推动网络应用程序安全缺陷的被遗忘的人为因素

发表于2018年1月6日
作者:Pieter Danhieux
案例研究

推动网络应用程序安全缺陷的被遗忘的人为因素

发表于2018年1月6日
作者:Pieter Danhieux
查看资源
查看资源

2018年威瑞森数据泄露调查报告》再次是一本很好的读物,让我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,分析和洞察力,可以帮助企业成熟其安全计划。今年,Verizon调查员分析了53,000多起事件和2,200多起违规事件,有许多切实的收获,涉及到应该注意什么和不应该做什么,以及关于安全工作重点的宝贵建议。2018年的报告给人的感觉是与时俱进,与更多的企业受众相关,因为安全影响已经扩散,并且越来越被认为是一个主流商业问题。

在许多有趣的发现中,2018年的报告验证了大多数黑客仍然是通过破坏网络应用程序发生的(甚至有一个很酷的互动图表来显示这一点)。

网络应用程序攻击包括任何以网络应用程序为攻击媒介的事件。这包括利用应用程序中的代码级漏洞,以及挫败认证机制。值得注意的是,由于过滤了使用从客户拥有的设备上窃取的凭证对网络应用进行的僵尸网络相关攻击,这种模式下的漏洞数量有所减少。在涉及网络应用程序的漏洞中,使用被盗凭证仍然是最主要的黑客攻击方式,其次是SQLi(以后会有更多关于SQL的内容...)。

在今年的报告中,一个突出的主题是 "人的因素 "在安全方程式中是多么关键,既是问题的一部分,也是解决方案的一部分。该报告涉及外部和内部行为者,报告称错误是几乎五分之一(17%)的漏洞的核心。当员工未能粉碎机密信息,当他们向错误的人发送电子邮件,当网络服务器配置错误时,就会发生漏洞。报告指出,虽然这些错误都不是故意的,但它们仍然可以证明是昂贵的。

但是,有一个经常被遗忘的人为因素正在导致许多安全漏洞,那就是开发人员频繁地创建包含安全缺陷的代码,从而导致网络应用程序漏洞,进而导致这些事件和漏洞。

过去5年的应用测试在发现漏洞的数量上并没有太大的改善,同样的老缺陷一次又一次地出现。2017年Veracode的一份基于40万个应用程序扫描的报告显示,应用程序只有30%的时间通过了OWASP Top 10策略。令人惊讶的是,在过去5年里,包括去年在内,几乎每三个新扫描的应用程序中就有一个出现了SQL注入。我说令人惊讶是因为SQL注入自1999年以来就一直存在。同样的缺陷,包括SQL注入,一直被发现,这一事实证明开发人员中的 "人为因素 "问题并没有得到充分解决。

在这一点上,我需要站出来大声疾呼,我是站在这场争论的开发者一边的。如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何在他们各自的编程框架中首先防止写出这些漏洞,那么开发者该如何写出安全代码呢?

这就是我们在Secure Code Warrior ,我们看到了强有力的证据,那些将安全代码实践培训纳入其开发人员日常生活的公司正在减少网络应用程序漏洞的产生。 为了让开发人员编写安全代码,他们需要定期参加实践学习,积极培养他们的安全编码技能。他们需要在真正的代码中,特别是在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复已知的漏洞。 开发人员在他们的过程中也需要一个高质量的工具集,使安全变得简单,不拖累他们,并实时指导他们了解好的和坏的编码模式。

这就是我们如何能够对网络应用漏洞的数量产生切实和积极的影响。

我非常同意Verizon的观点,即有必要在全公司范围内增加安全意识培训。 我对CIO和CISO的建议是:"不要忘记你的开发人员!"。 这些现代企业的架构师可能是一个重要的 "人为因素",他们经常为黑客提供接入点,或者他们可以成为你的第一道防线,你的安全英雄。

对开发人员进行有效的安全技能培训,可以使Verizon在未来的报告中报告的结果发生真正的变化。 如果2019年的报告能反映出开发人员的安全培训是公司可以采取的一个关键的风险降低策略,那就更好了。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学会如何避免产生注入缺陷,这份报告中的网络应用程序漏洞的数量将大幅下降。

看看我们的平台是如何运作的,看看开发者如何在一个理想的、游戏化的培训环境中快速提高技能。

玩一个安全的编码挑战

访问我们的免费学习资源

如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何从一开始就防止在各自的编程框架中写出这些漏洞,那么开发者该如何写安全代码呢?
查看资源
查看资源

作者

皮特-丹休

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

推动网络应用程序安全缺陷的被遗忘的人为因素

发表于2018年1月6日
作者:Pieter Danhieux

2018年威瑞森数据泄露调查报告》再次是一本很好的读物,让我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,分析和洞察力,可以帮助企业成熟其安全计划。今年,Verizon调查员分析了53,000多起事件和2,200多起违规事件,有许多切实的收获,涉及到应该注意什么和不应该做什么,以及关于安全工作重点的宝贵建议。2018年的报告给人的感觉是与时俱进,与更多的企业受众相关,因为安全影响已经扩散,并且越来越被认为是一个主流商业问题。

在许多有趣的发现中,2018年的报告验证了大多数黑客仍然是通过破坏网络应用程序发生的(甚至有一个很酷的互动图表来显示这一点)。

网络应用程序攻击包括任何以网络应用程序为攻击媒介的事件。这包括利用应用程序中的代码级漏洞,以及挫败认证机制。值得注意的是,由于过滤了使用从客户拥有的设备上窃取的凭证对网络应用进行的僵尸网络相关攻击,这种模式下的漏洞数量有所减少。在涉及网络应用程序的漏洞中,使用被盗凭证仍然是最主要的黑客攻击方式,其次是SQLi(以后会有更多关于SQL的内容...)。

在今年的报告中,一个突出的主题是 "人的因素 "在安全方程式中是多么关键,既是问题的一部分,也是解决方案的一部分。该报告涉及外部和内部行为者,报告称错误是几乎五分之一(17%)的漏洞的核心。当员工未能粉碎机密信息,当他们向错误的人发送电子邮件,当网络服务器配置错误时,就会发生漏洞。报告指出,虽然这些错误都不是故意的,但它们仍然可以证明是昂贵的。

但是,有一个经常被遗忘的人为因素正在导致许多安全漏洞,那就是开发人员频繁地创建包含安全缺陷的代码,从而导致网络应用程序漏洞,进而导致这些事件和漏洞。

过去5年的应用测试在发现漏洞的数量上并没有太大的改善,同样的老缺陷一次又一次地出现。2017年Veracode的一份基于40万个应用程序扫描的报告显示,应用程序只有30%的时间通过了OWASP Top 10策略。令人惊讶的是,在过去5年里,包括去年在内,几乎每三个新扫描的应用程序中就有一个出现了SQL注入。我说令人惊讶是因为SQL注入自1999年以来就一直存在。同样的缺陷,包括SQL注入,一直被发现,这一事实证明开发人员中的 "人为因素 "问题并没有得到充分解决。

在这一点上,我需要站出来大声疾呼,我是站在这场争论的开发者一边的。如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何在他们各自的编程框架中首先防止写出这些漏洞,那么开发者该如何写出安全代码呢?

这就是我们在Secure Code Warrior ,我们看到了强有力的证据,那些将安全代码实践培训纳入其开发人员日常生活的公司正在减少网络应用程序漏洞的产生。 为了让开发人员编写安全代码,他们需要定期参加实践学习,积极培养他们的安全编码技能。他们需要在真正的代码中,特别是在他们自己的语言/框架中学习最近发现的漏洞。这种学习经验应该帮助他们了解如何定位、识别和修复已知的漏洞。 开发人员在他们的过程中也需要一个高质量的工具集,使安全变得简单,不拖累他们,并实时指导他们了解好的和坏的编码模式。

这就是我们如何能够对网络应用漏洞的数量产生切实和积极的影响。

我非常同意Verizon的观点,即有必要在全公司范围内增加安全意识培训。 我对CIO和CISO的建议是:"不要忘记你的开发人员!"。 这些现代企业的架构师可能是一个重要的 "人为因素",他们经常为黑客提供接入点,或者他们可以成为你的第一道防线,你的安全英雄。

对开发人员进行有效的安全技能培训,可以使Verizon在未来的报告中报告的结果发生真正的变化。 如果2019年的报告能反映出开发人员的安全培训是公司可以采取的一个关键的风险降低策略,那就更好了。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学会如何避免产生注入缺陷,这份报告中的网络应用程序漏洞的数量将大幅下降。

看看我们的平台是如何运作的,看看开发者如何在一个理想的、游戏化的培训环境中快速提高技能。

玩一个安全的编码挑战

访问我们的免费学习资源

如果没有人教他们为什么要写安全代码,不安全代码的后果,以及最重要的是,如何从一开始就防止在各自的编程框架中写出这些漏洞,那么开发者该如何写安全代码呢?

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。