웨어 보안은 항상 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 기회이지만 보안 모범 사례는 패치가 협상할 수 없는 우선 순위 측정이라고 규정합니다. 나는 이것이 화제가 될 것이라고 생각하고, 신속하고 자주 패치하는 미묘한 권장 사항으로 이어질 것입니다.
아키텍처 보안에 더 중점을 두다(개발자는 준비가 되지 않았습니다)
새로운 OWASP Top 10 2021 에는 몇 가지 중요한 새로운 추가뿐만 아니라 주입 취약점이 상위 권에서 3 위로 떨어지는 놀라운 점이 있었습니다. 이러한 새로운 추가 는 안전한 코딩 및 보안 모범 사례에서 개발자의 여정에 대한 "2 단계"에 대해 이야기하며, 슬프게도, 대부분은 제대로 훈련되지 않는 한 여기에 위험을 줄이는 데 긍정적 인 영향을 미칠 준비가되어 있습니다.
코드에서 일반적인 보안 버그에 대처하기 위해 개발자가 보안 숙련되어야 한다는 것을 한동안 알고 있으며 조직은 개발자 중심예방의 전제에 더 잘 대응하고 있습니다. 그러나 안전하지 않은 디자인 이 OWASP Top 10에 속하고 단일 유형의 보안 버그가 아닌 건축 보안 문제의 범주이기 때문에 개발자는 이를 마스터한 후에는 기본 을 넘어서야 합니다. 보안 팀의 지원으로 위협 모델링을 포괄하는 학습 환경은 개발자가 성공적으로 숙련되면 심각한 압박을 가하지만 대부분의 소프트웨어 엔지니어에게는 상당한 지식 격차입니다.
이에 대응하여 "마을을 취합니다", 조직은 자신의 워크 플로우에 큰 혼란을 일으키지 않고 호기심을 초대, 개발자를위한 긍정적 인 보안 문화를 만드는 역할을 할 수 있습니다.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
2022년에 무시할 수 없는 사이버 보안 문제
이 문서의 버전은 인포시큐리티 매거진에 게재되었습니다. 여기에 업데이트되고 신디케이트되었습니다.
지난 2 년 동안 은 불에 의해 다소 세례되었습니다, 잘, 모든 사람, 하지만 대부분의 조직에 대한 사이버 보안 청사진은 우리 중 많은 사람들이 거의 하룻밤 원격 작업 모델에 떨어졌다으로 테스트에 넣어. 우리는 전염병이 시작된 이후 보고 된 사이버 범죄가 300 % 급증하는 필사적 인 위협 행위자의 여파로 특히 업계로 적응해야했습니다.
우리는 모두 몇 가지 교훈을 배웠고, 일반적인 사이버 보안이 더 심각하게 받아들여지고 있다는 사실에 위안을 얻었기 때문에 코드 수준 소프트웨어 보안 및 품질도 마찬가지입니다. 소프트웨어 공급망 확보에 대한 Biden의 행정 명령은 특히 SolarWinds 대량 유출의 여파로 중요한 문제를 초래했습니다. 우리 모두가 보안에 더 많은 관심을 가지고 측정 가능한 보안 인식을 통해 취약점을 줄이기 위해 노력해야 한다는 생각은 분명히 대화의 큰 부분입니다.
즉, 사이버 범죄자에 맞서 싸울 때, 우리는 예방 적 사고 방식으로 놀이터를 선점하면서 가능한 한 그들과 함께 해야합니다.
내년에 파도를 일으키기 시작할 수 있다고 생각합니다.
메타버스는 새로운 공격 표면입니다.
메타버스는 인터넷의 다음 진화일 지 모르지만, 대부분의 산업이 소프트웨어와 디지털 환경을 보호하는 방식에 접근하는 방식에서 유사한 변화는 아직 실현되지 못하고 있습니다.
피싱 사기와 같은 일반적인 사이버 보안 함정은 피할 수 없지만 (모두가 메타 버스로 발을 찾는 동안 가능성이 풍부함), 이 몰입형 가상 세계를 가능하게하는 실제 인프라 및 장치는 안전해야합니다. 스마트폰이 온라인 생활을 하는 데 도움이 된 방식과 마찬가지로 VR 헤드셋과 같은 주변 기기는 사용자 데이터의 산에 대한 새로운 관문입니다. IoT 가젯을 안전하게 만들기 위해서는 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR의 용감한 새로운 세계도 예외는 아닙니다. Log4Shell 악용에서 보았듯이 코드 레벨의 간단한 오류는 위협 행위자의 백스테이지 패스로 피어날 수 있으며 시뮬레이션된 현실에서 모든 움직임은 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있는 동안 성공적인 메타버스는 암호 화폐 (최신 밈 동전의 무작위 비장뿐만 아니라)의 실질적인 채택을 요구할 것이며, NFT와 같은 가치 항목은 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수있는 새로운 "와일드 웨스트"로 열립니다. 엔지니어들이 서사시적인 기능과 향상된 기능으로 미쳐 가기 전에 이 새롭고 광대한 공격 표면을 처음부터 최소화하는 것이 우선순위가 되어야 합니다.
Log4Shell의 여파로 법률
혼란에 던져 진 개발자의 점수에 대 한, 어떤 인스턴스가 있는지 찾기 위해 스크램블, 또는 종속성, 널리 사용 되는 Log4j 로깅 도구의 악용 버전, 휴가 기간 즐거운 시간 되었을 것 이라고 생각 하지 않습니다.
이 제로 데이 공격은 기록상 최악의 공격 중 하나이며, Log4Shell과 6 년 후에도 여전히 악용되고있는 파괴적인 Heartbleed OpenSSL 취약점 을 비교합니다. 이 타임라인이 가야 할 것이라면, 우리는 앞으로 오랫동안 Log4Shell 숙취를 다룰 것입니다. 적어도 가능한 한 빨리 패치를 출시하고 구현해야 한다는 측면에서 Heartbleed에서 얻은 교훈에도 불구하고 많은 조직이 스스로를 보호하기에 충분히 빨리 행동하지 않는다는 것은 분명합니다. 회사의 규모에 따라 패치는 매우 어렵고 관료적일 수 있으며, 부서 간 문서와 구현이 필요합니다. IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과 사전 지식이 없으며 중단 및 응용 프로그램 중단 시간을 최소화하기 위해 엄격한 배포 일정에 방해를 받습니다. 이 작업 방법에 대한 타당한 이유가 있습니다 (읽기 : 아무도 작품에 스패너를 던져 뭔가를 깰 싶지 않습니다), 하지만 너무 느리게 패치하는 것은 앉아 오리가 될 것입니다.
SolarWinds 공격이 소프트웨어 공급망의 게임을 변경한 것처럼 Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상됩니다. 일부 중요한 산업에는 이미 패치 관리 명령과 권장 사항이 있지만 광범위한 법안은 또 다른 이야기입니다. 예방 소프트웨어 보안은 항상 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 기회이지만 보안 모범 사례는 패치가 협상할 수 없는 우선 순위 측정이라고 규정합니다. 나는 이것이 화제가 될 것이라고 생각하고, 신속하고 자주 패치하는 미묘한 권장 사항으로 이어질 것입니다.
아키텍처 보안에 더 중점을 두다(개발자는 준비가 되지 않았습니다)
새로운 OWASP Top 10 2021 에는 몇 가지 중요한 새로운 추가뿐만 아니라 주입 취약점이 상위 권에서 3 위로 떨어지는 놀라운 점이 있었습니다. 이러한 새로운 추가 는 안전한 코딩 및 보안 모범 사례에서 개발자의 여정에 대한 "2 단계"에 대해 이야기하며, 슬프게도, 대부분은 제대로 훈련되지 않는 한 여기에 위험을 줄이는 데 긍정적 인 영향을 미칠 준비가되어 있습니다.
코드에서 일반적인 보안 버그에 대처하기 위해 개발자가 보안 숙련되어야 한다는 것을 한동안 알고 있으며 조직은 개발자 중심예방의 전제에 더 잘 대응하고 있습니다. 그러나 안전하지 않은 디자인 이 OWASP Top 10에 속하고 단일 유형의 보안 버그가 아닌 건축 보안 문제의 범주이기 때문에 개발자는 이를 마스터한 후에는 기본 을 넘어서야 합니다. 보안 팀의 지원으로 위협 모델링을 포괄하는 학습 환경은 개발자가 성공적으로 숙련되면 심각한 압박을 가하지만 대부분의 소프트웨어 엔지니어에게는 상당한 지식 격차입니다.
이에 대응하여 "마을을 취합니다", 조직은 자신의 워크 플로우에 큰 혼란을 일으키지 않고 호기심을 초대, 개발자를위한 긍정적 인 보안 문화를 만드는 역할을 할 수 있습니다.
