零日攻击正呈上升趋势。现在正是规划防御前沿的时机。
本文的版本已发布 SC杂志。本文经修订后由以下媒体联合发布:
若曾遭遇入室盗窃,您定会体会到:最初是种隐约的不安感,继而意识到自己确实遭受了财产损失与隐私侵犯。更不用说需要升级至堪比诺克斯堡的安防系统,这种不适感往往会持续良久。
试想小偷自己配了钥匙,结果把房子给撬坏了。他们悄无声息地进进出出,小心翼翼不被察觉。直到某天,才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被掏空,随身物品遭洗劫——但为时已晚。这与组织遭遇零日网络攻击时面临的现实如出一辙。2020年波奈蒙研究所的调查揭示:80%的数据泄露事件源于零日漏洞利用。遗憾的是,绝大多数企业尚未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者往往在系统开发者发现并修复潜在漏洞之前就已发起入侵。一旦受害,企业将陷入修复软件缺陷与挽回声誉的疯狂拉锯战。攻击者始终占据优势地位,因此封堵所有可能的漏洞至关重要。
Log4Shell这个无人想要的节日礼物正席卷互联网,据称超过十亿台设备受到这种毁灭性Java漏洞的影响。这正成为有史以来最严重的零日攻击,而它才刚刚开始。尽管如此,部分报告指出攻击早在漏洞公开数日前就已开始,2016年黑帽大会的演示内容表明该漏洞已存在相当长时间。痛心的是,更糟糕的是,该漏洞极易被利用,全球所有脚本小子和威胁行为者都正瞄准这个漏洞。
那么,除了软件开发过程中被忽视的漏洞之外,保护自己免受那些狡猾的威胁侵害的最佳方法是什么呢?让我们来看看。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,例如零日漏洞往往能卖出高价——本文撰写时,某漏洞正以250万美元的价格挂牌出售。虽然该漏洞被报告为针对苹果iOS系统的攻击,但安全研究人员开出的天价并不令人意外。毕竟,这实际上可能成为入侵数百万台设备、收集数十亿条机密数据记录的门户——在漏洞被发现并修复前,攻击者能借此持续作案至最后一刻。
然而,究竟谁拥有如此巨额资金呢?通常,有组织的网络犯罪集团会为高价值目标筹集资金,尤其针对热门的勒索软件攻击。但全球政府和国防部门其实是漏洞利用的潜在客户——它们为威胁情报支付费用。在更积极的场景中,企业自身可能成为潜在的零日漏洞购买者,从而减轻灾难性影响。
2021年,纪录被打破。大型组织、政府机构和基础设施最易成为零日漏洞的实时发现目标,面临被深入研究其弱点的风险。虽然无法完全防范零日攻击的可能性,但但通过设立慷慨且完善的漏洞赏金计划,可以一定程度"参与这场博弈"。与其坐等暗网市场有人出售软件城堡的钥匙,不如争取合法安全爱好者成为盟友,为道德披露和潜在修复提供合理报酬。
如果恰巧遭遇令人毛骨悚然的零日威胁,那么支付亚马逊礼品卡之外的代价绝对是值得的(这绝对物有所值)。
工具的使用可能会增加安全人员的负担。
冗余的安全工具长期以来一直是个问题,平均每位首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。且不论这套工具堪称世界上最复杂(比喻意义上的)瑞士军刀,53%的企业表示甚至不确定这些工具能否有效运作。根据波尼蒙 研究所的研究显示,另一项调查揭示仅有17%的首席信息安全官认为其安全体系"完全有效"。
在这个以职业倦怠症、具备安全技能的人才短缺以及敏捷性需求著称的领域,安全专家被迫处理海量工具集的数据、报告和监控信息,这已成为沉重的负担。这种情境可能导致关键警报被忽视——恰恰是评估Log4j漏洞时可能出现的状况。
预防性安全措施必须包含开发人员主导的威胁建模。
代码层面的漏洞往往由开发人员引入,要掌握安全的编码技能,需要精确的指导和定期的学习路径。然而,对于下一级别的安全开发人员而言,他们获得了将威胁建模作为软件创建过程的一部分来学习和实践的机会。
那些最了解自家软件的人正是亲手编写它的开发者,这并不令人意外。他们深谙用户如何操作软件、功能应用场景,若对安全机制有充分认知,更能精准预判软件可能被破坏或滥用的风险场景。
回到Log4Shell漏洞利用的案例,我们遗憾地看到,即使是专家和复杂工具集也可能无法检测到这种致命漏洞。然而,若库文件能配置为对用户输入进行安全处理,此漏洞本可完全避免。而未采取该措施的决策——看似是为提升便利性而保留的模糊功能——却使漏洞极易被利用(想想SQL注入的难度吧,确实算不上高明)。倘若有一群精通安全且热忱的开发者团队进行威胁建模,这种情境很可能已被理论化并纳入考量。
优秀的安防方案蕴含情感因素,其核心在于解决人为问题时需要人类的介入与细微差异。要有效实施威胁建模,既需要同理心与经验积累,也需要在软件和应用程序架构层面实现安全编码与配置。这并非开发人员能一蹴而就的任务,但理想状态是为开发者铺设清晰的技能提升路径,使其能力达到能够分担安防团队压力的水平。 (同时这也是建立双方团队信任关系的绝佳途径)。
零日漏洞将延续至第n天
零日漏洞防护的下一阶段是尽快分发补丁。我们希望所有使用存在漏洞的软件的用户都能在攻击者行动前,尽早且可靠地完成补丁安装。Log4Shell的威胁在于其持久性和高危害性——尽管它可能被植入数百万台设备,并在整个软件构建过程中形成复杂的依赖关系,但其危害性甚至可能超越Heartbleed漏洞。
现实中,我们无法完全阻止此类阴险的攻击。但只要我们承诺竭尽所能打造高质量且安全的软件,并以开发关键基础设施的严谨态度投入开发工作,我们所有人都有机会赢得这场战斗。
零日攻击的本质在于,攻击者往往在系统开发者发现并修复潜在漏洞之前就已发起入侵。一旦受害,企业将陷入修复软件缺陷与挽回声誉的疯狂拉锯战。攻击者始终占据优势地位,因此封堵所有可能的漏洞至关重要。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
本文的版本已发布 SC杂志。本文经修订后由以下媒体联合发布:
若曾遭遇入室盗窃,您定会体会到:最初是种隐约的不安感,继而意识到自己确实遭受了财产损失与隐私侵犯。更不用说需要升级至堪比诺克斯堡的安防系统,这种不适感往往会持续良久。
试想小偷自己配了钥匙,结果把房子给撬坏了。他们悄无声息地进进出出,小心翼翼不被察觉。直到某天,才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被掏空,随身物品遭洗劫——但为时已晚。这与组织遭遇零日网络攻击时面临的现实如出一辙。2020年波奈蒙研究所的调查揭示:80%的数据泄露事件源于零日漏洞利用。遗憾的是,绝大多数企业尚未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者往往在系统开发者发现并修复潜在漏洞之前就已发起入侵。一旦受害,企业将陷入修复软件缺陷与挽回声誉的疯狂拉锯战。攻击者始终占据优势地位,因此封堵所有可能的漏洞至关重要。
Log4Shell这个无人想要的节日礼物正席卷互联网,据称超过十亿台设备受到这种毁灭性Java漏洞的影响。这正成为有史以来最严重的零日攻击,而它才刚刚开始。尽管如此,部分报告指出攻击早在漏洞公开数日前就已开始,2016年黑帽大会的演示内容表明该漏洞已存在相当长时间。痛心的是,更糟糕的是,该漏洞极易被利用,全球所有脚本小子和威胁行为者都正瞄准这个漏洞。
那么,除了软件开发过程中被忽视的漏洞之外,保护自己免受那些狡猾的威胁侵害的最佳方法是什么呢?让我们来看看。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,例如零日漏洞往往能卖出高价——本文撰写时,某漏洞正以250万美元的价格挂牌出售。虽然该漏洞被报告为针对苹果iOS系统的攻击,但安全研究人员开出的天价并不令人意外。毕竟,这实际上可能成为入侵数百万台设备、收集数十亿条机密数据记录的门户——在漏洞被发现并修复前,攻击者能借此持续作案至最后一刻。
然而,究竟谁拥有如此巨额资金呢?通常,有组织的网络犯罪集团会为高价值目标筹集资金,尤其针对热门的勒索软件攻击。但全球政府和国防部门其实是漏洞利用的潜在客户——它们为威胁情报支付费用。在更积极的场景中,企业自身可能成为潜在的零日漏洞购买者,从而减轻灾难性影响。
2021年,纪录被打破。大型组织、政府机构和基础设施最易成为零日漏洞的实时发现目标,面临被深入研究其弱点的风险。虽然无法完全防范零日攻击的可能性,但但通过设立慷慨且完善的漏洞赏金计划,可以一定程度"参与这场博弈"。与其坐等暗网市场有人出售软件城堡的钥匙,不如争取合法安全爱好者成为盟友,为道德披露和潜在修复提供合理报酬。
如果恰巧遭遇令人毛骨悚然的零日威胁,那么支付亚马逊礼品卡之外的代价绝对是值得的(这绝对物有所值)。
工具的使用可能会增加安全人员的负担。
冗余的安全工具长期以来一直是个问题,平均每位首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。且不论这套工具堪称世界上最复杂(比喻意义上的)瑞士军刀,53%的企业表示甚至不确定这些工具能否有效运作。根据波尼蒙 研究所的研究显示,另一项调查揭示仅有17%的首席信息安全官认为其安全体系"完全有效"。
在这个以职业倦怠症、具备安全技能的人才短缺以及敏捷性需求著称的领域,安全专家被迫处理海量工具集的数据、报告和监控信息,这已成为沉重的负担。这种情境可能导致关键警报被忽视——恰恰是评估Log4j漏洞时可能出现的状况。
预防性安全措施必须包含开发人员主导的威胁建模。
代码层面的漏洞往往由开发人员引入,要掌握安全的编码技能,需要精确的指导和定期的学习路径。然而,对于下一级别的安全开发人员而言,他们获得了将威胁建模作为软件创建过程的一部分来学习和实践的机会。
那些最了解自家软件的人正是亲手编写它的开发者,这并不令人意外。他们深谙用户如何操作软件、功能应用场景,若对安全机制有充分认知,更能精准预判软件可能被破坏或滥用的风险场景。
回到Log4Shell漏洞利用的案例,我们遗憾地看到,即使是专家和复杂工具集也可能无法检测到这种致命漏洞。然而,若库文件能配置为对用户输入进行安全处理,此漏洞本可完全避免。而未采取该措施的决策——看似是为提升便利性而保留的模糊功能——却使漏洞极易被利用(想想SQL注入的难度吧,确实算不上高明)。倘若有一群精通安全且热忱的开发者团队进行威胁建模,这种情境很可能已被理论化并纳入考量。
优秀的安防方案蕴含情感因素,其核心在于解决人为问题时需要人类的介入与细微差异。要有效实施威胁建模,既需要同理心与经验积累,也需要在软件和应用程序架构层面实现安全编码与配置。这并非开发人员能一蹴而就的任务,但理想状态是为开发者铺设清晰的技能提升路径,使其能力达到能够分担安防团队压力的水平。 (同时这也是建立双方团队信任关系的绝佳途径)。
零日漏洞将延续至第n天
零日漏洞防护的下一阶段是尽快分发补丁。我们希望所有使用存在漏洞的软件的用户都能在攻击者行动前,尽早且可靠地完成补丁安装。Log4Shell的威胁在于其持久性和高危害性——尽管它可能被植入数百万台设备,并在整个软件构建过程中形成复杂的依赖关系,但其危害性甚至可能超越Heartbleed漏洞。
现实中,我们无法完全阻止此类阴险的攻击。但只要我们承诺竭尽所能打造高质量且安全的软件,并以开发关键基础设施的严谨态度投入开发工作,我们所有人都有机会赢得这场战斗。
本文的版本已发布 SC杂志。本文经修订后由以下媒体联合发布:
若曾遭遇入室盗窃,您定会体会到:最初是种隐约的不安感,继而意识到自己确实遭受了财产损失与隐私侵犯。更不用说需要升级至堪比诺克斯堡的安防系统,这种不适感往往会持续良久。
试想小偷自己配了钥匙,结果把房子给撬坏了。他们悄无声息地进进出出,小心翼翼不被察觉。直到某天,才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被掏空,随身物品遭洗劫——但为时已晚。这与组织遭遇零日网络攻击时面临的现实如出一辙。2020年波奈蒙研究所的调查揭示:80%的数据泄露事件源于零日漏洞利用。遗憾的是,绝大多数企业尚未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者往往在系统开发者发现并修复潜在漏洞之前就已发起入侵。一旦受害,企业将陷入修复软件缺陷与挽回声誉的疯狂拉锯战。攻击者始终占据优势地位,因此封堵所有可能的漏洞至关重要。
Log4Shell这个无人想要的节日礼物正席卷互联网,据称超过十亿台设备受到这种毁灭性Java漏洞的影响。这正成为有史以来最严重的零日攻击,而它才刚刚开始。尽管如此,部分报告指出攻击早在漏洞公开数日前就已开始,2016年黑帽大会的演示内容表明该漏洞已存在相当长时间。痛心的是,更糟糕的是,该漏洞极易被利用,全球所有脚本小子和威胁行为者都正瞄准这个漏洞。
那么,除了软件开发过程中被忽视的漏洞之外,保护自己免受那些狡猾的威胁侵害的最佳方法是什么呢?让我们来看看。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,例如零日漏洞往往能卖出高价——本文撰写时,某漏洞正以250万美元的价格挂牌出售。虽然该漏洞被报告为针对苹果iOS系统的攻击,但安全研究人员开出的天价并不令人意外。毕竟,这实际上可能成为入侵数百万台设备、收集数十亿条机密数据记录的门户——在漏洞被发现并修复前,攻击者能借此持续作案至最后一刻。
然而,究竟谁拥有如此巨额资金呢?通常,有组织的网络犯罪集团会为高价值目标筹集资金,尤其针对热门的勒索软件攻击。但全球政府和国防部门其实是漏洞利用的潜在客户——它们为威胁情报支付费用。在更积极的场景中,企业自身可能成为潜在的零日漏洞购买者,从而减轻灾难性影响。
2021年,纪录被打破。大型组织、政府机构和基础设施最易成为零日漏洞的实时发现目标,面临被深入研究其弱点的风险。虽然无法完全防范零日攻击的可能性,但但通过设立慷慨且完善的漏洞赏金计划,可以一定程度"参与这场博弈"。与其坐等暗网市场有人出售软件城堡的钥匙,不如争取合法安全爱好者成为盟友,为道德披露和潜在修复提供合理报酬。
如果恰巧遭遇令人毛骨悚然的零日威胁,那么支付亚马逊礼品卡之外的代价绝对是值得的(这绝对物有所值)。
工具的使用可能会增加安全人员的负担。
冗余的安全工具长期以来一直是个问题,平均每位首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。且不论这套工具堪称世界上最复杂(比喻意义上的)瑞士军刀,53%的企业表示甚至不确定这些工具能否有效运作。根据波尼蒙 研究所的研究显示,另一项调查揭示仅有17%的首席信息安全官认为其安全体系"完全有效"。
在这个以职业倦怠症、具备安全技能的人才短缺以及敏捷性需求著称的领域,安全专家被迫处理海量工具集的数据、报告和监控信息,这已成为沉重的负担。这种情境可能导致关键警报被忽视——恰恰是评估Log4j漏洞时可能出现的状况。
预防性安全措施必须包含开发人员主导的威胁建模。
代码层面的漏洞往往由开发人员引入,要掌握安全的编码技能,需要精确的指导和定期的学习路径。然而,对于下一级别的安全开发人员而言,他们获得了将威胁建模作为软件创建过程的一部分来学习和实践的机会。
那些最了解自家软件的人正是亲手编写它的开发者,这并不令人意外。他们深谙用户如何操作软件、功能应用场景,若对安全机制有充分认知,更能精准预判软件可能被破坏或滥用的风险场景。
回到Log4Shell漏洞利用的案例,我们遗憾地看到,即使是专家和复杂工具集也可能无法检测到这种致命漏洞。然而,若库文件能配置为对用户输入进行安全处理,此漏洞本可完全避免。而未采取该措施的决策——看似是为提升便利性而保留的模糊功能——却使漏洞极易被利用(想想SQL注入的难度吧,确实算不上高明)。倘若有一群精通安全且热忱的开发者团队进行威胁建模,这种情境很可能已被理论化并纳入考量。
优秀的安防方案蕴含情感因素,其核心在于解决人为问题时需要人类的介入与细微差异。要有效实施威胁建模,既需要同理心与经验积累,也需要在软件和应用程序架构层面实现安全编码与配置。这并非开发人员能一蹴而就的任务,但理想状态是为开发者铺设清晰的技能提升路径,使其能力达到能够分担安防团队压力的水平。 (同时这也是建立双方团队信任关系的绝佳途径)。
零日漏洞将延续至第n天
零日漏洞防护的下一阶段是尽快分发补丁。我们希望所有使用存在漏洞的软件的用户都能在攻击者行动前,尽早且可靠地完成补丁安装。Log4Shell的威胁在于其持久性和高危害性——尽管它可能被植入数百万台设备,并在整个软件构建过程中形成复杂的依赖关系,但其危害性甚至可能超越Heartbleed漏洞。
现实中,我们无法完全阻止此类阴险的攻击。但只要我们承诺竭尽所能打造高质量且安全的软件,并以开发关键基础设施的严谨态度投入开发工作,我们所有人都有机会赢得这场战斗。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
本文的版本已发布 SC杂志。本文经修订后由以下媒体联合发布:
若曾遭遇入室盗窃,您定会体会到:最初是种隐约的不安感,继而意识到自己确实遭受了财产损失与隐私侵犯。更不用说需要升级至堪比诺克斯堡的安防系统,这种不适感往往会持续良久。
试想小偷自己配了钥匙,结果把房子给撬坏了。他们悄无声息地进进出出,小心翼翼不被察觉。直到某天,才惊觉藏在冷冻柜里的珠宝不翼而飞,保险箱被掏空,随身物品遭洗劫——但为时已晚。这与组织遭遇零日网络攻击时面临的现实如出一辙。2020年波奈蒙研究所的调查揭示:80%的数据泄露事件源于零日漏洞利用。遗憾的是,绝大多数企业尚未做好充分准备来显著改善这一数据。
零日攻击的本质在于,攻击者往往在系统开发者发现并修复潜在漏洞之前就已发起入侵。一旦受害,企业将陷入修复软件缺陷与挽回声誉的疯狂拉锯战。攻击者始终占据优势地位,因此封堵所有可能的漏洞至关重要。
Log4Shell这个无人想要的节日礼物正席卷互联网,据称超过十亿台设备受到这种毁灭性Java漏洞的影响。这正成为有史以来最严重的零日攻击,而它才刚刚开始。尽管如此,部分报告指出攻击早在漏洞公开数日前就已开始,2016年黑帽大会的演示内容表明该漏洞已存在相当长时间。痛心的是,更糟糕的是,该漏洞极易被利用,全球所有脚本小子和威胁行为者都正瞄准这个漏洞。
那么,除了软件开发过程中被忽视的漏洞之外,保护自己免受那些狡猾的威胁侵害的最佳方法是什么呢?让我们来看看。
针对大型目标的零日攻击较为罕见(且成本高昂)
暗网存在着庞大的漏洞利用市场,例如零日漏洞往往能卖出高价——本文撰写时,某漏洞正以250万美元的价格挂牌出售。虽然该漏洞被报告为针对苹果iOS系统的攻击,但安全研究人员开出的天价并不令人意外。毕竟,这实际上可能成为入侵数百万台设备、收集数十亿条机密数据记录的门户——在漏洞被发现并修复前,攻击者能借此持续作案至最后一刻。
然而,究竟谁拥有如此巨额资金呢?通常,有组织的网络犯罪集团会为高价值目标筹集资金,尤其针对热门的勒索软件攻击。但全球政府和国防部门其实是漏洞利用的潜在客户——它们为威胁情报支付费用。在更积极的场景中,企业自身可能成为潜在的零日漏洞购买者,从而减轻灾难性影响。
2021年,纪录被打破。大型组织、政府机构和基础设施最易成为零日漏洞的实时发现目标,面临被深入研究其弱点的风险。虽然无法完全防范零日攻击的可能性,但但通过设立慷慨且完善的漏洞赏金计划,可以一定程度"参与这场博弈"。与其坐等暗网市场有人出售软件城堡的钥匙,不如争取合法安全爱好者成为盟友,为道德披露和潜在修复提供合理报酬。
如果恰巧遭遇令人毛骨悚然的零日威胁,那么支付亚马逊礼品卡之外的代价绝对是值得的(这绝对物有所值)。
工具的使用可能会增加安全人员的负担。
冗余的安全工具长期以来一直是个问题,平均每位首席信息安全官(CISO)在其安全工具库中管理着55至75种工具。且不论这套工具堪称世界上最复杂(比喻意义上的)瑞士军刀,53%的企业表示甚至不确定这些工具能否有效运作。根据波尼蒙 研究所的研究显示,另一项调查揭示仅有17%的首席信息安全官认为其安全体系"完全有效"。
在这个以职业倦怠症、具备安全技能的人才短缺以及敏捷性需求著称的领域,安全专家被迫处理海量工具集的数据、报告和监控信息,这已成为沉重的负担。这种情境可能导致关键警报被忽视——恰恰是评估Log4j漏洞时可能出现的状况。
预防性安全措施必须包含开发人员主导的威胁建模。
代码层面的漏洞往往由开发人员引入,要掌握安全的编码技能,需要精确的指导和定期的学习路径。然而,对于下一级别的安全开发人员而言,他们获得了将威胁建模作为软件创建过程的一部分来学习和实践的机会。
那些最了解自家软件的人正是亲手编写它的开发者,这并不令人意外。他们深谙用户如何操作软件、功能应用场景,若对安全机制有充分认知,更能精准预判软件可能被破坏或滥用的风险场景。
回到Log4Shell漏洞利用的案例,我们遗憾地看到,即使是专家和复杂工具集也可能无法检测到这种致命漏洞。然而,若库文件能配置为对用户输入进行安全处理,此漏洞本可完全避免。而未采取该措施的决策——看似是为提升便利性而保留的模糊功能——却使漏洞极易被利用(想想SQL注入的难度吧,确实算不上高明)。倘若有一群精通安全且热忱的开发者团队进行威胁建模,这种情境很可能已被理论化并纳入考量。
优秀的安防方案蕴含情感因素,其核心在于解决人为问题时需要人类的介入与细微差异。要有效实施威胁建模,既需要同理心与经验积累,也需要在软件和应用程序架构层面实现安全编码与配置。这并非开发人员能一蹴而就的任务,但理想状态是为开发者铺设清晰的技能提升路径,使其能力达到能够分担安防团队压力的水平。 (同时这也是建立双方团队信任关系的绝佳途径)。
零日漏洞将延续至第n天
零日漏洞防护的下一阶段是尽快分发补丁。我们希望所有使用存在漏洞的软件的用户都能在攻击者行动前,尽早且可靠地完成补丁安装。Log4Shell的威胁在于其持久性和高危害性——尽管它可能被植入数百万台设备,并在整个软件构建过程中形成复杂的依赖关系,但其危害性甚至可能超越Heartbleed漏洞。
现实中,我们无法完全阻止此类阴险的攻击。但只要我们承诺竭尽所能打造高质量且安全的软件,并以开发关键基础设施的严谨态度投入开发工作,我们所有人都有机会赢得这场战斗。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
