更多的违规行为,更多的问题。第三方应用程序的信任成本

发表于2018年7月5日
作者:Pieter Danhieux
案例研究

更多的违规行为,更多的问题。第三方应用程序的信任成本

发表于2018年7月5日
作者:Pieter Danhieux
查看资源
查看资源

我们的主要任务是使软件及其开发安全,这已不是什么秘密;从生产的一开始就考虑到安全问题。我们的愿景是为软件创造设定一个新的基准,让开发人员拥有技能和知识,在编写过程中检测出脆弱的代码,并在它成为问题之前就加以修复。

因此,考虑到这一点,你可能认为我们很高兴听到新的数据泄露、网络攻击和被利用的代码影响到世界各地的公司--这些事件当然强调了我们在多个垂直领域的服务需求。事实是,这相当令人沮丧。很明显,作为一个行业,我们正在一次又一次地犯同样的错误,因为大多数安全教育还不够强大,无法将风险降到最低并阻止这些漏洞。

最新的数据泄露受害者是Ticketmaster。如果你是数千名受影响的客户之一,你会收到一封电子邮件,通知你这一事件,并要求你更改密码。没有人想到,仅仅因为购买音乐会或体育赛事的门票,他们的个人数据就被侵犯了,然而我们却在这里。

这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉,也是一个彻头彻尾的糟糕的客户体验。不过,有一个问题:这并不完全是他们的错。

你看,该公司利用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster公司发现该产品含有恶意代码,导致其全球5%的客户数据被泄露。

那么黑客们究竟是如何利用这个系统的呢?他们操纵了由Inbenta科技公司根据Ticketmaster的要求定制的一行JavaScript代码。根据Inbenta的说法,这段代码被用在一个它并不适合的页面上,如果他们知道的话,会把它作为一个安全漏洞来识别。

该漏洞本身本质上是一个文件上传/存储库的安全问题,其中只要有一个漏洞就会影响到加载相同代码的每个网站。该代码可以被修改,以收集和转发个人数据给攻击者,这只是一个开始。这是一个简单的漏洞,但具有深远的破坏潜力,我们正在努力通过一系列针对开发人员的平台内培训练习来抵御这一问题。

当然,不依靠一些第三方应用程序来运行一个企业几乎是不可能的。然而,你无法控制他们如何构建他们的软件,而且对他们的代码的安全强度的可见性基本上为零。这就变成了一种信任的练习。如果你的第三方合作伙伴在他们的安全编码实践中是松懈的,你可能会在你的公司中打开一个漏洞的大门。

那么,解决方案是什么呢?简单地说:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的一个恼人的障碍。

用正确的工具和知识授权给你的开发团队,让他们接受安全,在其轨道上阻止坏代码,这比你想象的要容易。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用了这种新方法,但这不应该是财富100强公司在安全教育方面的唯一领域。每家有开发人员的公司都需要实施培训,以帮助团队安全地编码。

最近发布的白皮书是我和我们的首席技术官Matias Madou一起写的,展示了在你的组织中建立一个安全文化的好处。我们详细说明了为什么它是释放创新、保持敏捷性和减少不安全代码的财务影响的关键。

你将发现的提示包括。

* 如何使安全培训对开发人员具有相关性和吸引力

* 如何教导开发人员识别和修复他们自己的问题

* 如何帮助开发人员安全地构建他们自己的代码。

我邀请你下载这个资源,并利用它在你的组织中倡导安全,培养你的团队的技能,并在制定更高的代码标准方面走在前列。

我们必须停止认为安全是公司创新道路上的一个恼人的障碍。
查看资源
查看资源

作者

皮特-丹休

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

更多的违规行为,更多的问题。第三方应用程序的信任成本

发表于2018年7月5日
作者:Pieter Danhieux

我们的主要任务是使软件及其开发安全,这已不是什么秘密;从生产的一开始就考虑到安全问题。我们的愿景是为软件创造设定一个新的基准,让开发人员拥有技能和知识,在编写过程中检测出脆弱的代码,并在它成为问题之前就加以修复。

因此,考虑到这一点,你可能认为我们很高兴听到新的数据泄露、网络攻击和被利用的代码影响到世界各地的公司--这些事件当然强调了我们在多个垂直领域的服务需求。事实是,这相当令人沮丧。很明显,作为一个行业,我们正在一次又一次地犯同样的错误,因为大多数安全教育还不够强大,无法将风险降到最低并阻止这些漏洞。

最新的数据泄露受害者是Ticketmaster。如果你是数千名受影响的客户之一,你会收到一封电子邮件,通知你这一事件,并要求你更改密码。没有人想到,仅仅因为购买音乐会或体育赛事的门票,他们的个人数据就被侵犯了,然而我们却在这里。

这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉,也是一个彻头彻尾的糟糕的客户体验。不过,有一个问题:这并不完全是他们的错。

你看,该公司利用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster公司发现该产品含有恶意代码,导致其全球5%的客户数据被泄露。

那么黑客们究竟是如何利用这个系统的呢?他们操纵了由Inbenta科技公司根据Ticketmaster的要求定制的一行JavaScript代码。根据Inbenta的说法,这段代码被用在一个它并不适合的页面上,如果他们知道的话,会把它作为一个安全漏洞来识别。

该漏洞本身本质上是一个文件上传/存储库的安全问题,其中只要有一个漏洞就会影响到加载相同代码的每个网站。该代码可以被修改,以收集和转发个人数据给攻击者,这只是一个开始。这是一个简单的漏洞,但具有深远的破坏潜力,我们正在努力通过一系列针对开发人员的平台内培训练习来抵御这一问题。

当然,不依靠一些第三方应用程序来运行一个企业几乎是不可能的。然而,你无法控制他们如何构建他们的软件,而且对他们的代码的安全强度的可见性基本上为零。这就变成了一种信任的练习。如果你的第三方合作伙伴在他们的安全编码实践中是松懈的,你可能会在你的公司中打开一个漏洞的大门。

那么,解决方案是什么呢?简单地说:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的一个恼人的障碍。

用正确的工具和知识授权给你的开发团队,让他们接受安全,在其轨道上阻止坏代码,这比你想象的要容易。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用了这种新方法,但这不应该是财富100强公司在安全教育方面的唯一领域。每家有开发人员的公司都需要实施培训,以帮助团队安全地编码。

最近发布的白皮书是我和我们的首席技术官Matias Madou一起写的,展示了在你的组织中建立一个安全文化的好处。我们详细说明了为什么它是释放创新、保持敏捷性和减少不安全代码的财务影响的关键。

你将发现的提示包括。

* 如何使安全培训对开发人员具有相关性和吸引力

* 如何教导开发人员识别和修复他们自己的问题

* 如何帮助开发人员安全地构建他们自己的代码。

我邀请你下载这个资源,并利用它在你的组织中倡导安全,培养你的团队的技能,并在制定更高的代码标准方面走在前列。

我们必须停止认为安全是公司创新道路上的一个恼人的障碍。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。