防范零日攻击。是时候规划防御体系了。
本文的版本曾发表于 SC杂志。本文经修改后在此发布。
若您曾遭遇窃贼入室盗窃,定能体会那种最初的异样感,继而意识到自己确实遭受了财物损失与精神创伤。这种情况往往演变为持续的抱怨,最终只能通过实施堪比诺克斯堡的安防措施来解决。
现在想象一下,小偷潜入你家,因为他们复制了钥匙。他们四处游荡,来去自如,却小心翼翼地不被察觉。直到某天,你才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被洗劫一空,私人物品尽数遭劫——为时已晚。 这正是企业遭遇零日网络攻击时的真实写照。2020年Ponemon研究所的研究显示,80%的成功隐私泄露事件源于零日漏洞利用,而多数企业应对能力严重不足,难以显著改善这一数据。
零日攻击的本质在于,攻击者在开发者发现并修复潜在漏洞前就已实施入侵,使受害方完全丧失防御时间。攻击造成的损害具有毁灭性影响——不仅软件系统遭受破坏,企业声誉也遭受重创。攻击者始终占据主动,因此最大限度缩小这种优势差距至关重要。
那份无人想要的圣诞礼物——Log4Shell——正引爆整个互联网。约十亿台设备可能受到这场灾难性Java安全漏洞的影响。这很可能成为史上最严重的零日攻击,而我们才刚刚开始。尽管有报告称攻击者早在漏洞公开前数日就开始利用,但2016年黑帽大会的演示材料表明该问题早已存在。更糟的是,这个漏洞极其容易被利用,全球所有脚本小子和威胁行为者都在争相追逐这个漏洞。
那么,如何才能有效防范这种隐秘而危险的威胁,更不用说那些在软件开发过程中被忽视的安全漏洞了?让我们来探讨一下。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,零日漏洞通常价格不菲——以本文撰写时为例,某漏洞标价高达250万美元。 该漏洞针对苹果iOS系统,其定价高得离谱并不令人意外。毕竟这个漏洞可能成为攻破数百万设备的门户,在漏洞被发现修复前持续窃取数十亿条敏感数据。
但究竟谁拥有如此巨额资金?通常情况下,有组织的网络犯罪集团会放弃赎金,尤其当目标被认定为不值得时——这在广受欢迎的勒索软件攻击中尤为常见。 然而全球政府和国防机构也属于漏洞利用服务的客户群体——它们可据此获取威胁情报。在积极案例中,这些企业自身可能就是潜在的零日漏洞利用对象,从而得以防患于未然。
2021年创下了零日漏洞实时发现的纪录,而面临最大风险的正是大型组织、政府机构及基础设施——它们正遭受漏洞测试的考验。虽然无法完全防范零日攻击,但您可通过推出慷慨且结构完善的漏洞悬赏计划来有效应对。 与其坐等黑客在暗网市场兜售你软件城堡的钥匙,不如主动邀请合法的安全爱好者加入你的阵营,为他们提供合理的奖励机制,以激励其进行道德披露和潜在修复。
如果碰巧遭遇零日威胁,您大可放心——届时您需要开具的亚马逊礼品卡绝不止一张(而且这样做绝对值得)。
您的工具可能对您的安保人员构成负担
长期以来,安全工具数量过多一直是困扰普通首席信息安全官的难题——他们通常需要管理55至75种安全工具。 这套工具不仅堪称世界上最令人困惑(也最富隐喻色彩)的瑞士军刀,更令人担忧的是:根据波尼蒙研究所的研究,53%的企业甚至不确定这些工具是否真正有效。另一项研究则揭示,仅有17%的首席信息安全官认为其安全体系具备"完全有效性"。
在一个以人员倦怠、安全专家供不应求以及对敏捷性需求著称的领域,强迫安全专家在海量数据、报告和监控工具的洪流中工作,无疑是种负担。 这正是可能导致他们忽略关键警报的典型场景——在对Log4j漏洞进行充分审查时,这种情况确实发生了。
预防性安全应包含以开发者为导向的威胁建模
开发人员常利用代码层面的安全漏洞,他们需要精确的指导和定期的学习路径来获取安全编程知识。更高层次的安全开发人员则能在软件开发过程中获得学习和实践的机会。
毫不奇怪,最了解软件的人正是那些创建并开发它的开发者。 他们深谙用户如何操作软件、功能应用场景,若具备足够安全意识,更能预见软件可能崩溃或被利用的潜在情境。
当我们回顾Log4Shell漏洞时,会发现这样一种情景:在专家和复杂工具集的严密防护下,这个灾难性的安全漏洞竟未被发现。然而,若库文件被配置为汇总用户输入,该漏洞本可能根本不会出现。 这个看似出于实用考虑的晦涩功能,却让漏洞变得痛快地容易利用(想想SQL注入级别的操作,绝非什么高明手段)。倘若威胁建模工作由一群热衷安全、具备安全意识的开发者来完成,这种场景极可能已被理论推演并付诸实践。
一个优秀的安全计划具有情感维度,其核心在于通过人为干预与细微处理来解决人为引发的问题。威胁建模需要同理心与经验才能有效实施,这与在架构层面上对软件和应用程序进行安全编码与配置同样重要。 开发者不应独自奋战至深夜,而应明确路径——他们需清晰规划如何将这项重要任务交由安全团队承担,这才是理想方案(同时也是建立两个团队之间良好协作关系的绝佳契机)。
零天导致N天
在涉及零日漏洞的后续处理中,关键在于尽快发布补丁,怀着地狱般的希望——祈愿每位易受攻击软件的用户都能以最快速度完成更新,且务必在供应商之前完成。 Log4Shell的持久性和破坏力可能令Heartbleed相形见绌——毕竟它已植入数百万台设备,并在软件构建中形成了复杂的依赖关系。
现实地看,完全阻止此类隐蔽攻击是不可能的。但若我们承诺竭尽所能开发高质量、安全的软件,并以建设关键基础设施的同等严谨态度推进开发工作,我们所有人便能真正把握住机会。
零日攻击的本质在于,攻击者在开发者发现并修复潜在漏洞前就已实施入侵,使受害方完全丧失防御时间。攻击造成的损害具有毁灭性影响——不仅软件系统遭受破坏,企业声誉也遭受重创。攻击者始终占据主动,因此最大限度缩小这种优势差距至关重要。
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
本文的版本曾发表于 SC杂志。本文经修改后在此发布。
若您曾遭遇窃贼入室盗窃,定能体会那种最初的异样感,继而意识到自己确实遭受了财物损失与精神创伤。这种情况往往演变为持续的抱怨,最终只能通过实施堪比诺克斯堡的安防措施来解决。
现在想象一下,小偷潜入你家,因为他们复制了钥匙。他们四处游荡,来去自如,却小心翼翼地不被察觉。直到某天,你才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被洗劫一空,私人物品尽数遭劫——为时已晚。 这正是企业遭遇零日网络攻击时的真实写照。2020年Ponemon研究所的研究显示,80%的成功隐私泄露事件源于零日漏洞利用,而多数企业应对能力严重不足,难以显著改善这一数据。
零日攻击的本质在于,攻击者在开发者发现并修复潜在漏洞前就已实施入侵,使受害方完全丧失防御时间。攻击造成的损害具有毁灭性影响——不仅软件系统遭受破坏,企业声誉也遭受重创。攻击者始终占据主动,因此最大限度缩小这种优势差距至关重要。
那份无人想要的圣诞礼物——Log4Shell——正引爆整个互联网。约十亿台设备可能受到这场灾难性Java安全漏洞的影响。这很可能成为史上最严重的零日攻击,而我们才刚刚开始。尽管有报告称攻击者早在漏洞公开前数日就开始利用,但2016年黑帽大会的演示材料表明该问题早已存在。更糟的是,这个漏洞极其容易被利用,全球所有脚本小子和威胁行为者都在争相追逐这个漏洞。
那么,如何才能有效防范这种隐秘而危险的威胁,更不用说那些在软件开发过程中被忽视的安全漏洞了?让我们来探讨一下。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,零日漏洞通常价格不菲——以本文撰写时为例,某漏洞标价高达250万美元。 该漏洞针对苹果iOS系统,其定价高得离谱并不令人意外。毕竟这个漏洞可能成为攻破数百万设备的门户,在漏洞被发现修复前持续窃取数十亿条敏感数据。
但究竟谁拥有如此巨额资金?通常情况下,有组织的网络犯罪集团会放弃赎金,尤其当目标被认定为不值得时——这在广受欢迎的勒索软件攻击中尤为常见。 然而全球政府和国防机构也属于漏洞利用服务的客户群体——它们可据此获取威胁情报。在积极案例中,这些企业自身可能就是潜在的零日漏洞利用对象,从而得以防患于未然。
2021年创下了零日漏洞实时发现的纪录,而面临最大风险的正是大型组织、政府机构及基础设施——它们正遭受漏洞测试的考验。虽然无法完全防范零日攻击,但您可通过推出慷慨且结构完善的漏洞悬赏计划来有效应对。 与其坐等黑客在暗网市场兜售你软件城堡的钥匙,不如主动邀请合法的安全爱好者加入你的阵营,为他们提供合理的奖励机制,以激励其进行道德披露和潜在修复。
如果碰巧遭遇零日威胁,您大可放心——届时您需要开具的亚马逊礼品卡绝不止一张(而且这样做绝对值得)。
您的工具可能对您的安保人员构成负担
长期以来,安全工具数量过多一直是困扰普通首席信息安全官的难题——他们通常需要管理55至75种安全工具。 这套工具不仅堪称世界上最令人困惑(也最富隐喻色彩)的瑞士军刀,更令人担忧的是:根据波尼蒙研究所的研究,53%的企业甚至不确定这些工具是否真正有效。另一项研究则揭示,仅有17%的首席信息安全官认为其安全体系具备"完全有效性"。
在一个以人员倦怠、安全专家供不应求以及对敏捷性需求著称的领域,强迫安全专家在海量数据、报告和监控工具的洪流中工作,无疑是种负担。 这正是可能导致他们忽略关键警报的典型场景——在对Log4j漏洞进行充分审查时,这种情况确实发生了。
预防性安全应包含以开发者为导向的威胁建模
开发人员常利用代码层面的安全漏洞,他们需要精确的指导和定期的学习路径来获取安全编程知识。更高层次的安全开发人员则能在软件开发过程中获得学习和实践的机会。
毫不奇怪,最了解软件的人正是那些创建并开发它的开发者。 他们深谙用户如何操作软件、功能应用场景,若具备足够安全意识,更能预见软件可能崩溃或被利用的潜在情境。
当我们回顾Log4Shell漏洞时,会发现这样一种情景:在专家和复杂工具集的严密防护下,这个灾难性的安全漏洞竟未被发现。然而,若库文件被配置为汇总用户输入,该漏洞本可能根本不会出现。 这个看似出于实用考虑的晦涩功能,却让漏洞变得痛快地容易利用(想想SQL注入级别的操作,绝非什么高明手段)。倘若威胁建模工作由一群热衷安全、具备安全意识的开发者来完成,这种场景极可能已被理论推演并付诸实践。
一个优秀的安全计划具有情感维度,其核心在于通过人为干预与细微处理来解决人为引发的问题。威胁建模需要同理心与经验才能有效实施,这与在架构层面上对软件和应用程序进行安全编码与配置同样重要。 开发者不应独自奋战至深夜,而应明确路径——他们需清晰规划如何将这项重要任务交由安全团队承担,这才是理想方案(同时也是建立两个团队之间良好协作关系的绝佳契机)。
零天导致N天
在涉及零日漏洞的后续处理中,关键在于尽快发布补丁,怀着地狱般的希望——祈愿每位易受攻击软件的用户都能以最快速度完成更新,且务必在供应商之前完成。 Log4Shell的持久性和破坏力可能令Heartbleed相形见绌——毕竟它已植入数百万台设备,并在软件构建中形成了复杂的依赖关系。
现实地看,完全阻止此类隐蔽攻击是不可能的。但若我们承诺竭尽所能开发高质量、安全的软件,并以建设关键基础设施的同等严谨态度推进开发工作,我们所有人便能真正把握住机会。
本文的版本曾发表于 SC杂志。本文经修改后在此发布。
若您曾遭遇窃贼入室盗窃,定能体会那种最初的异样感,继而意识到自己确实遭受了财物损失与精神创伤。这种情况往往演变为持续的抱怨,最终只能通过实施堪比诺克斯堡的安防措施来解决。
现在想象一下,小偷潜入你家,因为他们复制了钥匙。他们四处游荡,来去自如,却小心翼翼地不被察觉。直到某天,你才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被洗劫一空,私人物品尽数遭劫——为时已晚。 这正是企业遭遇零日网络攻击时的真实写照。2020年Ponemon研究所的研究显示,80%的成功隐私泄露事件源于零日漏洞利用,而多数企业应对能力严重不足,难以显著改善这一数据。
零日攻击的本质在于,攻击者在开发者发现并修复潜在漏洞前就已实施入侵,使受害方完全丧失防御时间。攻击造成的损害具有毁灭性影响——不仅软件系统遭受破坏,企业声誉也遭受重创。攻击者始终占据主动,因此最大限度缩小这种优势差距至关重要。
那份无人想要的圣诞礼物——Log4Shell——正引爆整个互联网。约十亿台设备可能受到这场灾难性Java安全漏洞的影响。这很可能成为史上最严重的零日攻击,而我们才刚刚开始。尽管有报告称攻击者早在漏洞公开前数日就开始利用,但2016年黑帽大会的演示材料表明该问题早已存在。更糟的是,这个漏洞极其容易被利用,全球所有脚本小子和威胁行为者都在争相追逐这个漏洞。
那么,如何才能有效防范这种隐秘而危险的威胁,更不用说那些在软件开发过程中被忽视的安全漏洞了?让我们来探讨一下。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,零日漏洞通常价格不菲——以本文撰写时为例,某漏洞标价高达250万美元。 该漏洞针对苹果iOS系统,其定价高得离谱并不令人意外。毕竟这个漏洞可能成为攻破数百万设备的门户,在漏洞被发现修复前持续窃取数十亿条敏感数据。
但究竟谁拥有如此巨额资金?通常情况下,有组织的网络犯罪集团会放弃赎金,尤其当目标被认定为不值得时——这在广受欢迎的勒索软件攻击中尤为常见。 然而全球政府和国防机构也属于漏洞利用服务的客户群体——它们可据此获取威胁情报。在积极案例中,这些企业自身可能就是潜在的零日漏洞利用对象,从而得以防患于未然。
2021年创下了零日漏洞实时发现的纪录,而面临最大风险的正是大型组织、政府机构及基础设施——它们正遭受漏洞测试的考验。虽然无法完全防范零日攻击,但您可通过推出慷慨且结构完善的漏洞悬赏计划来有效应对。 与其坐等黑客在暗网市场兜售你软件城堡的钥匙,不如主动邀请合法的安全爱好者加入你的阵营,为他们提供合理的奖励机制,以激励其进行道德披露和潜在修复。
如果碰巧遭遇零日威胁,您大可放心——届时您需要开具的亚马逊礼品卡绝不止一张(而且这样做绝对值得)。
您的工具可能对您的安保人员构成负担
长期以来,安全工具数量过多一直是困扰普通首席信息安全官的难题——他们通常需要管理55至75种安全工具。 这套工具不仅堪称世界上最令人困惑(也最富隐喻色彩)的瑞士军刀,更令人担忧的是:根据波尼蒙研究所的研究,53%的企业甚至不确定这些工具是否真正有效。另一项研究则揭示,仅有17%的首席信息安全官认为其安全体系具备"完全有效性"。
在一个以人员倦怠、安全专家供不应求以及对敏捷性需求著称的领域,强迫安全专家在海量数据、报告和监控工具的洪流中工作,无疑是种负担。 这正是可能导致他们忽略关键警报的典型场景——在对Log4j漏洞进行充分审查时,这种情况确实发生了。
预防性安全应包含以开发者为导向的威胁建模
开发人员常利用代码层面的安全漏洞,他们需要精确的指导和定期的学习路径来获取安全编程知识。更高层次的安全开发人员则能在软件开发过程中获得学习和实践的机会。
毫不奇怪,最了解软件的人正是那些创建并开发它的开发者。 他们深谙用户如何操作软件、功能应用场景,若具备足够安全意识,更能预见软件可能崩溃或被利用的潜在情境。
当我们回顾Log4Shell漏洞时,会发现这样一种情景:在专家和复杂工具集的严密防护下,这个灾难性的安全漏洞竟未被发现。然而,若库文件被配置为汇总用户输入,该漏洞本可能根本不会出现。 这个看似出于实用考虑的晦涩功能,却让漏洞变得痛快地容易利用(想想SQL注入级别的操作,绝非什么高明手段)。倘若威胁建模工作由一群热衷安全、具备安全意识的开发者来完成,这种场景极可能已被理论推演并付诸实践。
一个优秀的安全计划具有情感维度,其核心在于通过人为干预与细微处理来解决人为引发的问题。威胁建模需要同理心与经验才能有效实施,这与在架构层面上对软件和应用程序进行安全编码与配置同样重要。 开发者不应独自奋战至深夜,而应明确路径——他们需清晰规划如何将这项重要任务交由安全团队承担,这才是理想方案(同时也是建立两个团队之间良好协作关系的绝佳契机)。
零天导致N天
在涉及零日漏洞的后续处理中,关键在于尽快发布补丁,怀着地狱般的希望——祈愿每位易受攻击软件的用户都能以最快速度完成更新,且务必在供应商之前完成。 Log4Shell的持久性和破坏力可能令Heartbleed相形见绌——毕竟它已植入数百万台设备,并在软件构建中形成了复杂的依赖关系。
现实地看,完全阻止此类隐蔽攻击是不可能的。但若我们承诺竭尽所能开发高质量、安全的软件,并以建设关键基础设施的同等严谨态度推进开发工作,我们所有人便能真正把握住机会。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
本文的版本曾发表于 SC杂志。本文经修改后在此发布。
若您曾遭遇窃贼入室盗窃,定能体会那种最初的异样感,继而意识到自己确实遭受了财物损失与精神创伤。这种情况往往演变为持续的抱怨,最终只能通过实施堪比诺克斯堡的安防措施来解决。
现在想象一下,小偷潜入你家,因为他们复制了钥匙。他们四处游荡,来去自如,却小心翼翼地不被察觉。直到某天,你才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被洗劫一空,私人物品尽数遭劫——为时已晚。 这正是企业遭遇零日网络攻击时的真实写照。2020年Ponemon研究所的研究显示,80%的成功隐私泄露事件源于零日漏洞利用,而多数企业应对能力严重不足,难以显著改善这一数据。
零日攻击的本质在于,攻击者在开发者发现并修复潜在漏洞前就已实施入侵,使受害方完全丧失防御时间。攻击造成的损害具有毁灭性影响——不仅软件系统遭受破坏,企业声誉也遭受重创。攻击者始终占据主动,因此最大限度缩小这种优势差距至关重要。
那份无人想要的圣诞礼物——Log4Shell——正引爆整个互联网。约十亿台设备可能受到这场灾难性Java安全漏洞的影响。这很可能成为史上最严重的零日攻击,而我们才刚刚开始。尽管有报告称攻击者早在漏洞公开前数日就开始利用,但2016年黑帽大会的演示材料表明该问题早已存在。更糟的是,这个漏洞极其容易被利用,全球所有脚本小子和威胁行为者都在争相追逐这个漏洞。
那么,如何才能有效防范这种隐秘而危险的威胁,更不用说那些在软件开发过程中被忽视的安全漏洞了?让我们来探讨一下。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,零日漏洞通常价格不菲——以本文撰写时为例,某漏洞标价高达250万美元。 该漏洞针对苹果iOS系统,其定价高得离谱并不令人意外。毕竟这个漏洞可能成为攻破数百万设备的门户,在漏洞被发现修复前持续窃取数十亿条敏感数据。
但究竟谁拥有如此巨额资金?通常情况下,有组织的网络犯罪集团会放弃赎金,尤其当目标被认定为不值得时——这在广受欢迎的勒索软件攻击中尤为常见。 然而全球政府和国防机构也属于漏洞利用服务的客户群体——它们可据此获取威胁情报。在积极案例中,这些企业自身可能就是潜在的零日漏洞利用对象,从而得以防患于未然。
2021年创下了零日漏洞实时发现的纪录,而面临最大风险的正是大型组织、政府机构及基础设施——它们正遭受漏洞测试的考验。虽然无法完全防范零日攻击,但您可通过推出慷慨且结构完善的漏洞悬赏计划来有效应对。 与其坐等黑客在暗网市场兜售你软件城堡的钥匙,不如主动邀请合法的安全爱好者加入你的阵营,为他们提供合理的奖励机制,以激励其进行道德披露和潜在修复。
如果碰巧遭遇零日威胁,您大可放心——届时您需要开具的亚马逊礼品卡绝不止一张(而且这样做绝对值得)。
您的工具可能对您的安保人员构成负担
长期以来,安全工具数量过多一直是困扰普通首席信息安全官的难题——他们通常需要管理55至75种安全工具。 这套工具不仅堪称世界上最令人困惑(也最富隐喻色彩)的瑞士军刀,更令人担忧的是:根据波尼蒙研究所的研究,53%的企业甚至不确定这些工具是否真正有效。另一项研究则揭示,仅有17%的首席信息安全官认为其安全体系具备"完全有效性"。
在一个以人员倦怠、安全专家供不应求以及对敏捷性需求著称的领域,强迫安全专家在海量数据、报告和监控工具的洪流中工作,无疑是种负担。 这正是可能导致他们忽略关键警报的典型场景——在对Log4j漏洞进行充分审查时,这种情况确实发生了。
预防性安全应包含以开发者为导向的威胁建模
开发人员常利用代码层面的安全漏洞,他们需要精确的指导和定期的学习路径来获取安全编程知识。更高层次的安全开发人员则能在软件开发过程中获得学习和实践的机会。
毫不奇怪,最了解软件的人正是那些创建并开发它的开发者。 他们深谙用户如何操作软件、功能应用场景,若具备足够安全意识,更能预见软件可能崩溃或被利用的潜在情境。
当我们回顾Log4Shell漏洞时,会发现这样一种情景:在专家和复杂工具集的严密防护下,这个灾难性的安全漏洞竟未被发现。然而,若库文件被配置为汇总用户输入,该漏洞本可能根本不会出现。 这个看似出于实用考虑的晦涩功能,却让漏洞变得痛快地容易利用(想想SQL注入级别的操作,绝非什么高明手段)。倘若威胁建模工作由一群热衷安全、具备安全意识的开发者来完成,这种场景极可能已被理论推演并付诸实践。
一个优秀的安全计划具有情感维度,其核心在于通过人为干预与细微处理来解决人为引发的问题。威胁建模需要同理心与经验才能有效实施,这与在架构层面上对软件和应用程序进行安全编码与配置同样重要。 开发者不应独自奋战至深夜,而应明确路径——他们需清晰规划如何将这项重要任务交由安全团队承担,这才是理想方案(同时也是建立两个团队之间良好协作关系的绝佳契机)。
零天导致N天
在涉及零日漏洞的后续处理中,关键在于尽快发布补丁,怀着地狱般的希望——祈愿每位易受攻击软件的用户都能以最快速度完成更新,且务必在供应商之前完成。 Log4Shell的持久性和破坏力可能令Heartbleed相形见绌——毕竟它已植入数百万台设备,并在软件构建中形成了复杂的依赖关系。
现实地看,完全阻止此类隐蔽攻击是不可能的。但若我们承诺竭尽所能开发高质量、安全的软件,并以建设关键基础设施的同等严谨态度推进开发工作,我们所有人便能真正把握住机会。
目录
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载入门资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
