2022년 무시할 수 없는 사이버 보안 문제
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자의 놀이터를 선점하여 가능한 한 그들과 보조를 맞춰야 합니다.이들이 내년부터 파장을 일으키기 시작할 수 있는 부분은 다음과 같습니다.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약다운로드
%20(1).avif)
.avif)
