2022年に無視できないサイバーセキュリティ問題
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
サイバー犯罪者との戦いに関しては、予防的な考え方でサイバー犯罪者の遊び場を先取りし、できる限り彼らと歩調を合わせる必要があります。来年、彼らが波を起こし始めるかもしれないと思うのは次の点です。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
