ClickShare漏洞可能已被修补,但它们掩盖了一个更大的问题
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
这篇文章的一个版本出现在 Devops.com。它已更新,可在此处进行联合发布,并包含漏洞挑战的交互式链接。
我想我们都能回想起最近的记忆中,在会议或会议中,有人在演示技术方面遇到了问题。这种情况经常发生,以至于人们几乎期望会有一种笨重的体验,至少在最初是如此。因此,ClickShare的无缝应用程序立即受到最终用户的欢迎也就不足为奇了。对于他们来说,没有什么比使用ClickShare应用程序将演示文稿从笔记本电脑、平板电脑或智能手机推送到大屏幕或会议室投影仪更容易的了。总部位于比利时的数字投影和成像技术供应商巴可公司设计了以这种方式运行的自动化平台,大企业也接受了这一概念。FutuResource 咨询公司表示 巴可的市场份额 在会议技术领域的比例为29%,已纳入所有财富1,000强公司的40%。
当 F-Secure 的研究人员时 十二月公布 这个看似无害的自动化平台充斥着安全漏洞,这给商界带来了冲击。发现的安全漏洞本质上是至关重要的,有可能引发任意数量的恶意活动。
研究人员演示 这些漏洞如何允许远程用户窥探活跃的演示文稿,为安全网络创建后门,甚至配置间谍软件分发服务器,感染连接到巴可设备的每位用户。突然之间,各公司面临着将严重的安全问题直接安装在整个组织的会议室和办公室内的可能性。而且,由于漏洞的性质,一台受感染的设备可以支持全网漏洞。
F-Secure官员在报告中写道:“成功入侵一个单元的攻击者可以为任何单位解密和生成有效的加密图像,无论是家庭内部还是跨家庭。”“此外,这样的攻击者可能会获得对静态敏感数据的访问权限,例如配置的Wi-Fi PSK和证书。”
值得称赞的是,巴可一直非常积极地针对其产品中发现的漏洞发布补丁和修复程序。安全供应商 Tenable 最近发布 一份报告显示了八种演示工具(包括巴可)中的 15 个漏洞。截至2月,只有巴可一直在积极部署修复程序。
尽管巴可公司的某些漏洞需要更换硬件(如果一家公司采取这种程度的行动来保护这些漏洞,这些漏洞的部署将是一场噩梦),但其中许多漏洞可以通过软件补丁来纠正。这为大多数企业用户提供了一个看似不错的计划来解决他们眼前的问题,但现在还不清楚。在处理知名硬件和软件产品的漏洞方面,巴可公司的问题只是冰山一角。
问题的根源
既然眼前的问题已经得到解决,我们需要询问具有严重安全漏洞的设备是如何最终出现在全球成千上万个会议室的,或者为什么它们最初的设计和编程如此糟糕。这不像 F-Secure 团队发现了未修补的漏洞或以前未知的漏洞。在巴可公司产品中发现的十个缺陷与众所周知的缺陷有关 常见漏洞 比如代码注入攻击。大多数已经有了常见漏洞和暴露 (CVE) 识别码。
那么,几十年前的CVE是如何被编码甚至硬连线到现代演示工具中的呢?唯一可能的答案是,开发人员要么对它们一无所知,要么在设计巴可设备时没有将安全性作为优先事项。不幸的是,这种情况很常见,当然也不是巴可团队所独有的。
修复漏洞的最佳时机是在应用程序开发过程中,早在应用程序发送给用户之前。最糟糕(也是最昂贵的)时间是产品部署之后或被攻击者利用之后。这可能是一个艰难的教训,巴可肯定会吸取教训,因为在这场安全惨败之后,其曾经无法渗透的市场份额受到打击。
将安全补丁转移回开发流程并不容易,但在当今世界中,即使是像演示工具这样看似简单的设备也非常复杂,而且还能与其他所有设备联网,这是必要的。在这种环境下,安全必须成为组织的最佳实践。无论公司是为社交媒体编程应用程序还是制造智能烤面包机,都必须在组织的各个方面考虑安全性。
优先考虑安全最佳实践并将其作为一项共同责任是 DevSecOps 运动的目标,在该运动中,开发、安全和运营团队共同编写和部署安全的软件和产品。它与其他任何事物一样需要文化变革。新的思维方式必须是,部署具有安全漏洞的工作产品与创建无法执行其主要功能的产品一样失败。
在健康的 DevSecOps 环境中,任何接触软件的人都应具有安全意识,开发人员应接受相关且频繁的培训,以避免在工作中引入灾难性错误。如果巴可公司的团队将安全视为一项共同责任,那么如此大量的漏洞,包括已有数十年历史的简历,就不可能出现在他们的演示工具中。
安全前进之路
没有人愿意成为下一个巴可公司,他们必须解释为什么通过他们的设备将众所周知的安全漏洞部署到全球成千上万的企业网络。为了避免这种命运,开发软件或智能硬件的公司应立即将安全作为共同责任和组织最佳实践来优先考虑。创建健康的DevSecOps计划需要时间,可能还需要改变文化,但结果将非常值得付出努力。强大的 DevSecOps 可以在漏洞造成麻烦之前就将其粉碎。
对于购买产品和软件的公司来说,支持采用 DevSecOps 的公司符合他们的最大利益。这样做将大大有助于确保从他们那里获得的设备和软件不会在等待技能不断提高的攻击者利用时炸弹的定时炸弹。
来看看 安全代码勇士 博客页面,了解有关 DevSecOps 的更多见解,以及如何保护您的组织和客户免受安全漏洞和漏洞的破坏。
想深入了解巴可遇到的安全漏洞吗?
在以下平台玩这些游戏化挑战:
목록
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약다운로드
%20(1).avif)
.avif)
