我们在AppSec荒地上需要的变革。我的2019年预测

发表于2019年1月16日
作者:Pieter Danhieux
案例研究

我们在AppSec荒地上需要的变革。我的2019年预测

发表于2019年1月16日
作者:Pieter Danhieux
查看资源
查看资源

2018年对于网络安全专业人员来说是一个巨大的年份。尽管有人警告说要更认真地对待安全问题,围绕培养更多安全行业人才的新闻不断出现,并普遍试图使组织更有网络意识,但我们仍然盯着数百次网络攻击留下的冒烟的弹坑,代表着大规模的数据泄露和消费者对一些非常知名的家庭名称的不信任。仅在2018年上半年,就有45亿条数据记录在945起独立事件中被泄露。

我以前说过很多次:我们可以做得更好。然而,我们面临的真正的战斗并不是针对脚本小子、危险的有组织的网络犯罪集团或在笔记本电脑上打字的神秘连帽衫人物--战斗在于让更多人关心这些漏洞的发生。

遵守GDPR是一个好的开始,但它不会有巨大的短期效果。

欧盟的《通用数据保护条例》(GDPR)法律现在正全面展开;对那些不认真对待数据保护的组织来说是一个迫在眉睫的威胁。对那些被发现不遵守规定的人处以巨额罚款,这意味着对公司来说是一记重击,让他们收紧他们的安全做法,更加尊重客户的数据,并拿出一个战略来减轻网络攻击。

一些组织已被警告将被处以巨额罚款,但我们还没有看到因未能遵守GDPR而产生的真正后果。没有破产的惩罚,只是我们这些网络用户需要点击一大堆弹出式窗口。这部分是因为法律程序需要很多时间,有很多上诉的机会--任何可能被当做例子的公司都可能参与到长达数月或数年的法律斗争中。在结束Facebook的噩梦之年,他们最近报告了另一起数据泄露事件:一个API漏洞将680万用户的私人照片暴露给1500个未经授权的应用程序。该漏洞在两周内被发现并打了补丁,但数据保护机构和公众在几个月后才意识到该漏洞。GDPR法律要求在72小时内通知违规事件,因此它引发了很多问题,目前这些法律的影响力和有效性到底有多大。

当然,其他地方的违规事件也没有停止。11月的万豪酒店违规事件显示,有高达5亿条数据记录被泄露,而且,也许更令人担忧的是,攻击者在被发现之前已经访问了他们的系统四年之久。然而,应该注意的是,万豪酒店似乎正在进行一些损害控制:他们已经为受害者提供了12个月的免费订阅WebWatcher,一个信用监控工具......但是,对于黑客来说,有5亿条记录可供筛选,一年的时间是否足以对大多数人进行有意义的监控还有待观察;毕竟,在你的数据被突出用于不正当用途之前,可能还需要一些年。

长期来看,像GDPR这样的法规如果得到执行,推动积极的变化。当公司受到重大的经济处罚(或者,事实上,来自数据被泄露的客户的集体诉讼)或利润长期下滑时,我相信我们会看到大多数公司疯狂地专注于加强在线数据库的建设。

金融机构将继续引领短期的积极变化。

金融机构--作为世界上辛苦赚来的现金的看门人--拥有一些最严格的网络安全最佳实践政策,以及降低风险的端到端流程,这可能并不令人惊讶。

这种合规性的一个重要驱动力来自于PCI安全标准委员会,他们仍然致力于帮助金融组织实施可行的安全政策,并在所有领域坚持准则。他们在帮助这一垂直领域实现支付软件的最高安全标准方面一直是一股善意的力量。

那么,金融机构的做法与其他机构有什么不同?根据我的经验,他们一般都有较强的安全意识,不仅为AppSec专业人员和笔试人员,而且还为他们的(通常是非常大的、分散在全球的)开发团队投入资源进行全面的培训。他们确保高层决策者了解安全流程不是 "设定并忘记 "的措施;它们必须与正在使用的技术一样快速发展,并适应可变的风险。

更多的组织将改造他们的安全管道。

与IT的其他分支相比,AppSec是相对年轻的。作为一个新来的孩子是很难的:你很容易被误解,而且可能还没有形成你需要的关键关系。然而,我相信随着时间的推移,AppSec越来越容易在最陈旧的组织中找到自己的位置,即使是那些抗拒变革的组织。

更加明显的是,企业不能将安全合规性作为其软件流程中的最后一步,最后一刻。必须有从点到面的检查和措施,更多的是集中在汇总数据和为企业的执行层提供更多的可视性。如果不这样做,安全问题对大多数人来说仍然是看不见、摸不着的。而在这种情况下,几乎不可能收集必要的资源来规划风险。

好消息是,比以往任何时候都更多的组织正在发现自己的网络攻击并努力修复它们。坏消息是什么?这个过程平均需要85天

在技术领域必须快速创新和生产功能的时代,渗透测试工具和人工代码审查是艰巨、昂贵和缓慢的。安全意识必须从一开始就贯穿始终:从开发人员写代码的那一刻开始。

我们的行业将认识到主要问题:我们需要人们更加关心。

事情是这样的:在我的网络中,我可以保守地数出20个人在过去四年中的某个时候住过万豪酒店。在那段时间里,有5亿条记录被盗,他们的数据很有可能是被盗的一部分。从目前的联系信息、仍然有效的信用卡号码和护照信息,现在都可以在暗网上出售。然而,他们的关心因素基本上是零。

而且,在这样一个大规模的数据抢劫案中,你基本上是大海捞针,很容易自满。

然而,真正的问题是什么?那些没能保证自己客户数据安全的公司,几乎没有面临什么反作用。他们的股票价格是否在事件发生后立即受到打击?你肯定会这样做。Target、Equifax和现在的Marriott都可以证明这一点。然而,12个月的概述表明,反弹是相当迅速的。几年后,在财务上,一切都被原谅了。

在出现严重反响之前:巨额罚款、更严格的法规和重大业务损失,AppSec将是一个必须不断争取传达公司所面临的日益增长的网络风险的严重性的行业。

我担心在情况好转之前会变得更加糟糕,所以我们要努力在组织的技术团队的前线建立有安全意识的开发人员和强大的安全文化,这一点是最重要的。请记住这一点,并继续为更高的软件安全标准而努力。

查看资源
查看资源

作者

皮特-丹休

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

我们在AppSec荒地上需要的变革。我的2019年预测

发表于2019年1月16日
作者:Pieter Danhieux

2018年对于网络安全专业人员来说是一个巨大的年份。尽管有人警告说要更认真地对待安全问题,围绕培养更多安全行业人才的新闻不断出现,并普遍试图使组织更有网络意识,但我们仍然盯着数百次网络攻击留下的冒烟的弹坑,代表着大规模的数据泄露和消费者对一些非常知名的家庭名称的不信任。仅在2018年上半年,就有45亿条数据记录在945起独立事件中被泄露。

我以前说过很多次:我们可以做得更好。然而,我们面临的真正的战斗并不是针对脚本小子、危险的有组织的网络犯罪集团或在笔记本电脑上打字的神秘连帽衫人物--战斗在于让更多人关心这些漏洞的发生。

遵守GDPR是一个好的开始,但它不会有巨大的短期效果。

欧盟的《通用数据保护条例》(GDPR)法律现在正全面展开;对那些不认真对待数据保护的组织来说是一个迫在眉睫的威胁。对那些被发现不遵守规定的人处以巨额罚款,这意味着对公司来说是一记重击,让他们收紧他们的安全做法,更加尊重客户的数据,并拿出一个战略来减轻网络攻击。

一些组织已被警告将被处以巨额罚款,但我们还没有看到因未能遵守GDPR而产生的真正后果。没有破产的惩罚,只是我们这些网络用户需要点击一大堆弹出式窗口。这部分是因为法律程序需要很多时间,有很多上诉的机会--任何可能被当做例子的公司都可能参与到长达数月或数年的法律斗争中。在结束Facebook的噩梦之年,他们最近报告了另一起数据泄露事件:一个API漏洞将680万用户的私人照片暴露给1500个未经授权的应用程序。该漏洞在两周内被发现并打了补丁,但数据保护机构和公众在几个月后才意识到该漏洞。GDPR法律要求在72小时内通知违规事件,因此它引发了很多问题,目前这些法律的影响力和有效性到底有多大。

当然,其他地方的违规事件也没有停止。11月的万豪酒店违规事件显示,有高达5亿条数据记录被泄露,而且,也许更令人担忧的是,攻击者在被发现之前已经访问了他们的系统四年之久。然而,应该注意的是,万豪酒店似乎正在进行一些损害控制:他们已经为受害者提供了12个月的免费订阅WebWatcher,一个信用监控工具......但是,对于黑客来说,有5亿条记录可供筛选,一年的时间是否足以对大多数人进行有意义的监控还有待观察;毕竟,在你的数据被突出用于不正当用途之前,可能还需要一些年。

长期来看,像GDPR这样的法规如果得到执行,推动积极的变化。当公司受到重大的经济处罚(或者,事实上,来自数据被泄露的客户的集体诉讼)或利润长期下滑时,我相信我们会看到大多数公司疯狂地专注于加强在线数据库的建设。

金融机构将继续引领短期的积极变化。

金融机构--作为世界上辛苦赚来的现金的看门人--拥有一些最严格的网络安全最佳实践政策,以及降低风险的端到端流程,这可能并不令人惊讶。

这种合规性的一个重要驱动力来自于PCI安全标准委员会,他们仍然致力于帮助金融组织实施可行的安全政策,并在所有领域坚持准则。他们在帮助这一垂直领域实现支付软件的最高安全标准方面一直是一股善意的力量。

那么,金融机构的做法与其他机构有什么不同?根据我的经验,他们一般都有较强的安全意识,不仅为AppSec专业人员和笔试人员,而且还为他们的(通常是非常大的、分散在全球的)开发团队投入资源进行全面的培训。他们确保高层决策者了解安全流程不是 "设定并忘记 "的措施;它们必须与正在使用的技术一样快速发展,并适应可变的风险。

更多的组织将改造他们的安全管道。

与IT的其他分支相比,AppSec是相对年轻的。作为一个新来的孩子是很难的:你很容易被误解,而且可能还没有形成你需要的关键关系。然而,我相信随着时间的推移,AppSec越来越容易在最陈旧的组织中找到自己的位置,即使是那些抗拒变革的组织。

更加明显的是,企业不能将安全合规性作为其软件流程中的最后一步,最后一刻。必须有从点到面的检查和措施,更多的是集中在汇总数据和为企业的执行层提供更多的可视性。如果不这样做,安全问题对大多数人来说仍然是看不见、摸不着的。而在这种情况下,几乎不可能收集必要的资源来规划风险。

好消息是,比以往任何时候都更多的组织正在发现自己的网络攻击并努力修复它们。坏消息是什么?这个过程平均需要85天

在技术领域必须快速创新和生产功能的时代,渗透测试工具和人工代码审查是艰巨、昂贵和缓慢的。安全意识必须从一开始就贯穿始终:从开发人员写代码的那一刻开始。

我们的行业将认识到主要问题:我们需要人们更加关心。

事情是这样的:在我的网络中,我可以保守地数出20个人在过去四年中的某个时候住过万豪酒店。在那段时间里,有5亿条记录被盗,他们的数据很有可能是被盗的一部分。从目前的联系信息、仍然有效的信用卡号码和护照信息,现在都可以在暗网上出售。然而,他们的关心因素基本上是零。

而且,在这样一个大规模的数据抢劫案中,你基本上是大海捞针,很容易自满。

然而,真正的问题是什么?那些没能保证自己客户数据安全的公司,几乎没有面临什么反作用。他们的股票价格是否在事件发生后立即受到打击?你肯定会这样做。Target、Equifax和现在的Marriott都可以证明这一点。然而,12个月的概述表明,反弹是相当迅速的。几年后,在财务上,一切都被原谅了。

在出现严重反响之前:巨额罚款、更严格的法规和重大业务损失,AppSec将是一个必须不断争取传达公司所面临的日益增长的网络风险的严重性的行业。

我担心在情况好转之前会变得更加糟糕,所以我们要努力在组织的技术团队的前线建立有安全意识的开发人员和强大的安全文化,这一点是最重要的。请记住这一点,并继续为更高的软件安全标准而努力。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。