웹 응용 프로그램 보안 결함을 구동 잊혀진 인적 요인
2018 Verizon 데이터 유출 조사 보고서는 조직이 보안 프로그램을 성숙시키는 데 도움이 될 수 있는 현재 사이버 범죄 동향 및 사고 드라이버, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 훌륭한 읽기입니다. 올해 버라이존 조사관은 53,000 건 이상의 사건과 2,200 건의 이상한 위반을 분석했으며, 무엇을 조심해야 할지, 무엇을 하지 말아야 할지에 대한 많은 실질적인 테이크아웃과 보안 노력에 초점을 맞출 장소에 대한 귀중한 권장 사항이 있습니다. 2018 년 보고서는 보안 영향이 확산됨에 따라 더 넓은 비즈니스 고객과 관련이있는 시대와 관련이 있으며 점점 더 주류 비즈니스 문제로 인식되고 있다고 느낍니다.
많은 흥미로운 결과 중, 2018 보고서는 대부분의 해킹이 여전히 웹 응용 프로그램의 위반을 통해 발생하는 것을 확인 (심지어이것을 보여주는 멋진 대화 형 차트가있다).
웹 응용 프로그램 공격은 웹 응용 프로그램이 공격 벡터인 모든 인시던트로 구성됩니다. 여기에는 응용 프로그램의 코드 수준 취약점 악용과 인증 메커니즘 차단이 포함됩니다. 고객 소유 장치에서 도난당한 자격 증명을 사용하여 웹 응용 프로그램에 대한 봇넷 관련 공격의 필터링으로 인해 이 패턴의 위반 횟수가 줄어듭니다. 도난당한 자격 증명의 사용은 여전히 웹 응용 프로그램과 관련된 위반에 해킹의 최고 다양성입니다, SQLi (나중에 SQL에 대한 자세한 것...).
올해 보고서에서 눈에 띄는 한 가지 주제는 문제와 솔루션의 일환으로 "인적 요인"이 보안 방정식에서 얼마나 중요한지입니다. 이 보고서는 외부 및 내부 행위자 모두를 다루며 오류가 5명 중 1명(17%)의 중심에 있다고 보고했습니다. 위반. 위반은 직원들이 기밀 정보를 파쇄하지 못했으며, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버가 잘못 구성되었을 때 발생했습니다. 보고서는 이 중 어느 것도 의도적으로 잘못된 의도가 없었지만 여전히 비용이 많이 드는 것으로 입증될 수 있다고 지적합니다.
그러나 많은 보안 위반을 일으키는 원인이 되는 종종 잊혀진 인적 요인이 있으며, 이는 보안 결함이 포함된 코드를 만드는 개발자의 빈도가 높기 때문에 웹 응용 프로그램 취약점으로 이어지므로 이러한 사고와 위반이 발생합니다.
지난 5년 동안의 응용 프로그램 테스트는 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 오래된 결함은 계속해서 몇 번이고 계속 증가하고 있습니다. 400,000개의 응용 프로그램 스캔을 기반으로 한 2017 년 Veracode 보고서는 OWASP Top 10 정책을 통과한 응용 프로그램이 시간의 30 %만 통과한 것을 보여줍니다. 놀랍게도 SQL 주사는 작년을 포함하여 지난 5년 동안 새로 스캔한 응용 프로그램 3건 중 거의 1개에 나타났습니다. SQL 주사가 1999 년부터 주변에 있기 때문에 나는 놀라운 말을. SQL 주사를 포함한 동일한 결함이 지속적으로 발견된다는 사실은 개발자 들 사이에서이 "인적 요인"문제가 적절하게 해결되지 않는다는 증거입니다.
이 시점에서 나는 일어서서 내가이 인수의 개발자 측에 있다고 외칠 필요가있다. 개발자는 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 처음부터 각 프로그래밍 프레임워크에서 이러한 취약점을 작성하는 것을 방지하는 방법에 대해 가르쳐 주는 사람이 없다면 어떻게 안전한 코드를 작성해야 합니까?
이것이 우리가 하는 일입니다. Secure Code Warrior 그리고 개발자의 일상 생활에 직접 보안 코드 교육을 구축하는 회사가 생성 된 웹 응용 프로그램 취약점의 수를 감소시키고 있다는 강력한 증거를 보고있습니다. 개발자가 보안 코드를 작성하려면 보안 코딩 기술을 구축하기 위해 적극적으로 참여하는 실습 학습에 정기적으로 액세스해야 합니다. 최근에 식별된 취약점, 실제 코드, 특히 자체 언어/프레임워크에서 배워야 합니다. 이 학습 환경은 알려진 취약점을 찾고, 식별하고, 해결하는 방법을 이해하는 데 도움이 됩니다. 개발자는 또한 보안을 쉽게 하고, 속도를 늦추지 않으며, 좋은 코딩 패턴과 나쁜 코딩 패턴에 대해 실시간으로 안내하는 고품질 도구 집합이 필요합니다.
이것이 웹 응용 프로그램 위반 수에 실질적이고 긍정적인 차이를 만들 수 있는 방법입니다.
나는 버라이존과 폭력적인 계약을 맺고 있으며, 회사 전체의 보안 인식 교육을 강화할 필요가 있다. CIO와 CIO에 이에 대한 나의 P.S.는 "개발자를 잊지 마세요!"입니다. 현대 기업의 이러한 설계자는 해커에 대한 액세스 포인트를 일상적으로 생성하는 중요한 "인적 요인"이 될 수 있습니다, 또는 그들은 방어의 첫 번째 라인, 보안 영웅이 될 수 있습니다.
개발자를 위한 효과적인 보안 업스킬링은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 차이를 만들 수 있습니다. 2019 년 보고서가 개발자 보안 교육을 기업이 취할 수있는 주요 위험 감소 전략으로 반영하는 것을 보는 것이 좋을 것입니다. 나는 낙관론자, 하지만 회사가 주입 결함을 만드는 것을 방지하는 방법을 배울 수있는 개발자를 가지고 있다면, 이 보고서의 웹 응용 프로그램 취약점의 수는 크게 떨어질 것이라고 내 집에 내기 것.
개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 업스킬을 할 수 있는지 확인하기 위해 당사의 플랫폼을 살펴보십시오.
개발자는 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 처음부터 각 프로그래밍 프레임워크에서 이러한 취약점을 작성하는 것을 방지하는 방법에 대해 가르쳐 주는 사람이 없다면 어떻게 안전한 코드를 작성해야 합니까?
피터 다뉴
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
웹 응용 프로그램 보안 결함을 구동 잊혀진 인적 요인
2018 Verizon 데이터 유출 조사 보고서는 조직이 보안 프로그램을 성숙시키는 데 도움이 될 수 있는 현재 사이버 범죄 동향 및 사고 드라이버, 분석 및 통찰력을 포함하여 사이버 보안에 대한 최신 정보를 제공하는 훌륭한 읽기입니다. 올해 버라이존 조사관은 53,000 건 이상의 사건과 2,200 건의 이상한 위반을 분석했으며, 무엇을 조심해야 할지, 무엇을 하지 말아야 할지에 대한 많은 실질적인 테이크아웃과 보안 노력에 초점을 맞출 장소에 대한 귀중한 권장 사항이 있습니다. 2018 년 보고서는 보안 영향이 확산됨에 따라 더 넓은 비즈니스 고객과 관련이있는 시대와 관련이 있으며 점점 더 주류 비즈니스 문제로 인식되고 있다고 느낍니다.
많은 흥미로운 결과 중, 2018 보고서는 대부분의 해킹이 여전히 웹 응용 프로그램의 위반을 통해 발생하는 것을 확인 (심지어이것을 보여주는 멋진 대화 형 차트가있다).
웹 응용 프로그램 공격은 웹 응용 프로그램이 공격 벡터인 모든 인시던트로 구성됩니다. 여기에는 응용 프로그램의 코드 수준 취약점 악용과 인증 메커니즘 차단이 포함됩니다. 고객 소유 장치에서 도난당한 자격 증명을 사용하여 웹 응용 프로그램에 대한 봇넷 관련 공격의 필터링으로 인해 이 패턴의 위반 횟수가 줄어듭니다. 도난당한 자격 증명의 사용은 여전히 웹 응용 프로그램과 관련된 위반에 해킹의 최고 다양성입니다, SQLi (나중에 SQL에 대한 자세한 것...).
올해 보고서에서 눈에 띄는 한 가지 주제는 문제와 솔루션의 일환으로 "인적 요인"이 보안 방정식에서 얼마나 중요한지입니다. 이 보고서는 외부 및 내부 행위자 모두를 다루며 오류가 5명 중 1명(17%)의 중심에 있다고 보고했습니다. 위반. 위반은 직원들이 기밀 정보를 파쇄하지 못했으며, 잘못된 사람에게 이메일을 보냈을 때, 웹 서버가 잘못 구성되었을 때 발생했습니다. 보고서는 이 중 어느 것도 의도적으로 잘못된 의도가 없었지만 여전히 비용이 많이 드는 것으로 입증될 수 있다고 지적합니다.
그러나 많은 보안 위반을 일으키는 원인이 되는 종종 잊혀진 인적 요인이 있으며, 이는 보안 결함이 포함된 코드를 만드는 개발자의 빈도가 높기 때문에 웹 응용 프로그램 취약점으로 이어지므로 이러한 사고와 위반이 발생합니다.
지난 5년 동안의 응용 프로그램 테스트는 발견된 취약점의 수가 크게 개선되지 않았으며 동일한 오래된 결함은 계속해서 몇 번이고 계속 증가하고 있습니다. 400,000개의 응용 프로그램 스캔을 기반으로 한 2017 년 Veracode 보고서는 OWASP Top 10 정책을 통과한 응용 프로그램이 시간의 30 %만 통과한 것을 보여줍니다. 놀랍게도 SQL 주사는 작년을 포함하여 지난 5년 동안 새로 스캔한 응용 프로그램 3건 중 거의 1개에 나타났습니다. SQL 주사가 1999 년부터 주변에 있기 때문에 나는 놀라운 말을. SQL 주사를 포함한 동일한 결함이 지속적으로 발견된다는 사실은 개발자 들 사이에서이 "인적 요인"문제가 적절하게 해결되지 않는다는 증거입니다.
이 시점에서 나는 일어서서 내가이 인수의 개발자 측에 있다고 외칠 필요가있다. 개발자는 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 처음부터 각 프로그래밍 프레임워크에서 이러한 취약점을 작성하는 것을 방지하는 방법에 대해 가르쳐 주는 사람이 없다면 어떻게 안전한 코드를 작성해야 합니까?
이것이 우리가 하는 일입니다. Secure Code Warrior 그리고 개발자의 일상 생활에 직접 보안 코드 교육을 구축하는 회사가 생성 된 웹 응용 프로그램 취약점의 수를 감소시키고 있다는 강력한 증거를 보고있습니다. 개발자가 보안 코드를 작성하려면 보안 코딩 기술을 구축하기 위해 적극적으로 참여하는 실습 학습에 정기적으로 액세스해야 합니다. 최근에 식별된 취약점, 실제 코드, 특히 자체 언어/프레임워크에서 배워야 합니다. 이 학습 환경은 알려진 취약점을 찾고, 식별하고, 해결하는 방법을 이해하는 데 도움이 됩니다. 개발자는 또한 보안을 쉽게 하고, 속도를 늦추지 않으며, 좋은 코딩 패턴과 나쁜 코딩 패턴에 대해 실시간으로 안내하는 고품질 도구 집합이 필요합니다.
이것이 웹 응용 프로그램 위반 수에 실질적이고 긍정적인 차이를 만들 수 있는 방법입니다.
나는 버라이존과 폭력적인 계약을 맺고 있으며, 회사 전체의 보안 인식 교육을 강화할 필요가 있다. CIO와 CIO에 이에 대한 나의 P.S.는 "개발자를 잊지 마세요!"입니다. 현대 기업의 이러한 설계자는 해커에 대한 액세스 포인트를 일상적으로 생성하는 중요한 "인적 요인"이 될 수 있습니다, 또는 그들은 방어의 첫 번째 라인, 보안 영웅이 될 수 있습니다.
개발자를 위한 효과적인 보안 업스킬링은 향후 보고서에서 Verizon이 보고한 결과에 실질적인 차이를 만들 수 있습니다. 2019 년 보고서가 개발자 보안 교육을 기업이 취할 수있는 주요 위험 감소 전략으로 반영하는 것을 보는 것이 좋을 것입니다. 나는 낙관론자, 하지만 회사가 주입 결함을 만드는 것을 방지하는 방법을 배울 수있는 개발자를 가지고 있다면, 이 보고서의 웹 응용 프로그램 취약점의 수는 크게 떨어질 것이라고 내 집에 내기 것.
개발자가 이상적이고 게임화된 교육 환경에서 어떻게 빠르게 업스킬을 할 수 있는지 확인하기 위해 당사의 플랫폼을 살펴보십시오.
개발자는 왜 중요한지, 안전하지 않은 코드의 결과, 그리고 가장 중요한 것은 처음부터 각 프로그래밍 프레임워크에서 이러한 취약점을 작성하는 것을 방지하는 방법에 대해 가르쳐 주는 사람이 없다면 어떻게 안전한 코드를 작성해야 합니까?
