2022年我们不能忽视的网络安全问题
这篇文章的一个版本发表在 Infosecurity杂志.它已被更新并在此转发。
在过去的两年里,对每个人来说都是一次火的洗礼,但大多数组织的网络安全蓝图受到了考验,因为我们中的许多人几乎在一夜之间就被扔进了远程工作模式。作为一个行业,我们真的必须提高警惕和适应,特别是在绝望的威胁者导致自大流行病开始以来网络犯罪报告激增300%之后。
我们都吸取了一些教训,我感到欣慰的是,不仅一般的网络安全得到了重视,代码级的软件安全和质量也得到了重视。拜登关于确保软件供应链安全的行政命令让人们看到了关键问题,尤其是在SolarWinds大规模漏洞事件之后。我们都需要更加关注安全问题,并 努力通过可衡量的安全意识来减少漏洞,这种想法无疑是对话中的一个重要部分。
也就是说,在与网络犯罪分子作斗争时,我们需要尽可能地与他们保持同步,以预防的心态抢占他们的游戏场地。
这里是我认为他们在未来一年可能开始掀起波澜的地方。
元域是一个新的攻击面
元空间可能是互联网的下一个演变,但在大多数行业对待软件和数字环境安全的方式上,类似的转变还没有实现。
虽然像网络钓鱼诈骗这样的一般网络安全隐患将不可避免(而且在每个人都在寻找他们的脚步的时候,可能会有很多),但使这种沉浸式虚拟世界成为可能的实际基础设施和设备将需要是安全的。与智能手机帮助我们在线生活的方式类似,像VR头盔这样的外围设备是通往用户数据山的新门户。越来越复杂的嵌入式系统安全需要使物联网小工具安全,主流VR/AR的勇敢新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码层面的简单错误可以成为威胁者的后台通行证,而在模拟现实中,每一个动作都会产生可以被窃取的数据。
虽然处于起步阶段,但一个成功的元空间将需要实际采用加密货币(而不是随意囤积最新的纪念币),以及像NFT这样的价值项目,这意味着我们现实生活中的财富、身份、数据和生计有可能被开放给一个新的 "狂野西部",从而使人们处于危险之中。在我们的工程师开始疯狂地开发史诗般的功能和增强功能之前,从头开始将这个新的、巨大的攻击面最小化应该是一个优先事项。
Log4Shell事件后的立法
对于那些陷入混乱,争相寻找是否有任何可利用的广泛使用的Log4j日志工具版本的实例或与之相关的依赖关系的数十名开发人员来说,我不认为假日期间会是一个快乐的时刻。
这个零日攻击是有史以来最糟糕的攻击之一,人们将Log4Shell与毁灭性的Heartbleed OpenSSL漏洞相提并论,后者在6年后仍在被人利用。如果这条时间线是什么,我们将在未来很长一段时间内处理Log4Shell的宿醉问题。很明显,即使从Heartbleed中吸取了教训--至少在需要尽快推出和实施补丁方面--许多组织仍然没有足够快的行动来保护自己。根据公司的规模,打补丁可能是令人难以置信的困难和官僚主义,需要跨部门的文件和实施。很多时候,IT部门和开发人员对所有正在使用的库、组件和工具没有百科全书式的了解,并且被严格的部署时间表所束缚,以尽量减少中断和应用程序的停机时间。这种工作方法有其合理的理由(阅读:没有人想在工作中扔一个扳手,破坏一些东西),但打补丁太慢就是坐以待毙。
正如SolarWinds攻击事件改变了软件供应链的游戏规则一样,我预测在Log4Shell事件之后也会发生类似的情况。虽然在一些关键行业已经有补丁管理的授权和建议,但广泛的立法是另一回事。预防性的软件安全将永远是我们完全避免紧急安全补丁的最好机会,但安全的最佳实践决定了补丁是一个不可商量的优先措施。我认为这将是一个热门话题,并导致不那么隐晦的建议,即快速和经常打补丁。
更加强调架构安全(而开发者还没有准备好)。
新的OWASP Top 10 2021有一些重要的新成员,以及一个令人惊讶的现象,即注入漏洞从第一的位置下降到一个低的第三位。这些新增加的内容说明了开发人员在安全编码和安全最佳实践方面的 "第二阶段",可悲的是,除非经过适当的培训,否则大多数人都没有能力对降低风险产生积极的影响。
我们已经知道,如果我们要打击代码中常见的安全漏洞,开发人员必须具备安全技能,而且组织对开发人员驱动的预防前提做出了更好的反应。然而,随着不安全设计在OWASP的前十名中占据一席之地,并且成为架构安全问题的一个类别,而不是单一类型的安全漏洞,开发人员一旦掌握了这些基础知识,就需要被推动到更高的水平。涵盖威胁建模的学习环境--最好是在安全团队的支持下--在开发人员成功提高技能后,可以减轻严重的压力,但就目前而言,这对大多数软件工程师来说是一个重要的知识差距。
对抗这种情况 "需要一个村庄",而组织可以在为开发者创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下吸引他们的好奇心。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本发表在 Infosecurity杂志.它已被更新并在此转发。
在过去的两年里,对每个人来说都是一次火的洗礼,但大多数组织的网络安全蓝图受到了考验,因为我们中的许多人几乎在一夜之间就被扔进了远程工作模式。作为一个行业,我们真的必须提高警惕和适应,特别是在绝望的威胁者导致自大流行病开始以来网络犯罪报告激增300%之后。
我们都吸取了一些教训,我感到欣慰的是,不仅一般的网络安全得到了重视,代码级的软件安全和质量也得到了重视。拜登关于确保软件供应链安全的行政命令让人们看到了关键问题,尤其是在SolarWinds大规模漏洞事件之后。我们都需要更加关注安全问题,并 努力通过可衡量的安全意识来减少漏洞,这种想法无疑是对话中的一个重要部分。
也就是说,在与网络犯罪分子作斗争时,我们需要尽可能地与他们保持同步,以预防的心态抢占他们的游戏场地。
这里是我认为他们在未来一年可能开始掀起波澜的地方。
元域是一个新的攻击面
元空间可能是互联网的下一个演变,但在大多数行业对待软件和数字环境安全的方式上,类似的转变还没有实现。
虽然像网络钓鱼诈骗这样的一般网络安全隐患将不可避免(而且在每个人都在寻找他们的脚步的时候,可能会有很多),但使这种沉浸式虚拟世界成为可能的实际基础设施和设备将需要是安全的。与智能手机帮助我们在线生活的方式类似,像VR头盔这样的外围设备是通往用户数据山的新门户。越来越复杂的嵌入式系统安全需要使物联网小工具安全,主流VR/AR的勇敢新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码层面的简单错误可以成为威胁者的后台通行证,而在模拟现实中,每一个动作都会产生可以被窃取的数据。
虽然处于起步阶段,但一个成功的元空间将需要实际采用加密货币(而不是随意囤积最新的纪念币),以及像NFT这样的价值项目,这意味着我们现实生活中的财富、身份、数据和生计有可能被开放给一个新的 "狂野西部",从而使人们处于危险之中。在我们的工程师开始疯狂地开发史诗般的功能和增强功能之前,从头开始将这个新的、巨大的攻击面最小化应该是一个优先事项。
Log4Shell事件后的立法
对于那些陷入混乱,争相寻找是否有任何可利用的广泛使用的Log4j日志工具版本的实例或与之相关的依赖关系的数十名开发人员来说,我不认为假日期间会是一个快乐的时刻。
这个零日攻击是有史以来最糟糕的攻击之一,人们将Log4Shell与毁灭性的Heartbleed OpenSSL漏洞相提并论,后者在6年后仍在被人利用。如果这条时间线是什么,我们将在未来很长一段时间内处理Log4Shell的宿醉问题。很明显,即使从Heartbleed中吸取了教训--至少在需要尽快推出和实施补丁方面--许多组织仍然没有足够快的行动来保护自己。根据公司的规模,打补丁可能是令人难以置信的困难和官僚主义,需要跨部门的文件和实施。很多时候,IT部门和开发人员对所有正在使用的库、组件和工具没有百科全书式的了解,并且被严格的部署时间表所束缚,以尽量减少中断和应用程序的停机时间。这种工作方法有其合理的理由(阅读:没有人想在工作中扔一个扳手,破坏一些东西),但打补丁太慢就是坐以待毙。
正如SolarWinds攻击事件改变了软件供应链的游戏规则一样,我预测在Log4Shell事件之后也会发生类似的情况。虽然在一些关键行业已经有补丁管理的授权和建议,但广泛的立法是另一回事。预防性的软件安全将永远是我们完全避免紧急安全补丁的最好机会,但安全的最佳实践决定了补丁是一个不可商量的优先措施。我认为这将是一个热门话题,并导致不那么隐晦的建议,即快速和经常打补丁。
更加强调架构安全(而开发者还没有准备好)。
新的OWASP Top 10 2021有一些重要的新成员,以及一个令人惊讶的现象,即注入漏洞从第一的位置下降到一个低的第三位。这些新增加的内容说明了开发人员在安全编码和安全最佳实践方面的 "第二阶段",可悲的是,除非经过适当的培训,否则大多数人都没有能力对降低风险产生积极的影响。
我们已经知道,如果我们要打击代码中常见的安全漏洞,开发人员必须具备安全技能,而且组织对开发人员驱动的预防前提做出了更好的反应。然而,随着不安全设计在OWASP的前十名中占据一席之地,并且成为架构安全问题的一个类别,而不是单一类型的安全漏洞,开发人员一旦掌握了这些基础知识,就需要被推动到更高的水平。涵盖威胁建模的学习环境--最好是在安全团队的支持下--在开发人员成功提高技能后,可以减轻严重的压力,但就目前而言,这对大多数软件工程师来说是一个重要的知识差距。
对抗这种情况 "需要一个村庄",而组织可以在为开发者创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下吸引他们的好奇心。
这篇文章的一个版本发表在 Infosecurity杂志.它已被更新并在此转发。
在过去的两年里,对每个人来说都是一次火的洗礼,但大多数组织的网络安全蓝图受到了考验,因为我们中的许多人几乎在一夜之间就被扔进了远程工作模式。作为一个行业,我们真的必须提高警惕和适应,特别是在绝望的威胁者导致自大流行病开始以来网络犯罪报告激增300%之后。
我们都吸取了一些教训,我感到欣慰的是,不仅一般的网络安全得到了重视,代码级的软件安全和质量也得到了重视。拜登关于确保软件供应链安全的行政命令让人们看到了关键问题,尤其是在SolarWinds大规模漏洞事件之后。我们都需要更加关注安全问题,并 努力通过可衡量的安全意识来减少漏洞,这种想法无疑是对话中的一个重要部分。
也就是说,在与网络犯罪分子作斗争时,我们需要尽可能地与他们保持同步,以预防的心态抢占他们的游戏场地。
这里是我认为他们在未来一年可能开始掀起波澜的地方。
元域是一个新的攻击面
元空间可能是互联网的下一个演变,但在大多数行业对待软件和数字环境安全的方式上,类似的转变还没有实现。
虽然像网络钓鱼诈骗这样的一般网络安全隐患将不可避免(而且在每个人都在寻找他们的脚步的时候,可能会有很多),但使这种沉浸式虚拟世界成为可能的实际基础设施和设备将需要是安全的。与智能手机帮助我们在线生活的方式类似,像VR头盔这样的外围设备是通往用户数据山的新门户。越来越复杂的嵌入式系统安全需要使物联网小工具安全,主流VR/AR的勇敢新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码层面的简单错误可以成为威胁者的后台通行证,而在模拟现实中,每一个动作都会产生可以被窃取的数据。
虽然处于起步阶段,但一个成功的元空间将需要实际采用加密货币(而不是随意囤积最新的纪念币),以及像NFT这样的价值项目,这意味着我们现实生活中的财富、身份、数据和生计有可能被开放给一个新的 "狂野西部",从而使人们处于危险之中。在我们的工程师开始疯狂地开发史诗般的功能和增强功能之前,从头开始将这个新的、巨大的攻击面最小化应该是一个优先事项。
Log4Shell事件后的立法
对于那些陷入混乱,争相寻找是否有任何可利用的广泛使用的Log4j日志工具版本的实例或与之相关的依赖关系的数十名开发人员来说,我不认为假日期间会是一个快乐的时刻。
这个零日攻击是有史以来最糟糕的攻击之一,人们将Log4Shell与毁灭性的Heartbleed OpenSSL漏洞相提并论,后者在6年后仍在被人利用。如果这条时间线是什么,我们将在未来很长一段时间内处理Log4Shell的宿醉问题。很明显,即使从Heartbleed中吸取了教训--至少在需要尽快推出和实施补丁方面--许多组织仍然没有足够快的行动来保护自己。根据公司的规模,打补丁可能是令人难以置信的困难和官僚主义,需要跨部门的文件和实施。很多时候,IT部门和开发人员对所有正在使用的库、组件和工具没有百科全书式的了解,并且被严格的部署时间表所束缚,以尽量减少中断和应用程序的停机时间。这种工作方法有其合理的理由(阅读:没有人想在工作中扔一个扳手,破坏一些东西),但打补丁太慢就是坐以待毙。
正如SolarWinds攻击事件改变了软件供应链的游戏规则一样,我预测在Log4Shell事件之后也会发生类似的情况。虽然在一些关键行业已经有补丁管理的授权和建议,但广泛的立法是另一回事。预防性的软件安全将永远是我们完全避免紧急安全补丁的最好机会,但安全的最佳实践决定了补丁是一个不可商量的优先措施。我认为这将是一个热门话题,并导致不那么隐晦的建议,即快速和经常打补丁。
更加强调架构安全(而开发者还没有准备好)。
新的OWASP Top 10 2021有一些重要的新成员,以及一个令人惊讶的现象,即注入漏洞从第一的位置下降到一个低的第三位。这些新增加的内容说明了开发人员在安全编码和安全最佳实践方面的 "第二阶段",可悲的是,除非经过适当的培训,否则大多数人都没有能力对降低风险产生积极的影响。
我们已经知道,如果我们要打击代码中常见的安全漏洞,开发人员必须具备安全技能,而且组织对开发人员驱动的预防前提做出了更好的反应。然而,随着不安全设计在OWASP的前十名中占据一席之地,并且成为架构安全问题的一个类别,而不是单一类型的安全漏洞,开发人员一旦掌握了这些基础知识,就需要被推动到更高的水平。涵盖威胁建模的学习环境--最好是在安全团队的支持下--在开发人员成功提高技能后,可以减轻严重的压力,但就目前而言,这对大多数软件工程师来说是一个重要的知识差距。
对抗这种情况 "需要一个村庄",而组织可以在为开发者创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下吸引他们的好奇心。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本发表在 Infosecurity杂志.它已被更新并在此转发。
在过去的两年里,对每个人来说都是一次火的洗礼,但大多数组织的网络安全蓝图受到了考验,因为我们中的许多人几乎在一夜之间就被扔进了远程工作模式。作为一个行业,我们真的必须提高警惕和适应,特别是在绝望的威胁者导致自大流行病开始以来网络犯罪报告激增300%之后。
我们都吸取了一些教训,我感到欣慰的是,不仅一般的网络安全得到了重视,代码级的软件安全和质量也得到了重视。拜登关于确保软件供应链安全的行政命令让人们看到了关键问题,尤其是在SolarWinds大规模漏洞事件之后。我们都需要更加关注安全问题,并 努力通过可衡量的安全意识来减少漏洞,这种想法无疑是对话中的一个重要部分。
也就是说,在与网络犯罪分子作斗争时,我们需要尽可能地与他们保持同步,以预防的心态抢占他们的游戏场地。
这里是我认为他们在未来一年可能开始掀起波澜的地方。
元域是一个新的攻击面
元空间可能是互联网的下一个演变,但在大多数行业对待软件和数字环境安全的方式上,类似的转变还没有实现。
虽然像网络钓鱼诈骗这样的一般网络安全隐患将不可避免(而且在每个人都在寻找他们的脚步的时候,可能会有很多),但使这种沉浸式虚拟世界成为可能的实际基础设施和设备将需要是安全的。与智能手机帮助我们在线生活的方式类似,像VR头盔这样的外围设备是通往用户数据山的新门户。越来越复杂的嵌入式系统安全需要使物联网小工具安全,主流VR/AR的勇敢新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码层面的简单错误可以成为威胁者的后台通行证,而在模拟现实中,每一个动作都会产生可以被窃取的数据。
虽然处于起步阶段,但一个成功的元空间将需要实际采用加密货币(而不是随意囤积最新的纪念币),以及像NFT这样的价值项目,这意味着我们现实生活中的财富、身份、数据和生计有可能被开放给一个新的 "狂野西部",从而使人们处于危险之中。在我们的工程师开始疯狂地开发史诗般的功能和增强功能之前,从头开始将这个新的、巨大的攻击面最小化应该是一个优先事项。
Log4Shell事件后的立法
对于那些陷入混乱,争相寻找是否有任何可利用的广泛使用的Log4j日志工具版本的实例或与之相关的依赖关系的数十名开发人员来说,我不认为假日期间会是一个快乐的时刻。
这个零日攻击是有史以来最糟糕的攻击之一,人们将Log4Shell与毁灭性的Heartbleed OpenSSL漏洞相提并论,后者在6年后仍在被人利用。如果这条时间线是什么,我们将在未来很长一段时间内处理Log4Shell的宿醉问题。很明显,即使从Heartbleed中吸取了教训--至少在需要尽快推出和实施补丁方面--许多组织仍然没有足够快的行动来保护自己。根据公司的规模,打补丁可能是令人难以置信的困难和官僚主义,需要跨部门的文件和实施。很多时候,IT部门和开发人员对所有正在使用的库、组件和工具没有百科全书式的了解,并且被严格的部署时间表所束缚,以尽量减少中断和应用程序的停机时间。这种工作方法有其合理的理由(阅读:没有人想在工作中扔一个扳手,破坏一些东西),但打补丁太慢就是坐以待毙。
正如SolarWinds攻击事件改变了软件供应链的游戏规则一样,我预测在Log4Shell事件之后也会发生类似的情况。虽然在一些关键行业已经有补丁管理的授权和建议,但广泛的立法是另一回事。预防性的软件安全将永远是我们完全避免紧急安全补丁的最好机会,但安全的最佳实践决定了补丁是一个不可商量的优先措施。我认为这将是一个热门话题,并导致不那么隐晦的建议,即快速和经常打补丁。
更加强调架构安全(而开发者还没有准备好)。
新的OWASP Top 10 2021有一些重要的新成员,以及一个令人惊讶的现象,即注入漏洞从第一的位置下降到一个低的第三位。这些新增加的内容说明了开发人员在安全编码和安全最佳实践方面的 "第二阶段",可悲的是,除非经过适当的培训,否则大多数人都没有能力对降低风险产生积极的影响。
我们已经知道,如果我们要打击代码中常见的安全漏洞,开发人员必须具备安全技能,而且组织对开发人员驱动的预防前提做出了更好的反应。然而,随着不安全设计在OWASP的前十名中占据一席之地,并且成为架构安全问题的一个类别,而不是单一类型的安全漏洞,开发人员一旦掌握了这些基础知识,就需要被推动到更高的水平。涵盖威胁建模的学习环境--最好是在安全团队的支持下--在开发人员成功提高技能后,可以减轻严重的压力,但就目前而言,这对大多数软件工程师来说是一个重要的知识差距。
对抗这种情况 "需要一个村庄",而组织可以在为开发者创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下吸引他们的好奇心。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示下载
.png)
