软件安全处于狂野的西部(它将使我们丧命
原文发表于 CSO在线
作为一个(半退休的)道德黑客、安全专家和全能的计算机极客,你可以说我对技术非常关心。我关心它是如何形成的,它有什么作用,以及它将如何使我们生活的某些方面变得更好或更有效。我一直在看设备的 "引擎盖",看到一些最好(和最坏)的代码例子。最近,我研究了我的空调系统是如何通过一个安卓应用程序进行远程控制的(想象一下,当我发现WiFi网络上的任何人都可以控制那个东西而不需要任何认证时,我感到很惊讶)。
软件安全对我来说始终是最重要的,就像我们日益数字化、个人信息共享的生活方式所带来的非常真实的危险。毕竟,我们正处于一个基本上不受管制、不受监督和被忽视的领域。我们正处于狂野的西部。
作为一个集体的社会,我们没有关注我们每天使用的技术的引擎盖下。虽然像《机器人先生》这样受欢迎和备受赞誉的电视剧有助于提高人们的普遍意识,但我们没有安全意识......事实上,我们大多数人都不知道在我们购买和使用的无数应用程序、服务和日益连接的东西中,软件的安全性如何。这甚至不是说我们本质上信任它们--我们只是根本没有考虑到它们。
索尼PlayStation网络(PSN)、Ticketmaster、雅虎、Facebook、Target:这些广泛使用的公司中的每一家都是数据泄露的受害者。他们的软件漏洞被利用,数以百万计的客户记录被暴露。这些例子只是在过去十年中发生的全球数据泄露事件的一小部分。它们是不良软件安全的代价,使坏人能够窃取我们宝贵的信息。
当大多数人考虑数据泄露时,他们想到的是信息安全泄露,它们被理解为是被泄露的公司的噩梦,对那些个人资料受到影响的人来说是不方便的,但说真的,这有什么大不了的?如果安全问题继续被忽视,后果真的有那么大吗?到目前为止,还没有发生过什么大事--数据泄露对负责的公司有严重影响,但这是他们的问题,对吗?他们失去了业务,他们失去了消费者的信任;最终他们的工作是解决这个问题,并为损害付出代价。
软件安全应该是每个组织的优先事项。
有一个相当简单的原因,为什么软件安全不是每个拥有开发团队的组织的头号关注点:还没有足够的人丧生,对风险的认识也不够。
畸形?也许吧。但这是诚实的事实。监管、建立标准和改变法律的关注是在有真正的人的代价时(比如说来自政府机构)。
以桥梁为例。土木工程师(一个有几百年历史的行业)将安全视为建造桥梁的核心部分。他们的方法远远超出了美学和基本功能。每座桥都要遵守严格的安全规定,随着时间的推移,土木工程专业和整个社会都学会了对安全的高度期待。今天,一座不符合安全要求的桥梁被认为是危险和不可用的。这仍然是我们在软件工程中需要达到的一种进化。
通过一个更现代的例子,让我们来看看玩具行业。20世纪50年代,由于战后婴儿潮,玩具的生产和销售出现了巨大的增长。有趣的是,据报道,这一时期涉及玩具相关事件的急诊室就诊量也在增加。玩具箭头导致眼睛受伤,小玩具(和大玩具上的可拆卸部件)被摄入,卖给小女孩的玩具烤箱能够加热到比普通家用烤箱更高的温度。
当时的情况有点像 "狂野的西部",除了一些孤立的禁令和在最危急的情况下的产品召回外,几乎没有任何监管。玩具制造商基本上可以自由地生产他们希望的任何玩具,任何对安全的担忧通常都是在已经发生了几起报告的事件之后才提出来。直到像理查德-尼克松的1969年玩具安全法这样的法案被通过成为法律,在美国和世界各地,对危险玩具的测试和随后的禁止才成为标准。虽然事故仍然会发生,但今天玩具制造的一般过程都采用了 "安全第一 "的政策,我们的孩子面临的潜在危险要少得多。
在软件安全方面,现在我们正处于狂野的西部。除了与隐私有关的明显的法律和法规(特别是最近的GDPR)和客户数据保护,以及一些国家的强制性违约报告立法,在主流企业或社区中很少有人说和做关于软件内置的安全水平。即使是这些法律,也更多地与公司责任有关,而不是与实际的软件被监管,或有一个强制性的安全标准来满足。
我们会到达那里,但可能需要先走一条毁灭之路。
Gartner估计,到2020年,将有84亿台互联网连接的设备在使用;这一数字自2016年以来增长了31%。这包括消费类电子产品,以及像医疗设备和特定行业设备。这对黑客来说是一个非常多的机会。
想象一下,运行某人的心脏起搏器的软件是不安全的。黑客可以闯入并有可能使受害者的心脏停止跳动(认为这很荒谬?医生们禁用了迪克-切尼心脏起搏器中的WiFi,以阻止通过黑客进行的潜在暗杀)。)一个连接的微波炉或水壶可以被远程炸毁(以及我们在家里享受的各种物联网设备),或者一个连接的电动汽车可以禁用其刹车。这可能听起来像一部牵强的好莱坞动作片,但如果这些先进的连接技术的软件可以被攻破,我们确实有一个潜在的灾难--就像我们已经报道过的石油和天然气行业网络攻击的爆炸性后果的威胁。
随着我们的生活越来越依赖于数字,我们可以预先阻止恶意黑客攻击的可怕后果。这一切都始于让开发人员对安全编码更加兴奋,并在开发团队中认真培养强大的安全思维和文化。
你的软件革命从这里开始。银行业在打击不良代码的斗争中正引领着游戏化培训的方向,这种真正的创新方法颠覆了传统(阅读:枯燥的)培训。事实上,澳大利亚六大银行中的每一家目前都在以这种方式吸引他们的开发人员,点燃他们的安全心态。看看我们的客户,IAG集团是如何做的,他们的下一级tournament 。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
软件安全处于狂野的西部(它将使我们丧命
原文发表于 CSO在线
作为一个(半退休的)道德黑客、安全专家和全能的计算机极客,你可以说我对技术非常关心。我关心它是如何形成的,它有什么作用,以及它将如何使我们生活的某些方面变得更好或更有效。我一直在看设备的 "引擎盖",看到一些最好(和最坏)的代码例子。最近,我研究了我的空调系统是如何通过一个安卓应用程序进行远程控制的(想象一下,当我发现WiFi网络上的任何人都可以控制那个东西而不需要任何认证时,我感到很惊讶)。
软件安全对我来说始终是最重要的,就像我们日益数字化、个人信息共享的生活方式所带来的非常真实的危险。毕竟,我们正处于一个基本上不受管制、不受监督和被忽视的领域。我们正处于狂野的西部。
作为一个集体的社会,我们没有关注我们每天使用的技术的引擎盖下。虽然像《机器人先生》这样受欢迎和备受赞誉的电视剧有助于提高人们的普遍意识,但我们没有安全意识......事实上,我们大多数人都不知道在我们购买和使用的无数应用程序、服务和日益连接的东西中,软件的安全性如何。这甚至不是说我们本质上信任它们--我们只是根本没有考虑到它们。
索尼PlayStation网络(PSN)、Ticketmaster、雅虎、Facebook、Target:这些广泛使用的公司中的每一家都是数据泄露的受害者。他们的软件漏洞被利用,数以百万计的客户记录被暴露。这些例子只是在过去十年中发生的全球数据泄露事件的一小部分。它们是不良软件安全的代价,使坏人能够窃取我们宝贵的信息。
当大多数人考虑数据泄露时,他们想到的是信息安全泄露,它们被理解为是被泄露的公司的噩梦,对那些个人资料受到影响的人来说是不方便的,但说真的,这有什么大不了的?如果安全问题继续被忽视,后果真的有那么大吗?到目前为止,还没有发生过什么大事--数据泄露对负责的公司有严重影响,但这是他们的问题,对吗?他们失去了业务,他们失去了消费者的信任;最终他们的工作是解决这个问题,并为损害付出代价。
软件安全应该是每个组织的优先事项。
有一个相当简单的原因,为什么软件安全不是每个拥有开发团队的组织的头号关注点:还没有足够的人丧生,对风险的认识也不够。
畸形?也许吧。但这是诚实的事实。监管、建立标准和改变法律的关注是在有真正的人的代价时(比如说来自政府机构)。
以桥梁为例。土木工程师(一个有几百年历史的行业)将安全视为建造桥梁的核心部分。他们的方法远远超出了美学和基本功能。每座桥都要遵守严格的安全规定,随着时间的推移,土木工程专业和整个社会都学会了对安全的高度期待。今天,一座不符合安全要求的桥梁被认为是危险和不可用的。这仍然是我们在软件工程中需要达到的一种进化。
通过一个更现代的例子,让我们来看看玩具行业。20世纪50年代,由于战后婴儿潮,玩具的生产和销售出现了巨大的增长。有趣的是,据报道,这一时期涉及玩具相关事件的急诊室就诊量也在增加。玩具箭头导致眼睛受伤,小玩具(和大玩具上的可拆卸部件)被摄入,卖给小女孩的玩具烤箱能够加热到比普通家用烤箱更高的温度。
当时的情况有点像 "狂野的西部",除了一些孤立的禁令和在最危急的情况下的产品召回外,几乎没有任何监管。玩具制造商基本上可以自由地生产他们希望的任何玩具,任何对安全的担忧通常都是在已经发生了几起报告的事件之后才提出来。直到像理查德-尼克松的1969年玩具安全法这样的法案被通过成为法律,在美国和世界各地,对危险玩具的测试和随后的禁止才成为标准。虽然事故仍然会发生,但今天玩具制造的一般过程都采用了 "安全第一 "的政策,我们的孩子面临的潜在危险要少得多。
在软件安全方面,现在我们正处于狂野的西部。除了与隐私有关的明显的法律和法规(特别是最近的GDPR)和客户数据保护,以及一些国家的强制性违约报告立法,在主流企业或社区中很少有人说和做关于软件内置的安全水平。即使是这些法律,也更多地与公司责任有关,而不是与实际的软件被监管,或有一个强制性的安全标准来满足。
我们会到达那里,但可能需要先走一条毁灭之路。
Gartner估计,到2020年,将有84亿台互联网连接的设备在使用;这一数字自2016年以来增长了31%。这包括消费类电子产品,以及像医疗设备和特定行业设备。这对黑客来说是一个非常多的机会。
想象一下,运行某人的心脏起搏器的软件是不安全的。黑客可以闯入并有可能使受害者的心脏停止跳动(认为这很荒谬?医生们禁用了迪克-切尼心脏起搏器中的WiFi,以阻止通过黑客进行的潜在暗杀)。)一个连接的微波炉或水壶可以被远程炸毁(以及我们在家里享受的各种物联网设备),或者一个连接的电动汽车可以禁用其刹车。这可能听起来像一部牵强的好莱坞动作片,但如果这些先进的连接技术的软件可以被攻破,我们确实有一个潜在的灾难--就像我们已经报道过的石油和天然气行业网络攻击的爆炸性后果的威胁。
随着我们的生活越来越依赖于数字,我们可以预先阻止恶意黑客攻击的可怕后果。这一切都始于让开发人员对安全编码更加兴奋,并在开发团队中认真培养强大的安全思维和文化。
你的软件革命从这里开始。银行业在打击不良代码的斗争中正引领着游戏化培训的方向,这种真正的创新方法颠覆了传统(阅读:枯燥的)培训。事实上,澳大利亚六大银行中的每一家目前都在以这种方式吸引他们的开发人员,点燃他们的安全心态。看看我们的客户,IAG集团是如何做的,他们的下一级tournament 。
