零日攻击正日益增多。是时候规划防御优势了。
本文的另一版本发表于 《SC杂志》刊载。本文经修改后在此发布。
若您曾遭遇入室盗窃,定能体会那种最初的沮丧感——察觉到事态不对劲,继而意识到家园已被侵占与亵渎。这种感受往往转化为持久的不安,更不必说会促使人们采取堪比诺克斯堡的安防措施。
现在想象一下,你的家被盗贼入侵,因为他们弄到了钥匙。他们四处游荡,随心所欲地进进出出,却小心翼翼地不被察觉。直到某天,你才惊觉为时已晚——藏在冰箱里的珠宝不翼而飞,保险箱空空如也,个人财物被洗劫一空。 这正是组织遭遇零日网络攻击时面临的现实。2020年波尼蒙研究所的研究显示,80%的数据泄露事件源于零日漏洞利用。令人忧心的是,多数企业至今仍未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者率先入侵系统,使开发人员根本来不及发现并修复可能被利用的漏洞。损害已然造成,企业只能着手修复软件系统和企业声誉所受的双重损害。攻击者始终占据先机,尽可能缩小这种优势差距至关重要。
那份无人想要的圣诞礼物Log4Shell正让互联网陷入混乱,据称超过十亿台设备受到这个Java灾难性漏洞的影响。这可能成为有史以来单日最严重的攻击事件,而我们才刚刚开始。尽管有报告称攻击行为早在漏洞公开数日前就已开始,但2016年黑帽大会上的演示资料表明,该问题实则存在已久。更糟的是,该漏洞极易被利用——全球黑客与威胁行为者正争相借此牟利。
那么,面对这种阴险狡猾的威胁,以及软件开发过程中被忽视的漏洞,究竟该采取何种最佳防御策略?让我们来探讨一下。
针对重要目标的零日攻击较为罕见(且代价高昂)
暗网存在着庞大的漏洞交易市场,零日漏洞往往价值连城——例如本文撰写时,某漏洞报价高达250万美元。 据称该漏洞存在于苹果iOS系统中,因此安全研究员的狂喜之情不足为奇——毕竟这可能成为入侵数百万设备、窃取数十亿条敏感数据记录的入口,且能在漏洞被发现修复前尽可能长时间地实施攻击。
然而,究竟谁能拿出如此巨额的资金?通常情况下,有组织的网络犯罪集团若认为目标值得下手,就会索要赎金——尤其是针对日益猖獗的勒索软件攻击。 然而,全球各国政府和国防部门都属于漏洞利用程序的客户群体——他们可借此获取威胁情报;而在更积极的场景下,企业自身也能购买潜在的零日漏洞,从而提前防范灾难发生。
2021年,从零开始实时发现漏洞的记录屡屡被刷新,而大型组织、政府部门和基础设施正面临着被深入调查以发现任何弱点的最大风险。 虽然无法完全规避零日攻击的威胁,但企业可通过设立结构完善且慷慨的漏洞奖励计划来"主动出击"。与其坐等黑市交易者窃取软件城堡的钥匙,不如主动寻求合法的安全改进方案,为合规披露漏洞及提供解决方案的贡献者给予合理回报。
倘若这竟是某种令人毛骨悚然的零日威胁,那你显然得花上不止一张亚马逊礼品卡的价钱(但绝对物有所值)。
您的工具可能对您的安保人员构成责任风险。
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。根据波尼蒙研究所的研究,这些工具不仅堪称世界上最混乱的瑞士军刀(比喻),更有53%的企业甚至不确定这些工具是否有效运作。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以资源枯竭著称的领域,安全人才短缺难以满足需求,而敏捷性要求迫使安全专业人员处理海量数据、报告及监控工具集带来的信息过载,这无疑是沉重负担。 这正是可能导致他们错过关键警报的典型场景——在评估Log4j漏洞时,这种情况很可能就曾发生过。
预防性安全措施应包含由开发人员驱动的威胁模型
开发人员通常会在代码层面引入漏洞,他们需要精确的指导和定期的学习途径来培养安全的编码技能。然而,高级安全系统的开发者有机会在软件创建过程中学习并实践威胁建模。
那些最了解自己软件的人正是亲手创建它的开发者,这并不令人意外。 他们深刻理解用户如何与软件交互、功能在何处被使用,当具备足够安全意识时,更能预见可能导致系统故障或被利用的潜在场景。
若再次提及Log4Shell漏洞,令人遗憾的是,我们面临着这样一种局面:即便是专家和复杂的工具集也未能检测到这一灾难性漏洞;然而,若该库被配置为对用户输入进行消毒处理,该漏洞本可能根本不会出现。 放弃此项操作的决策看似是为追求便利而设计的鲜为人知的特性,却使漏洞变得极其易于利用(想想SQL注入的程度,这绝非什么高明之举)。倘若威胁建模工作由一群热衷安全且经验丰富的开发者团队完成,这种情境很可能已被理论化并纳入考量。
一个优秀的安全计划具有情感维度,其中人为干预和人性化考量对解决人为问题至关重要。威胁建模需要同理心和经验才能有效,软件和应用程序在架构层面的安全编码与配置亦是如此。 开发者不应仓促上阵,但理想状态是找到清晰路径提升技能,直至能够分担安全团队承担这项重要任务的压力(这也是建立两支团队良好协作关系的绝佳途径)。
零日导致n日
应对零日漏洞的下一步是尽快发布补丁,希望所有易受攻击软件的用户都能尽早安装——当然,必须在攻击者抢先之前完成。Log4Shell漏洞的破坏力与Heartbleed不相上下,甚至更甚,因为它已植入数百万台设备,并在软件编译过程中形成了复杂的依赖关系。
现实地说,我们无法完全阻止此类隐蔽攻击。然而,若我们致力于运用一切可行途径打造安全优质的软件,并以对待关键基础设施的严谨态度来开发软件,我们每个人都有可能在对抗中占据优势。
零日攻击的本质在于,攻击者率先入侵系统,使开发人员根本来不及发现并修复可能被利用的漏洞。损害已然造成,企业只能着手修复软件系统和企业声誉所受的双重损害。攻击者始终占据先机,尽可能缩小这种优势差距至关重要。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
本文的另一版本发表于 《SC杂志》刊载。本文经修改后在此发布。
若您曾遭遇入室盗窃,定能体会那种最初的沮丧感——察觉到事态不对劲,继而意识到家园已被侵占与亵渎。这种感受往往转化为持久的不安,更不必说会促使人们采取堪比诺克斯堡的安防措施。
现在想象一下,你的家被盗贼入侵,因为他们弄到了钥匙。他们四处游荡,随心所欲地进进出出,却小心翼翼地不被察觉。直到某天,你才惊觉为时已晚——藏在冰箱里的珠宝不翼而飞,保险箱空空如也,个人财物被洗劫一空。 这正是组织遭遇零日网络攻击时面临的现实。2020年波尼蒙研究所的研究显示,80%的数据泄露事件源于零日漏洞利用。令人忧心的是,多数企业至今仍未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者率先入侵系统,使开发人员根本来不及发现并修复可能被利用的漏洞。损害已然造成,企业只能着手修复软件系统和企业声誉所受的双重损害。攻击者始终占据先机,尽可能缩小这种优势差距至关重要。
那份无人想要的圣诞礼物Log4Shell正让互联网陷入混乱,据称超过十亿台设备受到这个Java灾难性漏洞的影响。这可能成为有史以来单日最严重的攻击事件,而我们才刚刚开始。尽管有报告称攻击行为早在漏洞公开数日前就已开始,但2016年黑帽大会上的演示资料表明,该问题实则存在已久。更糟的是,该漏洞极易被利用——全球黑客与威胁行为者正争相借此牟利。
那么,面对这种阴险狡猾的威胁,以及软件开发过程中被忽视的漏洞,究竟该采取何种最佳防御策略?让我们来探讨一下。
针对重要目标的零日攻击较为罕见(且代价高昂)
暗网存在着庞大的漏洞交易市场,零日漏洞往往价值连城——例如本文撰写时,某漏洞报价高达250万美元。 据称该漏洞存在于苹果iOS系统中,因此安全研究员的狂喜之情不足为奇——毕竟这可能成为入侵数百万设备、窃取数十亿条敏感数据记录的入口,且能在漏洞被发现修复前尽可能长时间地实施攻击。
然而,究竟谁能拿出如此巨额的资金?通常情况下,有组织的网络犯罪集团若认为目标值得下手,就会索要赎金——尤其是针对日益猖獗的勒索软件攻击。 然而,全球各国政府和国防部门都属于漏洞利用程序的客户群体——他们可借此获取威胁情报;而在更积极的场景下,企业自身也能购买潜在的零日漏洞,从而提前防范灾难发生。
2021年,从零开始实时发现漏洞的记录屡屡被刷新,而大型组织、政府部门和基础设施正面临着被深入调查以发现任何弱点的最大风险。 虽然无法完全规避零日攻击的威胁,但企业可通过设立结构完善且慷慨的漏洞奖励计划来"主动出击"。与其坐等黑市交易者窃取软件城堡的钥匙,不如主动寻求合法的安全改进方案,为合规披露漏洞及提供解决方案的贡献者给予合理回报。
倘若这竟是某种令人毛骨悚然的零日威胁,那你显然得花上不止一张亚马逊礼品卡的价钱(但绝对物有所值)。
您的工具可能对您的安保人员构成责任风险。
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。根据波尼蒙研究所的研究,这些工具不仅堪称世界上最混乱的瑞士军刀(比喻),更有53%的企业甚至不确定这些工具是否有效运作。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以资源枯竭著称的领域,安全人才短缺难以满足需求,而敏捷性要求迫使安全专业人员处理海量数据、报告及监控工具集带来的信息过载,这无疑是沉重负担。 这正是可能导致他们错过关键警报的典型场景——在评估Log4j漏洞时,这种情况很可能就曾发生过。
预防性安全措施应包含由开发人员驱动的威胁模型
开发人员通常会在代码层面引入漏洞,他们需要精确的指导和定期的学习途径来培养安全的编码技能。然而,高级安全系统的开发者有机会在软件创建过程中学习并实践威胁建模。
那些最了解自己软件的人正是亲手创建它的开发者,这并不令人意外。 他们深刻理解用户如何与软件交互、功能在何处被使用,当具备足够安全意识时,更能预见可能导致系统故障或被利用的潜在场景。
若再次提及Log4Shell漏洞,令人遗憾的是,我们面临着这样一种局面:即便是专家和复杂的工具集也未能检测到这一灾难性漏洞;然而,若该库被配置为对用户输入进行消毒处理,该漏洞本可能根本不会出现。 放弃此项操作的决策看似是为追求便利而设计的鲜为人知的特性,却使漏洞变得极其易于利用(想想SQL注入的程度,这绝非什么高明之举)。倘若威胁建模工作由一群热衷安全且经验丰富的开发者团队完成,这种情境很可能已被理论化并纳入考量。
一个优秀的安全计划具有情感维度,其中人为干预和人性化考量对解决人为问题至关重要。威胁建模需要同理心和经验才能有效,软件和应用程序在架构层面的安全编码与配置亦是如此。 开发者不应仓促上阵,但理想状态是找到清晰路径提升技能,直至能够分担安全团队承担这项重要任务的压力(这也是建立两支团队良好协作关系的绝佳途径)。
零日导致n日
应对零日漏洞的下一步是尽快发布补丁,希望所有易受攻击软件的用户都能尽早安装——当然,必须在攻击者抢先之前完成。Log4Shell漏洞的破坏力与Heartbleed不相上下,甚至更甚,因为它已植入数百万台设备,并在软件编译过程中形成了复杂的依赖关系。
现实地说,我们无法完全阻止此类隐蔽攻击。然而,若我们致力于运用一切可行途径打造安全优质的软件,并以对待关键基础设施的严谨态度来开发软件,我们每个人都有可能在对抗中占据优势。
本文的另一版本发表于 《SC杂志》刊载。本文经修改后在此发布。
若您曾遭遇入室盗窃,定能体会那种最初的沮丧感——察觉到事态不对劲,继而意识到家园已被侵占与亵渎。这种感受往往转化为持久的不安,更不必说会促使人们采取堪比诺克斯堡的安防措施。
现在想象一下,你的家被盗贼入侵,因为他们弄到了钥匙。他们四处游荡,随心所欲地进进出出,却小心翼翼地不被察觉。直到某天,你才惊觉为时已晚——藏在冰箱里的珠宝不翼而飞,保险箱空空如也,个人财物被洗劫一空。 这正是组织遭遇零日网络攻击时面临的现实。2020年波尼蒙研究所的研究显示,80%的数据泄露事件源于零日漏洞利用。令人忧心的是,多数企业至今仍未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者率先入侵系统,使开发人员根本来不及发现并修复可能被利用的漏洞。损害已然造成,企业只能着手修复软件系统和企业声誉所受的双重损害。攻击者始终占据先机,尽可能缩小这种优势差距至关重要。
那份无人想要的圣诞礼物Log4Shell正让互联网陷入混乱,据称超过十亿台设备受到这个Java灾难性漏洞的影响。这可能成为有史以来单日最严重的攻击事件,而我们才刚刚开始。尽管有报告称攻击行为早在漏洞公开数日前就已开始,但2016年黑帽大会上的演示资料表明,该问题实则存在已久。更糟的是,该漏洞极易被利用——全球黑客与威胁行为者正争相借此牟利。
那么,面对这种阴险狡猾的威胁,以及软件开发过程中被忽视的漏洞,究竟该采取何种最佳防御策略?让我们来探讨一下。
针对重要目标的零日攻击较为罕见(且代价高昂)
暗网存在着庞大的漏洞交易市场,零日漏洞往往价值连城——例如本文撰写时,某漏洞报价高达250万美元。 据称该漏洞存在于苹果iOS系统中,因此安全研究员的狂喜之情不足为奇——毕竟这可能成为入侵数百万设备、窃取数十亿条敏感数据记录的入口,且能在漏洞被发现修复前尽可能长时间地实施攻击。
然而,究竟谁能拿出如此巨额的资金?通常情况下,有组织的网络犯罪集团若认为目标值得下手,就会索要赎金——尤其是针对日益猖獗的勒索软件攻击。 然而,全球各国政府和国防部门都属于漏洞利用程序的客户群体——他们可借此获取威胁情报;而在更积极的场景下,企业自身也能购买潜在的零日漏洞,从而提前防范灾难发生。
2021年,从零开始实时发现漏洞的记录屡屡被刷新,而大型组织、政府部门和基础设施正面临着被深入调查以发现任何弱点的最大风险。 虽然无法完全规避零日攻击的威胁,但企业可通过设立结构完善且慷慨的漏洞奖励计划来"主动出击"。与其坐等黑市交易者窃取软件城堡的钥匙,不如主动寻求合法的安全改进方案,为合规披露漏洞及提供解决方案的贡献者给予合理回报。
倘若这竟是某种令人毛骨悚然的零日威胁,那你显然得花上不止一张亚马逊礼品卡的价钱(但绝对物有所值)。
您的工具可能对您的安保人员构成责任风险。
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。根据波尼蒙研究所的研究,这些工具不仅堪称世界上最混乱的瑞士军刀(比喻),更有53%的企业甚至不确定这些工具是否有效运作。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以资源枯竭著称的领域,安全人才短缺难以满足需求,而敏捷性要求迫使安全专业人员处理海量数据、报告及监控工具集带来的信息过载,这无疑是沉重负担。 这正是可能导致他们错过关键警报的典型场景——在评估Log4j漏洞时,这种情况很可能就曾发生过。
预防性安全措施应包含由开发人员驱动的威胁模型
开发人员通常会在代码层面引入漏洞,他们需要精确的指导和定期的学习途径来培养安全的编码技能。然而,高级安全系统的开发者有机会在软件创建过程中学习并实践威胁建模。
那些最了解自己软件的人正是亲手创建它的开发者,这并不令人意外。 他们深刻理解用户如何与软件交互、功能在何处被使用,当具备足够安全意识时,更能预见可能导致系统故障或被利用的潜在场景。
若再次提及Log4Shell漏洞,令人遗憾的是,我们面临着这样一种局面:即便是专家和复杂的工具集也未能检测到这一灾难性漏洞;然而,若该库被配置为对用户输入进行消毒处理,该漏洞本可能根本不会出现。 放弃此项操作的决策看似是为追求便利而设计的鲜为人知的特性,却使漏洞变得极其易于利用(想想SQL注入的程度,这绝非什么高明之举)。倘若威胁建模工作由一群热衷安全且经验丰富的开发者团队完成,这种情境很可能已被理论化并纳入考量。
一个优秀的安全计划具有情感维度,其中人为干预和人性化考量对解决人为问题至关重要。威胁建模需要同理心和经验才能有效,软件和应用程序在架构层面的安全编码与配置亦是如此。 开发者不应仓促上阵,但理想状态是找到清晰路径提升技能,直至能够分担安全团队承担这项重要任务的压力(这也是建立两支团队良好协作关系的绝佳途径)。
零日导致n日
应对零日漏洞的下一步是尽快发布补丁,希望所有易受攻击软件的用户都能尽早安装——当然,必须在攻击者抢先之前完成。Log4Shell漏洞的破坏力与Heartbleed不相上下,甚至更甚,因为它已植入数百万台设备,并在软件编译过程中形成了复杂的依赖关系。
现实地说,我们无法完全阻止此类隐蔽攻击。然而,若我们致力于运用一切可行途径打造安全优质的软件,并以对待关键基础设施的严谨态度来开发软件,我们每个人都有可能在对抗中占据优势。
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
本文的另一版本发表于 《SC杂志》刊载。本文经修改后在此发布。
若您曾遭遇入室盗窃,定能体会那种最初的沮丧感——察觉到事态不对劲,继而意识到家园已被侵占与亵渎。这种感受往往转化为持久的不安,更不必说会促使人们采取堪比诺克斯堡的安防措施。
现在想象一下,你的家被盗贼入侵,因为他们弄到了钥匙。他们四处游荡,随心所欲地进进出出,却小心翼翼地不被察觉。直到某天,你才惊觉为时已晚——藏在冰箱里的珠宝不翼而飞,保险箱空空如也,个人财物被洗劫一空。 这正是组织遭遇零日网络攻击时面临的现实。2020年波尼蒙研究所的研究显示,80%的数据泄露事件源于零日漏洞利用。令人忧心的是,多数企业至今仍未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者率先入侵系统,使开发人员根本来不及发现并修复可能被利用的漏洞。损害已然造成,企业只能着手修复软件系统和企业声誉所受的双重损害。攻击者始终占据先机,尽可能缩小这种优势差距至关重要。
那份无人想要的圣诞礼物Log4Shell正让互联网陷入混乱,据称超过十亿台设备受到这个Java灾难性漏洞的影响。这可能成为有史以来单日最严重的攻击事件,而我们才刚刚开始。尽管有报告称攻击行为早在漏洞公开数日前就已开始,但2016年黑帽大会上的演示资料表明,该问题实则存在已久。更糟的是,该漏洞极易被利用——全球黑客与威胁行为者正争相借此牟利。
那么,面对这种阴险狡猾的威胁,以及软件开发过程中被忽视的漏洞,究竟该采取何种最佳防御策略?让我们来探讨一下。
针对重要目标的零日攻击较为罕见(且代价高昂)
暗网存在着庞大的漏洞交易市场,零日漏洞往往价值连城——例如本文撰写时,某漏洞报价高达250万美元。 据称该漏洞存在于苹果iOS系统中,因此安全研究员的狂喜之情不足为奇——毕竟这可能成为入侵数百万设备、窃取数十亿条敏感数据记录的入口,且能在漏洞被发现修复前尽可能长时间地实施攻击。
然而,究竟谁能拿出如此巨额的资金?通常情况下,有组织的网络犯罪集团若认为目标值得下手,就会索要赎金——尤其是针对日益猖獗的勒索软件攻击。 然而,全球各国政府和国防部门都属于漏洞利用程序的客户群体——他们可借此获取威胁情报;而在更积极的场景下,企业自身也能购买潜在的零日漏洞,从而提前防范灾难发生。
2021年,从零开始实时发现漏洞的记录屡屡被刷新,而大型组织、政府部门和基础设施正面临着被深入调查以发现任何弱点的最大风险。 虽然无法完全规避零日攻击的威胁,但企业可通过设立结构完善且慷慨的漏洞奖励计划来"主动出击"。与其坐等黑市交易者窃取软件城堡的钥匙,不如主动寻求合法的安全改进方案,为合规披露漏洞及提供解决方案的贡献者给予合理回报。
倘若这竟是某种令人毛骨悚然的零日威胁,那你显然得花上不止一张亚马逊礼品卡的价钱(但绝对物有所值)。
您的工具可能对您的安保人员构成责任风险。
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。根据波尼蒙研究所的研究,这些工具不仅堪称世界上最混乱的瑞士军刀(比喻),更有53%的企业甚至不确定这些工具是否有效运作。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以资源枯竭著称的领域,安全人才短缺难以满足需求,而敏捷性要求迫使安全专业人员处理海量数据、报告及监控工具集带来的信息过载,这无疑是沉重负担。 这正是可能导致他们错过关键警报的典型场景——在评估Log4j漏洞时,这种情况很可能就曾发生过。
预防性安全措施应包含由开发人员驱动的威胁模型
开发人员通常会在代码层面引入漏洞,他们需要精确的指导和定期的学习途径来培养安全的编码技能。然而,高级安全系统的开发者有机会在软件创建过程中学习并实践威胁建模。
那些最了解自己软件的人正是亲手创建它的开发者,这并不令人意外。 他们深刻理解用户如何与软件交互、功能在何处被使用,当具备足够安全意识时,更能预见可能导致系统故障或被利用的潜在场景。
若再次提及Log4Shell漏洞,令人遗憾的是,我们面临着这样一种局面:即便是专家和复杂的工具集也未能检测到这一灾难性漏洞;然而,若该库被配置为对用户输入进行消毒处理,该漏洞本可能根本不会出现。 放弃此项操作的决策看似是为追求便利而设计的鲜为人知的特性,却使漏洞变得极其易于利用(想想SQL注入的程度,这绝非什么高明之举)。倘若威胁建模工作由一群热衷安全且经验丰富的开发者团队完成,这种情境很可能已被理论化并纳入考量。
一个优秀的安全计划具有情感维度,其中人为干预和人性化考量对解决人为问题至关重要。威胁建模需要同理心和经验才能有效,软件和应用程序在架构层面的安全编码与配置亦是如此。 开发者不应仓促上阵,但理想状态是找到清晰路径提升技能,直至能够分担安全团队承担这项重要任务的压力(这也是建立两支团队良好协作关系的绝佳途径)。
零日导致n日
应对零日漏洞的下一步是尽快发布补丁,希望所有易受攻击软件的用户都能尽早安装——当然,必须在攻击者抢先之前完成。Log4Shell漏洞的破坏力与Heartbleed不相上下,甚至更甚,因为它已植入数百万台设备,并在软件编译过程中形成了复杂的依赖关系。
现实地说,我们无法完全阻止此类隐蔽攻击。然而,若我们致力于运用一切可行途径打造安全优质的软件,并以对待关键基础设施的严谨态度来开发软件,我们每个人都有可能在对抗中占据优势。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
