目に見えない隠れ家:SolarWinds攻撃が悪意のあるサイバーリスク以上のものを明らかにした理由
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
サイバーセキュリティ業界でクリスマスを台無しにするようなことがあったとしたら、それは壊滅的なデータ漏えいであり、その影響は深刻化の一途をたどっています 最大のサイバースパイ活動 記録上、米国政府に影響を与えています。
SolarWindsの攻撃は広範囲に及んでおり、攻撃者は最初にソフトウェアを侵害していました 早くも2019年半ばに。この数か月にわたる強盗事件は、著名なサイバーセキュリティ企業への侵入に使用されたことがきっかけで、2020年12月に発見されました。 ファイアーアイそして、そこから悪夢が解き明かされました。侵害の全容はまだ調査中ですが、主な侵入分野には、国立衛生研究所のほか、米国国務省、国土安全保障省、商務省、財務省などがあります。
この事件は余震が続くことになるだろうが、その非常に巧妙さは魅力的だ。技術的なレベルでは、悪意のあるカスタムツール、バックドア、クロークされたコードが関与する多層的な侵入であり、より明らかなエラーを悪用することが多いスクリプトキッドのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrikeは、このエクスプロイトをリバースエンジニアリングするという天才的な取り組みをさらに進めてきました。 調査結果の詳細 みんなに見せてSolarWindsがインフラストラクチャ侵害の被害者であり、システムアップデートへの悪意のあるコードの注入が可能になり、その結果、少なくとも4つの個別のマルウェアツールが脅威アクターに前例のないアクセスを可能にしたことが明らかになりました。
この方法は隠密で、ジェイソン・ボーンの小説からそのまま出てきたような戦略的な正確さを実現しました。これにより、包括的なサプライチェーン攻撃で、被害者が望むタイミングでSolarWindsネットワークの外を探し回り、計画を立て、攻撃する時間ができました。しかも、すべて完全に無害に見えるコードで実行されていました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるエラーの結果です。そして、いったん発見されると、間違いは明らかになります。パスワードが保存されているネットワークの構成が不十分である場合を考えてみてください。 プレーンテキスト、または既知のエクスプロイトに対して脆弱なパッチが適用されていないソフトウェア。このケースでは、開発者やセキュリティエンジニアだけでなく、コードがまったく目立ちませんでした。高価で複雑なセキュリティ技術が無数にあっても、それを検出できませんでした。
セキュリティ監視ツールと侵入テストツールは事実上役に立たなくなった
セキュリティプロフェッショナルは、馬の排泄物と同じくらい希少な存在である傾向があるため、ビジネスのセキュリティニーズに合わせてカスタマイズされたテクノロジースタックによって、膨大な量の企業データ、ソフトウェア、およびインフラストラクチャを保護する取り組みを支援されます。これは通常、ネットワークファイアウォール、自動侵入テスト、監視、スキャンツールなどのコンポーネントの形をとり、後者はソフトウェア開発プロセスに多くの時間を費やします。このツールは、多くの企業が使用しているため、すぐにスパイラルになり、管理や実行が手に負えなくなる可能性があります。 300 種類以上の製品とサービス。
SolarWindsには、コード内のセキュリティバグ、不正なネットワークアクセスの試み、インフラストラクチャのあらゆる部分での潜在的な侵害を発見して強調表示し、さらには検出回避の兆候を見つけるための目を見張るようなツールが揃っています。これらの脅威アクターが、最先端のセキュリティスタックでも発見されなかった悪意のあるコードを注入できたのは前例のないことです。
インフラストラクチャの強化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会をそっと悪用できれば、スタンドアロンソフトウェアの脆弱性と同じようにネットワークが侵害される可能性があります。
この侵害は、一般的に、ネットワークインフラストラクチャとソフトウェアの保護をツールのみに大きく依存している企業が、多大なリスクを冒していることを思い出させるものです。コードを保護するだけでは必ずしも十分ではありません。コードの保存、実行、コンパイルのすべてが、同様に強化されなければなりません。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象領域を深く評価して削減する強固な戦略を実行することです。
チーム間のセキュリティ認識が脅威モデルの向上につながる
SolarWindsのセキュリティ侵害は、特に政府レベルで、すでにセキュリティ業務に大きな影響を及ぼし始めています。専門家たちはこのことを宣伝している。 サイバーセキュリティ慣行を永遠に変える可能性がある。
ますますデジタル化するインフラストラクチャが私たちの生活を支えています。綿密に管理しないと攻撃に対して脆弱になる可能性がありますが、私たちの一般的な戦略には欠陥があります。セキュリティの専門知識に関しては人員が非常に不足していますが、そのギャップを埋めるための取り組みはあまり進んでいません。人間が主導するセキュリティ意識は、サイバーセキュリティにおいて十分に活用されていない要素であり、対応よりも予防を優先しているのも同様です。
インフラストラクチャのセキュリティは、流動的な要素が多い複雑な作業ですが、ソフトウェア開発における立場と同様に、開発者は適切なトレーニングを受け、セキュリティを意識していれば、構造的リスクを軽減するうえで役立ちます。
この種の攻撃がサプライチェーン攻撃を考慮しているにもかかわらず、脅威モデルでサプライチェーン攻撃が考慮されることはほとんどありません 早くも2012年にハイライトされました 現在の手法では防ぐのが難しい重要なリスクであり、多くの企業が準備不足に陥っています。ソフトウェア開発者が予防において果たすべき役割は絶対にあります。その第一歩は、開発者がスキルを向上させ、コードの整合性を内側から評価できるようにすることから始まります。更新メカニズムを安全に構築できているか?ソフトウェアが不要な接続状態で実行されていて、悪質なセキュリティ侵害が容易になりかねない状況になっていませんか?
セキュリティがソフトウェア品質の代名詞である場合、セキュリティ意識の高いエンジニアがもたらす計り知れない価値は容易に理解できます。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
サイバーセキュリティ業界でクリスマスを台無しにするようなことがあったとしたら、それは壊滅的なデータ漏えいであり、その影響は深刻化の一途をたどっています 最大のサイバースパイ活動 記録上、米国政府に影響を与えています。
SolarWindsの攻撃は広範囲に及んでおり、攻撃者は最初にソフトウェアを侵害していました 早くも2019年半ばに。この数か月にわたる強盗事件は、著名なサイバーセキュリティ企業への侵入に使用されたことがきっかけで、2020年12月に発見されました。 ファイアーアイそして、そこから悪夢が解き明かされました。侵害の全容はまだ調査中ですが、主な侵入分野には、国立衛生研究所のほか、米国国務省、国土安全保障省、商務省、財務省などがあります。
この事件は余震が続くことになるだろうが、その非常に巧妙さは魅力的だ。技術的なレベルでは、悪意のあるカスタムツール、バックドア、クロークされたコードが関与する多層的な侵入であり、より明らかなエラーを悪用することが多いスクリプトキッドのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrikeは、このエクスプロイトをリバースエンジニアリングするという天才的な取り組みをさらに進めてきました。 調査結果の詳細 みんなに見せてSolarWindsがインフラストラクチャ侵害の被害者であり、システムアップデートへの悪意のあるコードの注入が可能になり、その結果、少なくとも4つの個別のマルウェアツールが脅威アクターに前例のないアクセスを可能にしたことが明らかになりました。
この方法は隠密で、ジェイソン・ボーンの小説からそのまま出てきたような戦略的な正確さを実現しました。これにより、包括的なサプライチェーン攻撃で、被害者が望むタイミングでSolarWindsネットワークの外を探し回り、計画を立て、攻撃する時間ができました。しかも、すべて完全に無害に見えるコードで実行されていました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるエラーの結果です。そして、いったん発見されると、間違いは明らかになります。パスワードが保存されているネットワークの構成が不十分である場合を考えてみてください。 プレーンテキスト、または既知のエクスプロイトに対して脆弱なパッチが適用されていないソフトウェア。このケースでは、開発者やセキュリティエンジニアだけでなく、コードがまったく目立ちませんでした。高価で複雑なセキュリティ技術が無数にあっても、それを検出できませんでした。
セキュリティ監視ツールと侵入テストツールは事実上役に立たなくなった
セキュリティプロフェッショナルは、馬の排泄物と同じくらい希少な存在である傾向があるため、ビジネスのセキュリティニーズに合わせてカスタマイズされたテクノロジースタックによって、膨大な量の企業データ、ソフトウェア、およびインフラストラクチャを保護する取り組みを支援されます。これは通常、ネットワークファイアウォール、自動侵入テスト、監視、スキャンツールなどのコンポーネントの形をとり、後者はソフトウェア開発プロセスに多くの時間を費やします。このツールは、多くの企業が使用しているため、すぐにスパイラルになり、管理や実行が手に負えなくなる可能性があります。 300 種類以上の製品とサービス。
SolarWindsには、コード内のセキュリティバグ、不正なネットワークアクセスの試み、インフラストラクチャのあらゆる部分での潜在的な侵害を発見して強調表示し、さらには検出回避の兆候を見つけるための目を見張るようなツールが揃っています。これらの脅威アクターが、最先端のセキュリティスタックでも発見されなかった悪意のあるコードを注入できたのは前例のないことです。
インフラストラクチャの強化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会をそっと悪用できれば、スタンドアロンソフトウェアの脆弱性と同じようにネットワークが侵害される可能性があります。
この侵害は、一般的に、ネットワークインフラストラクチャとソフトウェアの保護をツールのみに大きく依存している企業が、多大なリスクを冒していることを思い出させるものです。コードを保護するだけでは必ずしも十分ではありません。コードの保存、実行、コンパイルのすべてが、同様に強化されなければなりません。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象領域を深く評価して削減する強固な戦略を実行することです。
チーム間のセキュリティ認識が脅威モデルの向上につながる
SolarWindsのセキュリティ侵害は、特に政府レベルで、すでにセキュリティ業務に大きな影響を及ぼし始めています。専門家たちはこのことを宣伝している。 サイバーセキュリティ慣行を永遠に変える可能性がある。
ますますデジタル化するインフラストラクチャが私たちの生活を支えています。綿密に管理しないと攻撃に対して脆弱になる可能性がありますが、私たちの一般的な戦略には欠陥があります。セキュリティの専門知識に関しては人員が非常に不足していますが、そのギャップを埋めるための取り組みはあまり進んでいません。人間が主導するセキュリティ意識は、サイバーセキュリティにおいて十分に活用されていない要素であり、対応よりも予防を優先しているのも同様です。
インフラストラクチャのセキュリティは、流動的な要素が多い複雑な作業ですが、ソフトウェア開発における立場と同様に、開発者は適切なトレーニングを受け、セキュリティを意識していれば、構造的リスクを軽減するうえで役立ちます。
この種の攻撃がサプライチェーン攻撃を考慮しているにもかかわらず、脅威モデルでサプライチェーン攻撃が考慮されることはほとんどありません 早くも2012年にハイライトされました 現在の手法では防ぐのが難しい重要なリスクであり、多くの企業が準備不足に陥っています。ソフトウェア開発者が予防において果たすべき役割は絶対にあります。その第一歩は、開発者がスキルを向上させ、コードの整合性を内側から評価できるようにすることから始まります。更新メカニズムを安全に構築できているか?ソフトウェアが不要な接続状態で実行されていて、悪質なセキュリティ侵害が容易になりかねない状況になっていませんか?
セキュリティがソフトウェア品質の代名詞である場合、セキュリティ意識の高いエンジニアがもたらす計り知れない価値は容易に理解できます。
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
サイバーセキュリティ業界でクリスマスを台無しにするようなことがあったとしたら、それは壊滅的なデータ漏えいであり、その影響は深刻化の一途をたどっています 最大のサイバースパイ活動 記録上、米国政府に影響を与えています。
SolarWindsの攻撃は広範囲に及んでおり、攻撃者は最初にソフトウェアを侵害していました 早くも2019年半ばに。この数か月にわたる強盗事件は、著名なサイバーセキュリティ企業への侵入に使用されたことがきっかけで、2020年12月に発見されました。 ファイアーアイそして、そこから悪夢が解き明かされました。侵害の全容はまだ調査中ですが、主な侵入分野には、国立衛生研究所のほか、米国国務省、国土安全保障省、商務省、財務省などがあります。
この事件は余震が続くことになるだろうが、その非常に巧妙さは魅力的だ。技術的なレベルでは、悪意のあるカスタムツール、バックドア、クロークされたコードが関与する多層的な侵入であり、より明らかなエラーを悪用することが多いスクリプトキッドのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrikeは、このエクスプロイトをリバースエンジニアリングするという天才的な取り組みをさらに進めてきました。 調査結果の詳細 みんなに見せてSolarWindsがインフラストラクチャ侵害の被害者であり、システムアップデートへの悪意のあるコードの注入が可能になり、その結果、少なくとも4つの個別のマルウェアツールが脅威アクターに前例のないアクセスを可能にしたことが明らかになりました。
この方法は隠密で、ジェイソン・ボーンの小説からそのまま出てきたような戦略的な正確さを実現しました。これにより、包括的なサプライチェーン攻撃で、被害者が望むタイミングでSolarWindsネットワークの外を探し回り、計画を立て、攻撃する時間ができました。しかも、すべて完全に無害に見えるコードで実行されていました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるエラーの結果です。そして、いったん発見されると、間違いは明らかになります。パスワードが保存されているネットワークの構成が不十分である場合を考えてみてください。 プレーンテキスト、または既知のエクスプロイトに対して脆弱なパッチが適用されていないソフトウェア。このケースでは、開発者やセキュリティエンジニアだけでなく、コードがまったく目立ちませんでした。高価で複雑なセキュリティ技術が無数にあっても、それを検出できませんでした。
セキュリティ監視ツールと侵入テストツールは事実上役に立たなくなった
セキュリティプロフェッショナルは、馬の排泄物と同じくらい希少な存在である傾向があるため、ビジネスのセキュリティニーズに合わせてカスタマイズされたテクノロジースタックによって、膨大な量の企業データ、ソフトウェア、およびインフラストラクチャを保護する取り組みを支援されます。これは通常、ネットワークファイアウォール、自動侵入テスト、監視、スキャンツールなどのコンポーネントの形をとり、後者はソフトウェア開発プロセスに多くの時間を費やします。このツールは、多くの企業が使用しているため、すぐにスパイラルになり、管理や実行が手に負えなくなる可能性があります。 300 種類以上の製品とサービス。
SolarWindsには、コード内のセキュリティバグ、不正なネットワークアクセスの試み、インフラストラクチャのあらゆる部分での潜在的な侵害を発見して強調表示し、さらには検出回避の兆候を見つけるための目を見張るようなツールが揃っています。これらの脅威アクターが、最先端のセキュリティスタックでも発見されなかった悪意のあるコードを注入できたのは前例のないことです。
インフラストラクチャの強化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会をそっと悪用できれば、スタンドアロンソフトウェアの脆弱性と同じようにネットワークが侵害される可能性があります。
この侵害は、一般的に、ネットワークインフラストラクチャとソフトウェアの保護をツールのみに大きく依存している企業が、多大なリスクを冒していることを思い出させるものです。コードを保護するだけでは必ずしも十分ではありません。コードの保存、実行、コンパイルのすべてが、同様に強化されなければなりません。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象領域を深く評価して削減する強固な戦略を実行することです。
チーム間のセキュリティ認識が脅威モデルの向上につながる
SolarWindsのセキュリティ侵害は、特に政府レベルで、すでにセキュリティ業務に大きな影響を及ぼし始めています。専門家たちはこのことを宣伝している。 サイバーセキュリティ慣行を永遠に変える可能性がある。
ますますデジタル化するインフラストラクチャが私たちの生活を支えています。綿密に管理しないと攻撃に対して脆弱になる可能性がありますが、私たちの一般的な戦略には欠陥があります。セキュリティの専門知識に関しては人員が非常に不足していますが、そのギャップを埋めるための取り組みはあまり進んでいません。人間が主導するセキュリティ意識は、サイバーセキュリティにおいて十分に活用されていない要素であり、対応よりも予防を優先しているのも同様です。
インフラストラクチャのセキュリティは、流動的な要素が多い複雑な作業ですが、ソフトウェア開発における立場と同様に、開発者は適切なトレーニングを受け、セキュリティを意識していれば、構造的リスクを軽減するうえで役立ちます。
この種の攻撃がサプライチェーン攻撃を考慮しているにもかかわらず、脅威モデルでサプライチェーン攻撃が考慮されることはほとんどありません 早くも2012年にハイライトされました 現在の手法では防ぐのが難しい重要なリスクであり、多くの企業が準備不足に陥っています。ソフトウェア開発者が予防において果たすべき役割は絶対にあります。その第一歩は、開発者がスキルを向上させ、コードの整合性を内側から評価できるようにすることから始まります。更新メカニズムを安全に構築できているか?ソフトウェアが不要な接続状態で実行されていて、悪質なセキュリティ侵害が容易になりかねない状況になっていませんか?
セキュリティがソフトウェア品質の代名詞である場合、セキュリティ意識の高いエンジニアがもたらす計り知れない価値は容易に理解できます。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
サイバーセキュリティ業界でクリスマスを台無しにするようなことがあったとしたら、それは壊滅的なデータ漏えいであり、その影響は深刻化の一途をたどっています 最大のサイバースパイ活動 記録上、米国政府に影響を与えています。
SolarWindsの攻撃は広範囲に及んでおり、攻撃者は最初にソフトウェアを侵害していました 早くも2019年半ばに。この数か月にわたる強盗事件は、著名なサイバーセキュリティ企業への侵入に使用されたことがきっかけで、2020年12月に発見されました。 ファイアーアイそして、そこから悪夢が解き明かされました。侵害の全容はまだ調査中ですが、主な侵入分野には、国立衛生研究所のほか、米国国務省、国土安全保障省、商務省、財務省などがあります。
この事件は余震が続くことになるだろうが、その非常に巧妙さは魅力的だ。技術的なレベルでは、悪意のあるカスタムツール、バックドア、クロークされたコードが関与する多層的な侵入であり、より明らかなエラーを悪用することが多いスクリプトキッドのスキルをはるかに超えています。
最悪のコードロンダリング
CrowdStrikeは、このエクスプロイトをリバースエンジニアリングするという天才的な取り組みをさらに進めてきました。 調査結果の詳細 みんなに見せてSolarWindsがインフラストラクチャ侵害の被害者であり、システムアップデートへの悪意のあるコードの注入が可能になり、その結果、少なくとも4つの個別のマルウェアツールが脅威アクターに前例のないアクセスを可能にしたことが明らかになりました。
この方法は隠密で、ジェイソン・ボーンの小説からそのまま出てきたような戦略的な正確さを実現しました。これにより、包括的なサプライチェーン攻撃で、被害者が望むタイミングでSolarWindsネットワークの外を探し回り、計画を立て、攻撃する時間ができました。しかも、すべて完全に無害に見えるコードで実行されていました。
サイバー攻撃は、多くの場合、単純でありながらコストのかかるエラーの結果です。そして、いったん発見されると、間違いは明らかになります。パスワードが保存されているネットワークの構成が不十分である場合を考えてみてください。 プレーンテキスト、または既知のエクスプロイトに対して脆弱なパッチが適用されていないソフトウェア。このケースでは、開発者やセキュリティエンジニアだけでなく、コードがまったく目立ちませんでした。高価で複雑なセキュリティ技術が無数にあっても、それを検出できませんでした。
セキュリティ監視ツールと侵入テストツールは事実上役に立たなくなった
セキュリティプロフェッショナルは、馬の排泄物と同じくらい希少な存在である傾向があるため、ビジネスのセキュリティニーズに合わせてカスタマイズされたテクノロジースタックによって、膨大な量の企業データ、ソフトウェア、およびインフラストラクチャを保護する取り組みを支援されます。これは通常、ネットワークファイアウォール、自動侵入テスト、監視、スキャンツールなどのコンポーネントの形をとり、後者はソフトウェア開発プロセスに多くの時間を費やします。このツールは、多くの企業が使用しているため、すぐにスパイラルになり、管理や実行が手に負えなくなる可能性があります。 300 種類以上の製品とサービス。
SolarWindsには、コード内のセキュリティバグ、不正なネットワークアクセスの試み、インフラストラクチャのあらゆる部分での潜在的な侵害を発見して強調表示し、さらには検出回避の兆候を見つけるための目を見張るようなツールが揃っています。これらの脅威アクターが、最先端のセキュリティスタックでも発見されなかった悪意のあるコードを注入できたのは前例のないことです。
インフラストラクチャの強化、特にアクセス制御は、一般的なサイバーセキュリティのベストプラクティスの基本的な要素ですが、攻撃者がわずかな機会をそっと悪用できれば、スタンドアロンソフトウェアの脆弱性と同じようにネットワークが侵害される可能性があります。
この侵害は、一般的に、ネットワークインフラストラクチャとソフトウェアの保護をツールのみに大きく依存している企業が、多大なリスクを冒していることを思い出させるものです。コードを保護するだけでは必ずしも十分ではありません。コードの保存、実行、コンパイルのすべてが、同様に強化されなければなりません。理想的な状態は、ツールと人材のバランスを取り、潜在的な攻撃対象領域を深く評価して削減する強固な戦略を実行することです。
チーム間のセキュリティ認識が脅威モデルの向上につながる
SolarWindsのセキュリティ侵害は、特に政府レベルで、すでにセキュリティ業務に大きな影響を及ぼし始めています。専門家たちはこのことを宣伝している。 サイバーセキュリティ慣行を永遠に変える可能性がある。
ますますデジタル化するインフラストラクチャが私たちの生活を支えています。綿密に管理しないと攻撃に対して脆弱になる可能性がありますが、私たちの一般的な戦略には欠陥があります。セキュリティの専門知識に関しては人員が非常に不足していますが、そのギャップを埋めるための取り組みはあまり進んでいません。人間が主導するセキュリティ意識は、サイバーセキュリティにおいて十分に活用されていない要素であり、対応よりも予防を優先しているのも同様です。
インフラストラクチャのセキュリティは、流動的な要素が多い複雑な作業ですが、ソフトウェア開発における立場と同様に、開発者は適切なトレーニングを受け、セキュリティを意識していれば、構造的リスクを軽減するうえで役立ちます。
この種の攻撃がサプライチェーン攻撃を考慮しているにもかかわらず、脅威モデルでサプライチェーン攻撃が考慮されることはほとんどありません 早くも2012年にハイライトされました 現在の手法では防ぐのが難しい重要なリスクであり、多くの企業が準備不足に陥っています。ソフトウェア開発者が予防において果たすべき役割は絶対にあります。その第一歩は、開発者がスキルを向上させ、コードの整合性を内側から評価できるようにすることから始まります。更新メカニズムを安全に構築できているか?ソフトウェアが不要な接続状態で実行されていて、悪質なセキュリティ侵害が容易になりかねない状況になっていませんか?
セキュリティがソフトウェア品質の代名詞である場合、セキュリティ意識の高いエンジニアがもたらす計り知れない価値は容易に理解できます。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
