セキュリティツールの急増に悩まされている
本文最初发表于 安全大道.此处已对其进行了更新和聚合。
我们的集体心理几乎根深蒂固,认为更多的好东西是更好的东西。如果你有一件你真正喜欢的东西,那么拥有两件或三件,甚至更多,也没有什么不对。毕竟,你不能拥有太多的好东西,对吗?
不幸的是,虽然这种逻辑在某些情况下行得通,但有时在较高的音量下很快就会失灵。在某些情况下,你会开始体验到收益递减。第 13 块巧克力蛋糕到底能给你带来多少额外的价值或快乐?还有一些时候,好东西做多了,会给你或你的组织带来巨大的风险。
太多的网络安全工具
近年来,网络安全工具在大多数组织中都呈现出失控的态势。Dark Reading》杂志的一项研究发现,大多数首席信息安全官平均依赖 55 到 75 种不同的安全产品或应用程序来保护他们的网络。然而,攻击仍然屡禁不止。根据《Verizon 2023 年数据泄露调查报告》,成功的攻击正在增加,其中最复杂的攻击需要比以往更长的时间才能被发现。
攻击者如何规避表面上看起来不可能完成的75种或更多的网络安全工具?事实是,他们经常会触发警报,但人类防御者忙于维护他们的防御工具或应对每天数以千计的警报而没有注意到。拥有大量的安全工具实际上可以给攻击者提供他们所需要的掩护,以保持不被发现。
TechRadar最近的一份报告强调了拥有太多的网络安全工具所带来的负面影响。在接受调查的公司中,71%的公司认为他们拥有的工具比他们的网络安全团队能够成功管理的还要多。这实际上导致他们的安全态势随着更多工具的增加而变得更糟。事实上,与认为更多的工具等于更多的安全相反,绝大多数的受访者报告说,由于在他们的环境中安装了所有的网络安全工具,他们的安全感大大降低。
随着大多数组织向云计算的大规模转移,情况只会变得更糟。将大量网络安全工具分层到网络中以覆盖所有可能的攻击途径的做法之所以流行,是因为在一个几乎完全是内部资产的时代,这种策略是可行的。或者说,至少企业没有那么快遇到收益递减和负面的后果。然而,在云环境中,你增加的工具越多,你产生的复杂性和漏洞就越多。
除了维护重叠工具的工作,以工具为中心的方法的另一个大问题是,随着更多的工具上线,肯定会出现大量的误报。追查误报会耗尽人类安全人员的所有时间,而对组织没有真正的好处。同时,真正的攻击可以很容易地隐藏在所有的错误警报中。网络安全专家可能永远不会发现真正的威胁,直到为时已晚。
一个更好的方法
从你的环境中删除所有的安全工具将是灾难性的。但是,你也不希望有这么多的工具,以至于那些真正能提供帮助的关键工具没有得到足够的重视。重要的是,要找到正确的工具选择,并确保你没有太多的工具耗费你的时间和资源。
让工具整合发挥作用的关键是同时投资于以人为主导的安全方法。这应该包括使用一种传统上没有被部署到该角色的资产:负责编码被攻击者锁定的应用程序和软件的开发人员团队。
虽然传统上开发人员没有安全任务,但这种情况正在改变。事实上,鼓励开发者专注于安全是DevSecOps运动的一个关键方面,在这个运动中,每个人都对部署安全的应用程序承担一些责任。没有人期望开发人员突然成为安全专家,或在他们的组织中承担安全的主要责任,但教他们如何编写安全的代码,并奖励他们完成的工作,可以在很大程度上为消除所有这些重叠的安全工具奠定基础。
如果你从好的、安全的代码开始,那么你就可以很容易地开始消除数以百计的网络安全工具,这些工具被设计用来扫描常见的漏洞和欺诈行为。最终,你将培养一个环境,让开发人员创建安全的代码,而一些选定的网络安全工具可以作为一个额外的检查,便于安全团队监控和维护,而不会因为太多的所谓的好东西而过载。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
本文最初发表于 安全大道.此处已对其进行了更新和聚合。
我们的集体心理几乎根深蒂固,认为更多的好东西是更好的东西。如果你有一件你真正喜欢的东西,那么拥有两件或三件,甚至更多,也没有什么不对。毕竟,你不能拥有太多的好东西,对吗?
不幸的是,虽然这种逻辑在某些情况下行得通,但有时在较高的音量下很快就会失灵。在某些情况下,你会开始体验到收益递减。第 13 块巧克力蛋糕到底能给你带来多少额外的价值或快乐?还有一些时候,好东西做多了,会给你或你的组织带来巨大的风险。
太多的网络安全工具
近年来,网络安全工具在大多数组织中都呈现出失控的态势。Dark Reading》杂志的一项研究发现,大多数首席信息安全官平均依赖 55 到 75 种不同的安全产品或应用程序来保护他们的网络。然而,攻击仍然屡禁不止。根据《Verizon 2023 年数据泄露调查报告》,成功的攻击正在增加,其中最复杂的攻击需要比以往更长的时间才能被发现。
攻击者如何规避表面上看起来不可能完成的75种或更多的网络安全工具?事实是,他们经常会触发警报,但人类防御者忙于维护他们的防御工具或应对每天数以千计的警报而没有注意到。拥有大量的安全工具实际上可以给攻击者提供他们所需要的掩护,以保持不被发现。
TechRadar最近的一份报告强调了拥有太多的网络安全工具所带来的负面影响。在接受调查的公司中,71%的公司认为他们拥有的工具比他们的网络安全团队能够成功管理的还要多。这实际上导致他们的安全态势随着更多工具的增加而变得更糟。事实上,与认为更多的工具等于更多的安全相反,绝大多数的受访者报告说,由于在他们的环境中安装了所有的网络安全工具,他们的安全感大大降低。
随着大多数组织向云计算的大规模转移,情况只会变得更糟。将大量网络安全工具分层到网络中以覆盖所有可能的攻击途径的做法之所以流行,是因为在一个几乎完全是内部资产的时代,这种策略是可行的。或者说,至少企业没有那么快遇到收益递减和负面的后果。然而,在云环境中,你增加的工具越多,你产生的复杂性和漏洞就越多。
除了维护重叠工具的工作,以工具为中心的方法的另一个大问题是,随着更多的工具上线,肯定会出现大量的误报。追查误报会耗尽人类安全人员的所有时间,而对组织没有真正的好处。同时,真正的攻击可以很容易地隐藏在所有的错误警报中。网络安全专家可能永远不会发现真正的威胁,直到为时已晚。
一个更好的方法
从你的环境中删除所有的安全工具将是灾难性的。但是,你也不希望有这么多的工具,以至于那些真正能提供帮助的关键工具没有得到足够的重视。重要的是,要找到正确的工具选择,并确保你没有太多的工具耗费你的时间和资源。
让工具整合发挥作用的关键是同时投资于以人为主导的安全方法。这应该包括使用一种传统上没有被部署到该角色的资产:负责编码被攻击者锁定的应用程序和软件的开发人员团队。
虽然传统上开发人员没有安全任务,但这种情况正在改变。事实上,鼓励开发者专注于安全是DevSecOps运动的一个关键方面,在这个运动中,每个人都对部署安全的应用程序承担一些责任。没有人期望开发人员突然成为安全专家,或在他们的组织中承担安全的主要责任,但教他们如何编写安全的代码,并奖励他们完成的工作,可以在很大程度上为消除所有这些重叠的安全工具奠定基础。
如果你从好的、安全的代码开始,那么你就可以很容易地开始消除数以百计的网络安全工具,这些工具被设计用来扫描常见的漏洞和欺诈行为。最终,你将培养一个环境,让开发人员创建安全的代码,而一些选定的网络安全工具可以作为一个额外的检查,便于安全团队监控和维护,而不会因为太多的所谓的好东西而过载。
本文最初发表于 安全大道.此处已对其进行了更新和聚合。
我们的集体心理几乎根深蒂固,认为更多的好东西是更好的东西。如果你有一件你真正喜欢的东西,那么拥有两件或三件,甚至更多,也没有什么不对。毕竟,你不能拥有太多的好东西,对吗?
不幸的是,虽然这种逻辑在某些情况下行得通,但有时在较高的音量下很快就会失灵。在某些情况下,你会开始体验到收益递减。第 13 块巧克力蛋糕到底能给你带来多少额外的价值或快乐?还有一些时候,好东西做多了,会给你或你的组织带来巨大的风险。
太多的网络安全工具
近年来,网络安全工具在大多数组织中都呈现出失控的态势。Dark Reading》杂志的一项研究发现,大多数首席信息安全官平均依赖 55 到 75 种不同的安全产品或应用程序来保护他们的网络。然而,攻击仍然屡禁不止。根据《Verizon 2023 年数据泄露调查报告》,成功的攻击正在增加,其中最复杂的攻击需要比以往更长的时间才能被发现。
攻击者如何规避表面上看起来不可能完成的75种或更多的网络安全工具?事实是,他们经常会触发警报,但人类防御者忙于维护他们的防御工具或应对每天数以千计的警报而没有注意到。拥有大量的安全工具实际上可以给攻击者提供他们所需要的掩护,以保持不被发现。
TechRadar最近的一份报告强调了拥有太多的网络安全工具所带来的负面影响。在接受调查的公司中,71%的公司认为他们拥有的工具比他们的网络安全团队能够成功管理的还要多。这实际上导致他们的安全态势随着更多工具的增加而变得更糟。事实上,与认为更多的工具等于更多的安全相反,绝大多数的受访者报告说,由于在他们的环境中安装了所有的网络安全工具,他们的安全感大大降低。
随着大多数组织向云计算的大规模转移,情况只会变得更糟。将大量网络安全工具分层到网络中以覆盖所有可能的攻击途径的做法之所以流行,是因为在一个几乎完全是内部资产的时代,这种策略是可行的。或者说,至少企业没有那么快遇到收益递减和负面的后果。然而,在云环境中,你增加的工具越多,你产生的复杂性和漏洞就越多。
除了维护重叠工具的工作,以工具为中心的方法的另一个大问题是,随着更多的工具上线,肯定会出现大量的误报。追查误报会耗尽人类安全人员的所有时间,而对组织没有真正的好处。同时,真正的攻击可以很容易地隐藏在所有的错误警报中。网络安全专家可能永远不会发现真正的威胁,直到为时已晚。
一个更好的方法
从你的环境中删除所有的安全工具将是灾难性的。但是,你也不希望有这么多的工具,以至于那些真正能提供帮助的关键工具没有得到足够的重视。重要的是,要找到正确的工具选择,并确保你没有太多的工具耗费你的时间和资源。
让工具整合发挥作用的关键是同时投资于以人为主导的安全方法。这应该包括使用一种传统上没有被部署到该角色的资产:负责编码被攻击者锁定的应用程序和软件的开发人员团队。
虽然传统上开发人员没有安全任务,但这种情况正在改变。事实上,鼓励开发者专注于安全是DevSecOps运动的一个关键方面,在这个运动中,每个人都对部署安全的应用程序承担一些责任。没有人期望开发人员突然成为安全专家,或在他们的组织中承担安全的主要责任,但教他们如何编写安全的代码,并奖励他们完成的工作,可以在很大程度上为消除所有这些重叠的安全工具奠定基础。
如果你从好的、安全的代码开始,那么你就可以很容易地开始消除数以百计的网络安全工具,这些工具被设计用来扫描常见的漏洞和欺诈行为。最终,你将培养一个环境,让开发人员创建安全的代码,而一些选定的网络安全工具可以作为一个额外的检查,便于安全团队监控和维护,而不会因为太多的所谓的好东西而过载。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
本文最初发表于 安全大道.此处已对其进行了更新和聚合。
我们的集体心理几乎根深蒂固,认为更多的好东西是更好的东西。如果你有一件你真正喜欢的东西,那么拥有两件或三件,甚至更多,也没有什么不对。毕竟,你不能拥有太多的好东西,对吗?
不幸的是,虽然这种逻辑在某些情况下行得通,但有时在较高的音量下很快就会失灵。在某些情况下,你会开始体验到收益递减。第 13 块巧克力蛋糕到底能给你带来多少额外的价值或快乐?还有一些时候,好东西做多了,会给你或你的组织带来巨大的风险。
太多的网络安全工具
近年来,网络安全工具在大多数组织中都呈现出失控的态势。Dark Reading》杂志的一项研究发现,大多数首席信息安全官平均依赖 55 到 75 种不同的安全产品或应用程序来保护他们的网络。然而,攻击仍然屡禁不止。根据《Verizon 2023 年数据泄露调查报告》,成功的攻击正在增加,其中最复杂的攻击需要比以往更长的时间才能被发现。
攻击者如何规避表面上看起来不可能完成的75种或更多的网络安全工具?事实是,他们经常会触发警报,但人类防御者忙于维护他们的防御工具或应对每天数以千计的警报而没有注意到。拥有大量的安全工具实际上可以给攻击者提供他们所需要的掩护,以保持不被发现。
TechRadar最近的一份报告强调了拥有太多的网络安全工具所带来的负面影响。在接受调查的公司中,71%的公司认为他们拥有的工具比他们的网络安全团队能够成功管理的还要多。这实际上导致他们的安全态势随着更多工具的增加而变得更糟。事实上,与认为更多的工具等于更多的安全相反,绝大多数的受访者报告说,由于在他们的环境中安装了所有的网络安全工具,他们的安全感大大降低。
随着大多数组织向云计算的大规模转移,情况只会变得更糟。将大量网络安全工具分层到网络中以覆盖所有可能的攻击途径的做法之所以流行,是因为在一个几乎完全是内部资产的时代,这种策略是可行的。或者说,至少企业没有那么快遇到收益递减和负面的后果。然而,在云环境中,你增加的工具越多,你产生的复杂性和漏洞就越多。
除了维护重叠工具的工作,以工具为中心的方法的另一个大问题是,随着更多的工具上线,肯定会出现大量的误报。追查误报会耗尽人类安全人员的所有时间,而对组织没有真正的好处。同时,真正的攻击可以很容易地隐藏在所有的错误警报中。网络安全专家可能永远不会发现真正的威胁,直到为时已晚。
一个更好的方法
从你的环境中删除所有的安全工具将是灾难性的。但是,你也不希望有这么多的工具,以至于那些真正能提供帮助的关键工具没有得到足够的重视。重要的是,要找到正确的工具选择,并确保你没有太多的工具耗费你的时间和资源。
让工具整合发挥作用的关键是同时投资于以人为主导的安全方法。这应该包括使用一种传统上没有被部署到该角色的资产:负责编码被攻击者锁定的应用程序和软件的开发人员团队。
虽然传统上开发人员没有安全任务,但这种情况正在改变。事实上,鼓励开发者专注于安全是DevSecOps运动的一个关键方面,在这个运动中,每个人都对部署安全的应用程序承担一些责任。没有人期望开发人员突然成为安全专家,或在他们的组织中承担安全的主要责任,但教他们如何编写安全的代码,并奖励他们完成的工作,可以在很大程度上为消除所有这些重叠的安全工具奠定基础。
如果你从好的、安全的代码开始,那么你就可以很容易地开始消除数以百计的网络安全工具,这些工具被设计用来扫描常见的漏洞和欺诈行为。最终,你将培养一个环境,让开发人员创建安全的代码,而一些选定的网络安全工具可以作为一个额外的检查,便于安全团队监控和维护,而不会因为太多的所谓的好东西而过载。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
