Los problemas de ciberseguridad que no podemos ignorar en 2022
Se publicó una versión de este artículo en Revista Infosecurity. Se ha actualizado y distribuido aquí.
Los últimos dos años han sido una especie de bautismo de fuego para, bueno, todo el mundo, pero el plan de ciberseguridad de la mayoría de las organizaciones se puso a prueba, ya que muchos de nosotros nos sumergimos en un modelo de trabajo remoto prácticamente de la noche a la mañana. Realmente tuvimos que subir la apuesta y adaptarnos como industria, especialmente a raíz de la aparición de amenazas desesperadas provocando un aumento del 300% en las denuncias de ciberdelitos desde que comenzó la pandemia.
Todos hemos aprendido algunas lecciones, y me reconforta el hecho de que no solo se toma más en serio la ciberseguridad general, sino que también se toma más en serio la seguridad y la calidad del software a nivel de código. Orden ejecutiva de Biden sobre la seguridad de la cadena de suministro de software sacó a la luz problemas críticos, especialmente tras la violación masiva de SolarWinds. La idea de que todos debemos preocuparnos más por la seguridad, y trabajar para reducir las vulnerabilidades con una conciencia de seguridad mensurable es, sin duda, una parte más importante de la conversación.
Dicho esto, cuando se trata de luchar contra los ciberdelincuentes, debemos mantenernos lo más en sintonía posible con ellos, adelantándonos a sus áreas de juego con una mentalidad preventiva.
Aquí es donde creo que podrían empezar a causar sensación el año que viene:
El metaverso es una nueva superficie de ataque
El metaverso podría ser la próxima evolución de Internet, pero aún no se ha materializado una transformación similar en la forma en que la mayoría de las industrias abordan la seguridad del software y los entornos digitales.
Si bien los escollos generales de ciberseguridad, como las estafas de suplantación de identidad, serán inevitables (y probablemente abundarán mientras todo el mundo se abre paso en el metaverso), la infraestructura y los dispositivos reales que hacen posible este mundo virtual inmersivo deberán ser seguros. Al igual que los teléfonos inteligentes nos ayudaron a vivir en línea, los periféricos, como los cascos de realidad virtual, son la nueva puerta de entrada a una gran cantidad de datos de los usuarios. La seguridad de los sistemas embebidos es cada vez más compleja para que los dispositivos de IoT sean seguros, y el nuevo mundo de la realidad virtual/aumentada convencional no es una excepción. Como hemos visto con el exploit de Log4Shell, los errores simples a nivel de código pueden convertirse en un paso entre bastidores para los atacantes y, en una realidad simulada, cada movimiento genera datos que pueden ser robados.
Si bien está en pañales, un metaverso exitoso requerirá la adopción práctica de las criptomonedas (no solo el acaparamiento aleatorio de la última moneda meme) y de objetos de valor como las NFT, lo que significa que nuestra riqueza, identidad, datos y medios de vida reales podrían abrirse a un nuevo «Lejano Oeste» que puede poner a las personas en riesgo. Antes de que los ingenieros empecemos a volvernos locos con funciones y mejoras épicas, minimizar esta nueva y vasta superficie de ataque desde cero debería ser una prioridad.
Legislación a raíz de Log4Shell
Para los muchos desarrolladores que se vieron sumidos en el caos y se esforzaron por averiguar si había algún caso o dependencia asociada a una versión explotable de la ampliamente utilizada herramienta de registro Log4j, no creo que las vacaciones hubieran sido una época de alegría.
Este ataque de día cero es entre los peores de la historia, con comparaciones realizadas entre Log4Shell y la devastadora vulnerabilidad OpenSSL de Heartbleed que es siguen siendo explotados más de seis años después. Si nos guiamos por este cronograma, nos enfrentaremos a una resaca de Log4Shell durante mucho tiempo en el futuro. Está claro que, a pesar de las lecciones aprendidas con Heartbleed (al menos en lo que respecta a la necesidad de lanzar e implementar los parches lo antes posible), muchas organizaciones simplemente no actúan con la suficiente rapidez para mantenerse protegidas. Según el tamaño de la empresa, la instalación de parches puede resultar increíblemente difícil y burocrática, ya que requiere una documentación e implementación interdepartamentales. Con frecuencia, los departamentos de TI y los desarrolladores no tienen un conocimiento enciclopédico de todas las bibliotecas, componentes y herramientas en uso, y se ven limitados por unos estrictos programas de implementación para minimizar las interrupciones y el tiempo de inactividad de las aplicaciones. Hay razones válidas para este método de trabajo (léase: nadie quiere poner trabas a las cosas y romper algo), pero ir demasiado despacio es ser un blanco fácil.
Al igual que el Ataque SolarWinds cambió las reglas del juego para la cadena de suministro de software, predigo que ocurrirá algo similar a raíz de Log4Shell. Si bien ya existen mandatos y recomendaciones de administración de parches en algunas industrias críticas, la legislación generalizada es otra historia. La seguridad preventiva del software siempre será la mejor oportunidad que tenemos para evitar por completo la aplicación urgente de parches de seguridad, pero las mejores prácticas de seguridad establecen que los parches son una medida prioritaria no negociable. Creo que este será un tema candente y dará lugar a recomendaciones no tan sutiles para aplicar parches con rapidez y frecuencia.
Más énfasis en la seguridad arquitectónica (y los desarrolladores no están preparados)
La nueva Los 10 mejores de OWASP 2021 tuvo algunas novedades importantes, así como una sorpresa, ya que las vulnerabilidades de inyección cayeron del primer puesto al humilde tercer lugar. Estas nuevas incorporaciones representan una especie de «segunda fase» en el camino de un desarrollador hacia la codificación segura y las mejores prácticas de seguridad y, lamentablemente, la mayoría no está bien preparada para tener un impacto positivo en la reducción del riesgo en este ámbito a menos que cuente con la formación adecuada.
Hace tiempo que sabemos que los desarrolladores deben ser expertos en seguridad si queremos combatir los errores de seguridad más comunes en el código, y las organizaciones responden mejor a la premisa de la prevención impulsada por los desarrolladores. Sin embargo, con Diseño inseguro Al ocupar un lugar entre los 10 mejores de OWASP y al tratarse de una categoría de problemas de seguridad arquitectónica más que de un solo tipo de error de seguridad, los desarrolladores deberán ir más allá de lo básico una vez que los dominen. Los entornos de aprendizaje que abordan la modelización de amenazas (idealmente con el apoyo del equipo de seguridad) disminuyen considerablemente la presión cuando los desarrolladores consiguen mejorar sus habilidades, pero tal y como están las cosas, la mayoría de los ingenieros de software tienen un déficit de conocimiento importante.
Para hacer frente a esto «se necesita mucho esfuerzo», y la organización puede contribuir a crear una cultura de seguridad positiva para los desarrolladores, despertando su curiosidad sin provocar una interrupción importante en su flujo de trabajo.
Cuando se trata de luchar contra los ciberdelincuentes, debemos mantenernos lo más en sintonía posible con ellos, adelantándonos a sus áreas de juego con una mentalidad preventiva. Aquí es donde creo que podrían empezar a causar sensación el año que viene:
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Se publicó una versión de este artículo en Revista Infosecurity. Se ha actualizado y distribuido aquí.
Los últimos dos años han sido una especie de bautismo de fuego para, bueno, todo el mundo, pero el plan de ciberseguridad de la mayoría de las organizaciones se puso a prueba, ya que muchos de nosotros nos sumergimos en un modelo de trabajo remoto prácticamente de la noche a la mañana. Realmente tuvimos que subir la apuesta y adaptarnos como industria, especialmente a raíz de la aparición de amenazas desesperadas provocando un aumento del 300% en las denuncias de ciberdelitos desde que comenzó la pandemia.
Todos hemos aprendido algunas lecciones, y me reconforta el hecho de que no solo se toma más en serio la ciberseguridad general, sino que también se toma más en serio la seguridad y la calidad del software a nivel de código. Orden ejecutiva de Biden sobre la seguridad de la cadena de suministro de software sacó a la luz problemas críticos, especialmente tras la violación masiva de SolarWinds. La idea de que todos debemos preocuparnos más por la seguridad, y trabajar para reducir las vulnerabilidades con una conciencia de seguridad mensurable es, sin duda, una parte más importante de la conversación.
Dicho esto, cuando se trata de luchar contra los ciberdelincuentes, debemos mantenernos lo más en sintonía posible con ellos, adelantándonos a sus áreas de juego con una mentalidad preventiva.
Aquí es donde creo que podrían empezar a causar sensación el año que viene:
El metaverso es una nueva superficie de ataque
El metaverso podría ser la próxima evolución de Internet, pero aún no se ha materializado una transformación similar en la forma en que la mayoría de las industrias abordan la seguridad del software y los entornos digitales.
Si bien los escollos generales de ciberseguridad, como las estafas de suplantación de identidad, serán inevitables (y probablemente abundarán mientras todo el mundo se abre paso en el metaverso), la infraestructura y los dispositivos reales que hacen posible este mundo virtual inmersivo deberán ser seguros. Al igual que los teléfonos inteligentes nos ayudaron a vivir en línea, los periféricos, como los cascos de realidad virtual, son la nueva puerta de entrada a una gran cantidad de datos de los usuarios. La seguridad de los sistemas embebidos es cada vez más compleja para que los dispositivos de IoT sean seguros, y el nuevo mundo de la realidad virtual/aumentada convencional no es una excepción. Como hemos visto con el exploit de Log4Shell, los errores simples a nivel de código pueden convertirse en un paso entre bastidores para los atacantes y, en una realidad simulada, cada movimiento genera datos que pueden ser robados.
Si bien está en pañales, un metaverso exitoso requerirá la adopción práctica de las criptomonedas (no solo el acaparamiento aleatorio de la última moneda meme) y de objetos de valor como las NFT, lo que significa que nuestra riqueza, identidad, datos y medios de vida reales podrían abrirse a un nuevo «Lejano Oeste» que puede poner a las personas en riesgo. Antes de que los ingenieros empecemos a volvernos locos con funciones y mejoras épicas, minimizar esta nueva y vasta superficie de ataque desde cero debería ser una prioridad.
Legislación a raíz de Log4Shell
Para los muchos desarrolladores que se vieron sumidos en el caos y se esforzaron por averiguar si había algún caso o dependencia asociada a una versión explotable de la ampliamente utilizada herramienta de registro Log4j, no creo que las vacaciones hubieran sido una época de alegría.
Este ataque de día cero es entre los peores de la historia, con comparaciones realizadas entre Log4Shell y la devastadora vulnerabilidad OpenSSL de Heartbleed que es siguen siendo explotados más de seis años después. Si nos guiamos por este cronograma, nos enfrentaremos a una resaca de Log4Shell durante mucho tiempo en el futuro. Está claro que, a pesar de las lecciones aprendidas con Heartbleed (al menos en lo que respecta a la necesidad de lanzar e implementar los parches lo antes posible), muchas organizaciones simplemente no actúan con la suficiente rapidez para mantenerse protegidas. Según el tamaño de la empresa, la instalación de parches puede resultar increíblemente difícil y burocrática, ya que requiere una documentación e implementación interdepartamentales. Con frecuencia, los departamentos de TI y los desarrolladores no tienen un conocimiento enciclopédico de todas las bibliotecas, componentes y herramientas en uso, y se ven limitados por unos estrictos programas de implementación para minimizar las interrupciones y el tiempo de inactividad de las aplicaciones. Hay razones válidas para este método de trabajo (léase: nadie quiere poner trabas a las cosas y romper algo), pero ir demasiado despacio es ser un blanco fácil.
Al igual que el Ataque SolarWinds cambió las reglas del juego para la cadena de suministro de software, predigo que ocurrirá algo similar a raíz de Log4Shell. Si bien ya existen mandatos y recomendaciones de administración de parches en algunas industrias críticas, la legislación generalizada es otra historia. La seguridad preventiva del software siempre será la mejor oportunidad que tenemos para evitar por completo la aplicación urgente de parches de seguridad, pero las mejores prácticas de seguridad establecen que los parches son una medida prioritaria no negociable. Creo que este será un tema candente y dará lugar a recomendaciones no tan sutiles para aplicar parches con rapidez y frecuencia.
Más énfasis en la seguridad arquitectónica (y los desarrolladores no están preparados)
La nueva Los 10 mejores de OWASP 2021 tuvo algunas novedades importantes, así como una sorpresa, ya que las vulnerabilidades de inyección cayeron del primer puesto al humilde tercer lugar. Estas nuevas incorporaciones representan una especie de «segunda fase» en el camino de un desarrollador hacia la codificación segura y las mejores prácticas de seguridad y, lamentablemente, la mayoría no está bien preparada para tener un impacto positivo en la reducción del riesgo en este ámbito a menos que cuente con la formación adecuada.
Hace tiempo que sabemos que los desarrolladores deben ser expertos en seguridad si queremos combatir los errores de seguridad más comunes en el código, y las organizaciones responden mejor a la premisa de la prevención impulsada por los desarrolladores. Sin embargo, con Diseño inseguro Al ocupar un lugar entre los 10 mejores de OWASP y al tratarse de una categoría de problemas de seguridad arquitectónica más que de un solo tipo de error de seguridad, los desarrolladores deberán ir más allá de lo básico una vez que los dominen. Los entornos de aprendizaje que abordan la modelización de amenazas (idealmente con el apoyo del equipo de seguridad) disminuyen considerablemente la presión cuando los desarrolladores consiguen mejorar sus habilidades, pero tal y como están las cosas, la mayoría de los ingenieros de software tienen un déficit de conocimiento importante.
Para hacer frente a esto «se necesita mucho esfuerzo», y la organización puede contribuir a crear una cultura de seguridad positiva para los desarrolladores, despertando su curiosidad sin provocar una interrupción importante en su flujo de trabajo.
Se publicó una versión de este artículo en Revista Infosecurity. Se ha actualizado y distribuido aquí.
Los últimos dos años han sido una especie de bautismo de fuego para, bueno, todo el mundo, pero el plan de ciberseguridad de la mayoría de las organizaciones se puso a prueba, ya que muchos de nosotros nos sumergimos en un modelo de trabajo remoto prácticamente de la noche a la mañana. Realmente tuvimos que subir la apuesta y adaptarnos como industria, especialmente a raíz de la aparición de amenazas desesperadas provocando un aumento del 300% en las denuncias de ciberdelitos desde que comenzó la pandemia.
Todos hemos aprendido algunas lecciones, y me reconforta el hecho de que no solo se toma más en serio la ciberseguridad general, sino que también se toma más en serio la seguridad y la calidad del software a nivel de código. Orden ejecutiva de Biden sobre la seguridad de la cadena de suministro de software sacó a la luz problemas críticos, especialmente tras la violación masiva de SolarWinds. La idea de que todos debemos preocuparnos más por la seguridad, y trabajar para reducir las vulnerabilidades con una conciencia de seguridad mensurable es, sin duda, una parte más importante de la conversación.
Dicho esto, cuando se trata de luchar contra los ciberdelincuentes, debemos mantenernos lo más en sintonía posible con ellos, adelantándonos a sus áreas de juego con una mentalidad preventiva.
Aquí es donde creo que podrían empezar a causar sensación el año que viene:
El metaverso es una nueva superficie de ataque
El metaverso podría ser la próxima evolución de Internet, pero aún no se ha materializado una transformación similar en la forma en que la mayoría de las industrias abordan la seguridad del software y los entornos digitales.
Si bien los escollos generales de ciberseguridad, como las estafas de suplantación de identidad, serán inevitables (y probablemente abundarán mientras todo el mundo se abre paso en el metaverso), la infraestructura y los dispositivos reales que hacen posible este mundo virtual inmersivo deberán ser seguros. Al igual que los teléfonos inteligentes nos ayudaron a vivir en línea, los periféricos, como los cascos de realidad virtual, son la nueva puerta de entrada a una gran cantidad de datos de los usuarios. La seguridad de los sistemas embebidos es cada vez más compleja para que los dispositivos de IoT sean seguros, y el nuevo mundo de la realidad virtual/aumentada convencional no es una excepción. Como hemos visto con el exploit de Log4Shell, los errores simples a nivel de código pueden convertirse en un paso entre bastidores para los atacantes y, en una realidad simulada, cada movimiento genera datos que pueden ser robados.
Si bien está en pañales, un metaverso exitoso requerirá la adopción práctica de las criptomonedas (no solo el acaparamiento aleatorio de la última moneda meme) y de objetos de valor como las NFT, lo que significa que nuestra riqueza, identidad, datos y medios de vida reales podrían abrirse a un nuevo «Lejano Oeste» que puede poner a las personas en riesgo. Antes de que los ingenieros empecemos a volvernos locos con funciones y mejoras épicas, minimizar esta nueva y vasta superficie de ataque desde cero debería ser una prioridad.
Legislación a raíz de Log4Shell
Para los muchos desarrolladores que se vieron sumidos en el caos y se esforzaron por averiguar si había algún caso o dependencia asociada a una versión explotable de la ampliamente utilizada herramienta de registro Log4j, no creo que las vacaciones hubieran sido una época de alegría.
Este ataque de día cero es entre los peores de la historia, con comparaciones realizadas entre Log4Shell y la devastadora vulnerabilidad OpenSSL de Heartbleed que es siguen siendo explotados más de seis años después. Si nos guiamos por este cronograma, nos enfrentaremos a una resaca de Log4Shell durante mucho tiempo en el futuro. Está claro que, a pesar de las lecciones aprendidas con Heartbleed (al menos en lo que respecta a la necesidad de lanzar e implementar los parches lo antes posible), muchas organizaciones simplemente no actúan con la suficiente rapidez para mantenerse protegidas. Según el tamaño de la empresa, la instalación de parches puede resultar increíblemente difícil y burocrática, ya que requiere una documentación e implementación interdepartamentales. Con frecuencia, los departamentos de TI y los desarrolladores no tienen un conocimiento enciclopédico de todas las bibliotecas, componentes y herramientas en uso, y se ven limitados por unos estrictos programas de implementación para minimizar las interrupciones y el tiempo de inactividad de las aplicaciones. Hay razones válidas para este método de trabajo (léase: nadie quiere poner trabas a las cosas y romper algo), pero ir demasiado despacio es ser un blanco fácil.
Al igual que el Ataque SolarWinds cambió las reglas del juego para la cadena de suministro de software, predigo que ocurrirá algo similar a raíz de Log4Shell. Si bien ya existen mandatos y recomendaciones de administración de parches en algunas industrias críticas, la legislación generalizada es otra historia. La seguridad preventiva del software siempre será la mejor oportunidad que tenemos para evitar por completo la aplicación urgente de parches de seguridad, pero las mejores prácticas de seguridad establecen que los parches son una medida prioritaria no negociable. Creo que este será un tema candente y dará lugar a recomendaciones no tan sutiles para aplicar parches con rapidez y frecuencia.
Más énfasis en la seguridad arquitectónica (y los desarrolladores no están preparados)
La nueva Los 10 mejores de OWASP 2021 tuvo algunas novedades importantes, así como una sorpresa, ya que las vulnerabilidades de inyección cayeron del primer puesto al humilde tercer lugar. Estas nuevas incorporaciones representan una especie de «segunda fase» en el camino de un desarrollador hacia la codificación segura y las mejores prácticas de seguridad y, lamentablemente, la mayoría no está bien preparada para tener un impacto positivo en la reducción del riesgo en este ámbito a menos que cuente con la formación adecuada.
Hace tiempo que sabemos que los desarrolladores deben ser expertos en seguridad si queremos combatir los errores de seguridad más comunes en el código, y las organizaciones responden mejor a la premisa de la prevención impulsada por los desarrolladores. Sin embargo, con Diseño inseguro Al ocupar un lugar entre los 10 mejores de OWASP y al tratarse de una categoría de problemas de seguridad arquitectónica más que de un solo tipo de error de seguridad, los desarrolladores deberán ir más allá de lo básico una vez que los dominen. Los entornos de aprendizaje que abordan la modelización de amenazas (idealmente con el apoyo del equipo de seguridad) disminuyen considerablemente la presión cuando los desarrolladores consiguen mejorar sus habilidades, pero tal y como están las cosas, la mayoría de los ingenieros de software tienen un déficit de conocimiento importante.
Para hacer frente a esto «se necesita mucho esfuerzo», y la organización puede contribuir a crear una cultura de seguridad positiva para los desarrolladores, despertando su curiosidad sin provocar una interrupción importante en su flujo de trabajo.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Se publicó una versión de este artículo en Revista Infosecurity. Se ha actualizado y distribuido aquí.
Los últimos dos años han sido una especie de bautismo de fuego para, bueno, todo el mundo, pero el plan de ciberseguridad de la mayoría de las organizaciones se puso a prueba, ya que muchos de nosotros nos sumergimos en un modelo de trabajo remoto prácticamente de la noche a la mañana. Realmente tuvimos que subir la apuesta y adaptarnos como industria, especialmente a raíz de la aparición de amenazas desesperadas provocando un aumento del 300% en las denuncias de ciberdelitos desde que comenzó la pandemia.
Todos hemos aprendido algunas lecciones, y me reconforta el hecho de que no solo se toma más en serio la ciberseguridad general, sino que también se toma más en serio la seguridad y la calidad del software a nivel de código. Orden ejecutiva de Biden sobre la seguridad de la cadena de suministro de software sacó a la luz problemas críticos, especialmente tras la violación masiva de SolarWinds. La idea de que todos debemos preocuparnos más por la seguridad, y trabajar para reducir las vulnerabilidades con una conciencia de seguridad mensurable es, sin duda, una parte más importante de la conversación.
Dicho esto, cuando se trata de luchar contra los ciberdelincuentes, debemos mantenernos lo más en sintonía posible con ellos, adelantándonos a sus áreas de juego con una mentalidad preventiva.
Aquí es donde creo que podrían empezar a causar sensación el año que viene:
El metaverso es una nueva superficie de ataque
El metaverso podría ser la próxima evolución de Internet, pero aún no se ha materializado una transformación similar en la forma en que la mayoría de las industrias abordan la seguridad del software y los entornos digitales.
Si bien los escollos generales de ciberseguridad, como las estafas de suplantación de identidad, serán inevitables (y probablemente abundarán mientras todo el mundo se abre paso en el metaverso), la infraestructura y los dispositivos reales que hacen posible este mundo virtual inmersivo deberán ser seguros. Al igual que los teléfonos inteligentes nos ayudaron a vivir en línea, los periféricos, como los cascos de realidad virtual, son la nueva puerta de entrada a una gran cantidad de datos de los usuarios. La seguridad de los sistemas embebidos es cada vez más compleja para que los dispositivos de IoT sean seguros, y el nuevo mundo de la realidad virtual/aumentada convencional no es una excepción. Como hemos visto con el exploit de Log4Shell, los errores simples a nivel de código pueden convertirse en un paso entre bastidores para los atacantes y, en una realidad simulada, cada movimiento genera datos que pueden ser robados.
Si bien está en pañales, un metaverso exitoso requerirá la adopción práctica de las criptomonedas (no solo el acaparamiento aleatorio de la última moneda meme) y de objetos de valor como las NFT, lo que significa que nuestra riqueza, identidad, datos y medios de vida reales podrían abrirse a un nuevo «Lejano Oeste» que puede poner a las personas en riesgo. Antes de que los ingenieros empecemos a volvernos locos con funciones y mejoras épicas, minimizar esta nueva y vasta superficie de ataque desde cero debería ser una prioridad.
Legislación a raíz de Log4Shell
Para los muchos desarrolladores que se vieron sumidos en el caos y se esforzaron por averiguar si había algún caso o dependencia asociada a una versión explotable de la ampliamente utilizada herramienta de registro Log4j, no creo que las vacaciones hubieran sido una época de alegría.
Este ataque de día cero es entre los peores de la historia, con comparaciones realizadas entre Log4Shell y la devastadora vulnerabilidad OpenSSL de Heartbleed que es siguen siendo explotados más de seis años después. Si nos guiamos por este cronograma, nos enfrentaremos a una resaca de Log4Shell durante mucho tiempo en el futuro. Está claro que, a pesar de las lecciones aprendidas con Heartbleed (al menos en lo que respecta a la necesidad de lanzar e implementar los parches lo antes posible), muchas organizaciones simplemente no actúan con la suficiente rapidez para mantenerse protegidas. Según el tamaño de la empresa, la instalación de parches puede resultar increíblemente difícil y burocrática, ya que requiere una documentación e implementación interdepartamentales. Con frecuencia, los departamentos de TI y los desarrolladores no tienen un conocimiento enciclopédico de todas las bibliotecas, componentes y herramientas en uso, y se ven limitados por unos estrictos programas de implementación para minimizar las interrupciones y el tiempo de inactividad de las aplicaciones. Hay razones válidas para este método de trabajo (léase: nadie quiere poner trabas a las cosas y romper algo), pero ir demasiado despacio es ser un blanco fácil.
Al igual que el Ataque SolarWinds cambió las reglas del juego para la cadena de suministro de software, predigo que ocurrirá algo similar a raíz de Log4Shell. Si bien ya existen mandatos y recomendaciones de administración de parches en algunas industrias críticas, la legislación generalizada es otra historia. La seguridad preventiva del software siempre será la mejor oportunidad que tenemos para evitar por completo la aplicación urgente de parches de seguridad, pero las mejores prácticas de seguridad establecen que los parches son una medida prioritaria no negociable. Creo que este será un tema candente y dará lugar a recomendaciones no tan sutiles para aplicar parches con rapidez y frecuencia.
Más énfasis en la seguridad arquitectónica (y los desarrolladores no están preparados)
La nueva Los 10 mejores de OWASP 2021 tuvo algunas novedades importantes, así como una sorpresa, ya que las vulnerabilidades de inyección cayeron del primer puesto al humilde tercer lugar. Estas nuevas incorporaciones representan una especie de «segunda fase» en el camino de un desarrollador hacia la codificación segura y las mejores prácticas de seguridad y, lamentablemente, la mayoría no está bien preparada para tener un impacto positivo en la reducción del riesgo en este ámbito a menos que cuente con la formación adecuada.
Hace tiempo que sabemos que los desarrolladores deben ser expertos en seguridad si queremos combatir los errores de seguridad más comunes en el código, y las organizaciones responden mejor a la premisa de la prevención impulsada por los desarrolladores. Sin embargo, con Diseño inseguro Al ocupar un lugar entre los 10 mejores de OWASP y al tratarse de una categoría de problemas de seguridad arquitectónica más que de un solo tipo de error de seguridad, los desarrolladores deberán ir más allá de lo básico una vez que los dominen. Los entornos de aprendizaje que abordan la modelización de amenazas (idealmente con el apoyo del equipo de seguridad) disminuyen considerablemente la presión cuando los desarrolladores consiguen mejorar sus habilidades, pero tal y como están las cosas, la mayoría de los ingenieros de software tienen un déficit de conocimiento importante.
Para hacer frente a esto «se necesita mucho esfuerzo», y la organización puede contribuir a crear una cultura de seguridad positiva para los desarrolladores, despertando su curiosidad sin provocar una interrupción importante en su flujo de trabajo.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
