零日攻击呈上升趋势。现在是时候规划一个防御性的优势了。

发布日期:2022年04月05日
作者:Matias Madou
仔细说来?

毋庸置疑,这是个很好的机会。悬浮在空中的各种元素的三层结构。他说:"我的意思是说,我可以在这里工作,但我不能在这里工作,因为我不能在这里工作,因为我不能在这里工作。在这里,我想说的是,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是。在这里,我想说的是,我们的生命力是有限的。

这篇文章的一个版本出现在 SC杂志.它已被修改并在此转发。
如果


你曾经被小偷闯入过你的家,你会明白最初的那种沉甸甸的感觉,觉得有些不对劲,然后意识到你确实被偷了,被侵犯了。这通常会导致持久的不适,更不用说转而采取能与诺克斯堡相媲美的安全措施了。

现在想象一下,你的家被攻破了,因为窃贼给自己配了一把钥匙。他们蹑手蹑脚,想来就来,想走就走,但却小心翼翼地保持不被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,你的保险箱被清空了,你的个人物品被洗劫一空,这一切都太晚了。这就是一个组织在遭受零日网络攻击时面临的同等现实。2020年,Ponemon研究所的一项研究显示,80%的成功数据泄露是零日漏洞的结果,可悲的是,大多数公司仍然没有能力对这一统计数字作出重大改进。

零日攻击,顾名思义,给了开发人员零的时间去发现和修补现有的可能被利用的漏洞,因为威胁者首先进入了。损失已经造成,然后就是疯狂地修复软件和对企业的声誉损害。攻击者总是处于优势地位,而尽可能地缩小这种优势是至关重要的。 

没有人想要的节日礼物--Log4Shell--目前正在互联网上炸开了锅,据说有超过10亿台设备受到了这个灾难性的Java漏洞的影响。这将是有史以来最严重的0day攻击,而我们才刚刚开始。尽管一些报告称,漏洞在公开披露前几天就开始了,但2016年黑帽会议上的一份报告表明,这已经是一个已知的问题了。哎哟。更糟糕的是,它很容易被利用,地球上的每一个脚本儿童和威胁行为者都在利用这个漏洞追逐利益。

那么,对于抵御狡猾、阴险的威胁,更不用说在软件开发过程中被遗漏的漏洞,什么才是最好的发展道路?让我们来看一看。 

针对大目标的零日攻击很罕见(而且代价高昂)

在暗网中有一个巨大的漏洞市场,而零日漏洞往往价格不菲,本文中的一个例子在写作时被列为250万美元。据报道,这是一个针对苹果iOS系统的漏洞,安全研究员的要价很高,这并不奇怪;毕竟,这确实可能是入侵数百万设备的通道,收获数十亿敏感数据记录,而且在被发现和打补丁之前尽可能地做。

但到底谁有那么多钱呢?通常情况下,有组织的网络犯罪集团会拿出现金,如果它被认为是值得的,特别是对于一直流行的勒索软件攻击。然而,全球政府和国防部门是他们可以用来获取威胁情报的客户,在更积极的情况下,公司本身可能是他们自己的潜在零日漏洞的买家,这样他们就可以减轻灾难。 

2021年,现场零日漏洞发现的记录被打破,而大型组织、政府部门和基础设施最有可能被探测到任何弱点。没有办法完全避免零日攻击的可能性,但你可以通过提供一个慷慨的、结构良好的漏洞赏金计划来 "玩游戏"。与其等到有人在暗网市场上提供你的软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供体面的奖励,让他们进行道德披露和潜在修复。

如果它恰好是一个令人毛骨悚然的零日威胁,可以肯定的是,你需要拿出比亚马逊礼品卡更多的钱(而且你这样做也是值得的)。

你的工具可能成为你的安全人员的负担

长期以来,繁琐的安全工具一直是一个问题,平均CISO在他们的安全武库中管理着55至75种工具根据Ponemon研究所的一项研究,除了是世界上最混乱的(比喻)瑞士军刀之外,53%的企业甚至不相信它们在有效地工作。另一项研究显示,只有17%的CISO认为他们的安全栈是 "完全有效的"。

在一个以职业倦怠、缺乏安全技能人才以满足需求和需要敏捷性而闻名的领域,迫使安全专业人员以数据、报告和监控庞大工具集的形式处理信息过载,是一种负担。这正是那种可能导致他们错过关键警报的情况,在正确评估Log4j的弱点时很可能就是这种情况。 

预防性安全应包括开发者驱动的威胁建模

代码级的漏洞往往是由开发人员引入的,他们需要精确的指导和定期的学习途径来建立安全编码技能。然而,下一级的安全开发人员已经有机会学习和实践威胁建模,作为其软件创建过程的一部分。

最了解他们的软件的人是那些坐在那里创造软件的开发者,这不应该是一个惊喜。他们拥有强大的知识,知道用户如何与之互动,在哪里使用这些功能,以及当有足够的安全意识时,可能出现的破坏或被利用的情况。

如果我们把这个问题带回Log4Shell漏洞,我们很不幸地看到这样一种情况:一个灾难性的漏洞没有被专家和复杂的工具组发现,然而,如果该库被配置为净化用户输入,它可能根本就不会发生。不这样做的决定似乎是为了增加便利性的一个不起眼的功能,但却使它很容易被利用(想想SQL注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐的、精通安全的开发人员完成的,那么这种情况很可能已经被理论化并被考虑了。

一个伟大的安全计划有一个情感的组成部分,人类的干预和细微差别是解决人类创造的问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也一样。这不是开发人员应该在一夜之间就能完成的事情,但有一个明确的途径来提高他们的技能,使他们能够为这个重要的任务减轻安全团队的压力,这是理想的做法(而且这是建立两个团队之间关系的好办法)。 

零天导致N天

应对零日病毒的下一步是尽快打出补丁,希望每个使用易受攻击软件的用户都能尽快打出补丁,当然要赶在攻击者之前打出。有了Log4Shell,的耐力和效力可能会超过Heartbleed,因为它被嵌入到数以百万计的设备中,并在软件构建中产生复杂的依赖关系。

现实上,没有办法完全阻止这种阴险的攻击。然而,只要承诺利用一切途径来创建高质量、安全的软件,并以对待关键基础设施的相同心态来对待开发,我们都可以有一个战斗的机会。

查看资源

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

零日攻击呈上升趋势。现在是时候规划一个防御性的优势了。

发表于2023年2月3日
作者:Matias Madou

这篇文章的一个版本出现在 SC杂志.它已被修改并在此转发。
如果


你曾经被小偷闯入过你的家,你会明白最初的那种沉甸甸的感觉,觉得有些不对劲,然后意识到你确实被偷了,被侵犯了。这通常会导致持久的不适,更不用说转而采取能与诺克斯堡相媲美的安全措施了。

现在想象一下,你的家被攻破了,因为窃贼给自己配了一把钥匙。他们蹑手蹑脚,想来就来,想走就走,但却小心翼翼地保持不被发现。然后,有一天,你发现你藏在冰箱里的珠宝不见了,你的保险箱被清空了,你的个人物品被洗劫一空,这一切都太晚了。这就是一个组织在遭受零日网络攻击时面临的同等现实。2020年,Ponemon研究所的一项研究显示,80%的成功数据泄露是零日漏洞的结果,可悲的是,大多数公司仍然没有能力对这一统计数字作出重大改进。

零日攻击,顾名思义,给了开发人员零的时间去发现和修补现有的可能被利用的漏洞,因为威胁者首先进入了。损失已经造成,然后就是疯狂地修复软件和对企业的声誉损害。攻击者总是处于优势地位,而尽可能地缩小这种优势是至关重要的。 

没有人想要的节日礼物--Log4Shell--目前正在互联网上炸开了锅,据说有超过10亿台设备受到了这个灾难性的Java漏洞的影响。这将是有史以来最严重的0day攻击,而我们才刚刚开始。尽管一些报告称,漏洞在公开披露前几天就开始了,但2016年黑帽会议上的一份报告表明,这已经是一个已知的问题了。哎哟。更糟糕的是,它很容易被利用,地球上的每一个脚本儿童和威胁行为者都在利用这个漏洞追逐利益。

那么,对于抵御狡猾、阴险的威胁,更不用说在软件开发过程中被遗漏的漏洞,什么才是最好的发展道路?让我们来看一看。 

针对大目标的零日攻击很罕见(而且代价高昂)

在暗网中有一个巨大的漏洞市场,而零日漏洞往往价格不菲,本文中的一个例子在写作时被列为250万美元。据报道,这是一个针对苹果iOS系统的漏洞,安全研究员的要价很高,这并不奇怪;毕竟,这确实可能是入侵数百万设备的通道,收获数十亿敏感数据记录,而且在被发现和打补丁之前尽可能地做。

但到底谁有那么多钱呢?通常情况下,有组织的网络犯罪集团会拿出现金,如果它被认为是值得的,特别是对于一直流行的勒索软件攻击。然而,全球政府和国防部门是他们可以用来获取威胁情报的客户,在更积极的情况下,公司本身可能是他们自己的潜在零日漏洞的买家,这样他们就可以减轻灾难。 

2021年,现场零日漏洞发现的记录被打破,而大型组织、政府部门和基础设施最有可能被探测到任何弱点。没有办法完全避免零日攻击的可能性,但你可以通过提供一个慷慨的、结构良好的漏洞赏金计划来 "玩游戏"。与其等到有人在暗网市场上提供你的软件城堡的钥匙,不如让合法的安全爱好者站在你这边,为他们提供体面的奖励,让他们进行道德披露和潜在修复。

如果它恰好是一个令人毛骨悚然的零日威胁,可以肯定的是,你需要拿出比亚马逊礼品卡更多的钱(而且你这样做也是值得的)。

你的工具可能成为你的安全人员的负担

长期以来,繁琐的安全工具一直是一个问题,平均CISO在他们的安全武库中管理着55至75种工具根据Ponemon研究所的一项研究,除了是世界上最混乱的(比喻)瑞士军刀之外,53%的企业甚至不相信它们在有效地工作。另一项研究显示,只有17%的CISO认为他们的安全栈是 "完全有效的"。

在一个以职业倦怠、缺乏安全技能人才以满足需求和需要敏捷性而闻名的领域,迫使安全专业人员以数据、报告和监控庞大工具集的形式处理信息过载,是一种负担。这正是那种可能导致他们错过关键警报的情况,在正确评估Log4j的弱点时很可能就是这种情况。 

预防性安全应包括开发者驱动的威胁建模

代码级的漏洞往往是由开发人员引入的,他们需要精确的指导和定期的学习途径来建立安全编码技能。然而,下一级的安全开发人员已经有机会学习和实践威胁建模,作为其软件创建过程的一部分。

最了解他们的软件的人是那些坐在那里创造软件的开发者,这不应该是一个惊喜。他们拥有强大的知识,知道用户如何与之互动,在哪里使用这些功能,以及当有足够的安全意识时,可能出现的破坏或被利用的情况。

如果我们把这个问题带回Log4Shell漏洞,我们很不幸地看到这样一种情况:一个灾难性的漏洞没有被专家和复杂的工具组发现,然而,如果该库被配置为净化用户输入,它可能根本就不会发生。不这样做的决定似乎是为了增加便利性的一个不起眼的功能,但却使它很容易被利用(想想SQL注入级别,当然不是天才的东西)。如果威胁建模是由一群敏锐的、精通安全的开发人员完成的,那么这种情况很可能已经被理论化并被考虑了。

一个伟大的安全计划有一个情感的组成部分,人类的干预和细微差别是解决人类创造的问题的核心。威胁建模需要同理心和经验才能有效,软件和应用程序架构层面的安全编码和配置也一样。这不是开发人员应该在一夜之间就能完成的事情,但有一个明确的途径来提高他们的技能,使他们能够为这个重要的任务减轻安全团队的压力,这是理想的做法(而且这是建立两个团队之间关系的好办法)。 

零天导致N天

应对零日病毒的下一步是尽快打出补丁,希望每个使用易受攻击软件的用户都能尽快打出补丁,当然要赶在攻击者之前打出。有了Log4Shell,的耐力和效力可能会超过Heartbleed,因为它被嵌入到数以百万计的设备中,并在软件构建中产生复杂的依赖关系。

现实上,没有办法完全阻止这种阴险的攻击。然而,只要承诺利用一切途径来创建高质量、安全的软件,并以对待关键基础设施的相同心态来对待开发,我们都可以有一个战斗的机会。

输入你的详细资料以获取完整的报告。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

Oopsie daisy