零日攻击呈上升趋势。现在是时候规划一个防御性的优势了。
这篇文章的一个版本出现在 SC杂志.它已被修改并在此转发。
如果
你曾经被小偷闯入过你的家,你会明白最初的那种沉甸甸的感觉,觉得有些不对劲,然后意识到你确实被偷了,被侵犯了。这通常会导致持久的不适,更不用说转而采取能与诺克斯堡相媲美的安全措施了。
现在想象一下,你的家被攻破了,因为窃贼给自己配了一把钥匙。他们蹑手蹑脚,想来就来,想走就走,但却小心翼翼地保持不被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,你的保险箱被清空了,你的个人物品被洗劫一空,这一切都太晚了。这就是一个组织在遭受零日网络攻击时面临的同等现实。2020年,Ponemon研究所的一项研究显示,80%的成功数据泄露是零日漏洞的结果,可悲的是,大多数公司仍然没有能力对这一统计数字作出重大改进。
零日攻击,顾名思义,给了开发人员零的时间去发现和修补现有的可能被利用的漏洞,因为威胁者首先进入了。损失已经造成,然后就是疯狂地修复软件和对企业的声誉损害。攻击者总是处于优势地位,而尽可能地缩小这种优势是至关重要的。
没有人想要的节日礼物--Log4Shell--目前正在互联网上炸开了锅,据说有超过10亿台设备受到了这个灾难性的Java漏洞的影响。这将是有史以来最严重的0day攻击,而我们才刚刚开始。尽管一些报告称,漏洞在公开披露前几天就开始了,但2016年黑帽会议上的一份报告表明,这已经是一个已知的问题了。哎哟。更糟糕的是,它很容易被利用,地球上的每一个脚本儿童和威胁行为者都在利用这个漏洞追逐利益。
那么,对于抵御狡猾、阴险的威胁,更不用说在软件开发过程中被遗漏的漏洞,什么才是最好的发展道路?让我们来看一看。
针对大目标的零日攻击很罕见(而且代价高昂)
在暗网中有一个巨大的漏洞市场,而零日漏洞往往价格不菲,本文中的一个例子在写作时被列为250万美元。据报道,这是一个针对苹果iOS系统的漏洞,安全研究员的要价很高,这并不奇怪;毕竟,这确实可能是入侵数百万设备的通道,收获数十亿敏感数据记录,而且在被发现和打补丁之前尽可能地做。
但到底谁有那么多钱呢?通常情况下,有组织的网络犯罪集团会拿出现金,如果它被认为是值得的,特别是对于一直流行的勒索软件攻击。然而,全球政府和国防部门是他们可以用来获取威胁情报的客户,在更积极的情况下,公司本身可能是他们自己的潜在零日漏洞的买家,这样他们就可以减轻灾难。
2021年,现场零日漏洞发现的记录被打破,而大型组织、政府部门和基础设施最有可能被探测到任何弱点。没有办法完全避免零日攻击的可能性,但你可以通过提供一个慷慨的、结构良好的漏洞赏金计划来 "玩游戏"。与其等到有人在暗网市场上提供你的软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供体面的奖励,让他们进行道德披露和潜在修复。
如果它恰好是一个令人毛骨悚然的零日威胁,可以肯定的是,你需要拿出比亚马逊礼品卡更多的钱(而且你这样做也是值得的)。
你的工具可能成为你的安全人员的负担
长期以来,繁琐的安全工具一直是一个问题,平均CISO在他们的安全武库中管理着55至75种工具。根据Ponemon研究所的一项研究,除了是世界上最混乱的(比喻)瑞士军刀之外,53%的企业甚至不相信它们在有效地工作。另一项研究显示,只有17%的CISO认为他们的安全栈是 "完全有效的"。
在一个以职业倦怠、缺乏安全技能人才以满足需求和需要敏捷性而闻名的领域,迫使安全专业人员以数据、报告和监控庞大工具集的形式处理信息过载,是一种负担。这正是那种可能导致他们错过关键警报的情况,在正确评估Log4j的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级的漏洞往往是由开发人员引入的,他们需要精确的指导和定期的学习途径来建立安全编码技能。然而,下一级的安全开发人员已经有机会学习和实践威胁建模,作为其软件创建过程的一部分。
最了解他们的软件的人是那些坐在那里创造软件的开发者,这不应该是一个惊喜。他们拥有强大的知识,知道用户如何与之互动,在哪里使用这些功能,以及当有足够的安全意识时,可能出现的破坏或被利用的情况。
如果我们把这个问题带回Log4Shell漏洞,我们很不幸地看到这样一种情况:一个灾难性的漏洞没有被专家和复杂的工具组发现,然而,如果该库被配置为净化用户输入,它可能根本就不会发生。不这样做的决定似乎是为了增加便利性的一个不起眼的功能,但却使它很容易被利用(想想SQL注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐的、精通安全的开发人员完成的,那么这种情况很可能已经被理论化并被考虑了。
一个伟大的安全计划有一个情感的组成部分,人类的干预和细微差别是解决人类创造的问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也一样。这不是开发人员应该在一夜之间就能完成的事情,但有一个明确的途径来提高他们的技能,使他们能够为这个重要的任务减轻安全团队的压力,这是理想的做法(而且这是建立两个团队之间关系的好办法)。
零天导致N天
应对零日病毒的下一步是尽快打出补丁,希望每个使用易受攻击软件的用户都能尽快打出补丁,当然要赶在攻击者之前打出。有了Log4Shell,它的耐力和效力可能会超过Heartbleed,因为它被嵌入到数以百万计的设备中,并在软件构建中产生复杂的依赖关系。
现实上,没有办法完全阻止这种阴险的攻击。然而,只要承诺利用一切途径来创建高质量、安全的软件,并以对待关键基础设施的相同心态来对待开发,我们都可以有一个战斗的机会。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
零日攻击呈上升趋势。现在是时候规划一个防御性的优势了。
这篇文章的一个版本出现在 SC杂志.它已被修改并在此转发。
如果
你曾经被小偷闯入过你的家,你会明白最初的那种沉甸甸的感觉,觉得有些不对劲,然后意识到你确实被偷了,被侵犯了。这通常会导致持久的不适,更不用说转而采取能与诺克斯堡相媲美的安全措施了。
现在想象一下,你的家被攻破了,因为窃贼给自己配了一把钥匙。他们蹑手蹑脚,想来就来,想走就走,但却小心翼翼地保持不被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,你的保险箱被清空了,你的个人物品被洗劫一空,这一切都太晚了。这就是一个组织在遭受零日网络攻击时面临的同等现实。2020年,Ponemon研究所的一项研究显示,80%的成功数据泄露是零日漏洞的结果,可悲的是,大多数公司仍然没有能力对这一统计数字作出重大改进。
零日攻击,顾名思义,给了开发人员零的时间去发现和修补现有的可能被利用的漏洞,因为威胁者首先进入了。损失已经造成,然后就是疯狂地修复软件和对企业的声誉损害。攻击者总是处于优势地位,而尽可能地缩小这种优势是至关重要的。
没有人想要的节日礼物--Log4Shell--目前正在互联网上炸开了锅,据说有超过10亿台设备受到了这个灾难性的Java漏洞的影响。这将是有史以来最严重的0day攻击,而我们才刚刚开始。尽管一些报告称,漏洞在公开披露前几天就开始了,但2016年黑帽会议上的一份报告表明,这已经是一个已知的问题了。哎哟。更糟糕的是,它很容易被利用,地球上的每一个脚本儿童和威胁行为者都在利用这个漏洞追逐利益。
那么,对于抵御狡猾、阴险的威胁,更不用说在软件开发过程中被遗漏的漏洞,什么才是最好的发展道路?让我们来看一看。
针对大目标的零日攻击很罕见(而且代价高昂)
在暗网中有一个巨大的漏洞市场,而零日漏洞往往价格不菲,本文中的一个例子在写作时被列为250万美元。据报道,这是一个针对苹果iOS系统的漏洞,安全研究员的要价很高,这并不奇怪;毕竟,这确实可能是入侵数百万设备的通道,收获数十亿敏感数据记录,而且在被发现和打补丁之前尽可能地做。
但到底谁有那么多钱呢?通常情况下,有组织的网络犯罪集团会拿出现金,如果它被认为是值得的,特别是对于一直流行的勒索软件攻击。然而,全球政府和国防部门是他们可以用来获取威胁情报的客户,在更积极的情况下,公司本身可能是他们自己的潜在零日漏洞的买家,这样他们就可以减轻灾难。
2021年,现场零日漏洞发现的记录被打破,而大型组织、政府部门和基础设施最有可能被探测到任何弱点。没有办法完全避免零日攻击的可能性,但你可以通过提供一个慷慨的、结构良好的漏洞赏金计划来 "玩游戏"。与其等到有人在暗网市场上提供你的软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供体面的奖励,让他们进行道德披露和潜在修复。
如果它恰好是一个令人毛骨悚然的零日威胁,可以肯定的是,你需要拿出比亚马逊礼品卡更多的钱(而且你这样做也是值得的)。
你的工具可能成为你的安全人员的负担
长期以来,繁琐的安全工具一直是一个问题,平均CISO在他们的安全武库中管理着55至75种工具。根据Ponemon研究所的一项研究,除了是世界上最混乱的(比喻)瑞士军刀之外,53%的企业甚至不相信它们在有效地工作。另一项研究显示,只有17%的CISO认为他们的安全栈是 "完全有效的"。
在一个以职业倦怠、缺乏安全技能人才以满足需求和需要敏捷性而闻名的领域,迫使安全专业人员以数据、报告和监控庞大工具集的形式处理信息过载,是一种负担。这正是那种可能导致他们错过关键警报的情况,在正确评估Log4j的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级的漏洞往往是由开发人员引入的,他们需要精确的指导和定期的学习途径来建立安全编码技能。然而,下一级的安全开发人员已经有机会学习和实践威胁建模,作为其软件创建过程的一部分。
最了解他们的软件的人是那些坐在那里创造软件的开发者,这不应该是一个惊喜。他们拥有强大的知识,知道用户如何与之互动,在哪里使用这些功能,以及当有足够的安全意识时,可能出现的破坏或被利用的情况。
如果我们把这个问题带回Log4Shell漏洞,我们很不幸地看到这样一种情况:一个灾难性的漏洞没有被专家和复杂的工具组发现,然而,如果该库被配置为净化用户输入,它可能根本就不会发生。不这样做的决定似乎是为了增加便利性的一个不起眼的功能,但却使它很容易被利用(想想SQL注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐的、精通安全的开发人员完成的,那么这种情况很可能已经被理论化并被考虑了。
一个伟大的安全计划有一个情感的组成部分,人类的干预和细微差别是解决人类创造的问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也一样。这不是开发人员应该在一夜之间就能完成的事情,但有一个明确的途径来提高他们的技能,使他们能够为这个重要的任务减轻安全团队的压力,这是理想的做法(而且这是建立两个团队之间关系的好办法)。
零天导致N天
应对零日病毒的下一步是尽快打出补丁,希望每个使用易受攻击软件的用户都能尽快打出补丁,当然要赶在攻击者之前打出。有了Log4Shell,它的耐力和效力可能会超过Heartbleed,因为它被嵌入到数以百万计的设备中,并在软件构建中产生复杂的依赖关系。
现实上,没有办法完全阻止这种阴险的攻击。然而,只要承诺利用一切途径来创建高质量、安全的软件,并以对待关键基础设施的相同心态来对待开发,我们都可以有一个战斗的机会。
