我们需要在 AppSec 荒地中进行变革:我对2019年的预测
对于网络安全专业人员来说,2018年是丰收的一年。尽管有人警告要更加认真地对待安全问题,但新闻界却持续不断 培育更多安防行业人才 再加上提高组织网络意识的普遍尝试,我们只能盯着数百次网络攻击留下的烟坑,这些攻击代表着大规模的数据泄露和消费者对一些家喻户晓的名字的不信任。仅在2018年的上半年, 45 亿条数据记录遭到泄露 在 945 起单独的事件中。
我之前已经说过很多次了:我们可以做得更好。但是,我们面临的真正战斗不是与剧本小子、危险的有组织网络犯罪集团或身穿连帽衫的神秘人物在笔记本电脑上打字,而是要让更多的人关心这些漏洞的发生。
GDPR 合规性是一个良好的开端,但不会产生巨大的短期影响。
欧盟的 《通用数据保护条例》 (GDPR) 法律现已全面实施;对于不认真对待数据保护的组织来说,这是一个迫在眉睫的威胁。由于被认定违规者将被处以巨额罚款,这本来是为了让公司加强安全措施,更加尊重客户数据,并制定缓解网络攻击的策略。
一些组织被警告将处以巨额罚款,但我们尚未看到因未能遵守GDPR而产生的真正后果。没有破产处罚,只有很多弹出窗口可供我们的网络用户点击。部分原因是法律程序需要花费大量时间,还有很多上诉机会——任何可能以此为例的公司都可能参与长达数月或数年的法律斗争。他们最近报告了另一起数据泄露事件:一个API漏洞使680万用户的私人照片暴露给了1500个未经授权的应用程序,从而结束了Facebook的噩梦之年。它在两周内被发现并修补,但数据保护机构和公众直到几个月后才得知违规行为。GDPR 法律要求在 72 小时内通知违规行为,因此 引发了很多关于这些法律的实际影响力和有效性的问题 目前。
当然,其他地方的违规行为并未停止:11月 万豪违约行为 透露高达5亿条数据记录遭到泄露,可能更令人担忧的是,攻击者在被发现之前已经访问了他们的系统四年。但是,应该指出的是,万豪似乎正在从事 一些 伤害控制:他们为受害者提供了 免费订阅 WebWatcher 12 个月,一种信用监控工具... 但是有5亿条记录可供黑客筛选,对于大多数人来说,一年是否足以监控任何有意义的事情还有待观察;毕竟,你的数据可能要过几年才能被突出显示以供不道德使用。
长期而言,像 GDPR 这样的法规 将 如果它们得到执行,则推动积极的变革。当公司遭受巨额罚款(或者实际上是数据泄露的客户提起的集体诉讼)或利润下滑的时间足够长时,我相信我们会看到大多数公司疯狂地专注于强化在线数据库。
金融机构将继续在短期积极变革中处于领先地位。
金融机构——作为世界来之不易的现金的看门人——拥有一些最严格的网络安全最佳实践政策以及降低风险的端到端流程,这可能不足为奇。
这种合规性的一个重要驱动因素来自 PCI 安全标准委员会,他们仍然致力于帮助金融组织实施可行的安全政策并遵守所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们通常更具安全意识,他们将资源专门用于全面的培训计划,不仅面向 AppSec 专业人员和笔试人员,还包括他们(通常非常庞大且分散在全球的)开发团队。他们确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;他们必须与所使用的技术一样迅速发展,并适应可变的风险。
更多的组织将改造其安全管道。
与其他IT部门相比,AppSec相对年轻。成为新孩子很难:你很容易被误解,可能还没有形成你需要的关键关系。但是,我相信,随着时间的流逝,即使是抵制变革的最过时的组织中,AppSec也越来越容易找到自己的位置。
越来越明显的是,公司无法将安全合规性作为其软件流程的最后一刻。必须进行点对点的检查和措施,更加注重汇总数据,提高企业管理层的可见性。否则,安全性将遥不可及,对大多数人来说是无意识的。在这种情况下,几乎不可能收集风险规划所需的资源。
好消息是,发现自己的网络攻击并努力修复这些攻击的组织比以往任何时候都多。坏消息?该过程的平均值为 八十五天。
在技术领域必须快速创新和功能制作的时代,笔试工具和手动代码审查既艰巨、昂贵又缓慢。安全意识必须从一开始就贯彻始终:从开发人员的那一刻起 首先写代码。
我们的行业将认识到主要问题:我们需要人们更多地关心。
问题是:我可以保守地算出我的网络中有二十个人在过去四年的某个时候曾住过万豪酒店。在此期间,有5亿条记录被盗,他们的数据很可能是盗窃的一部分。从当前的联系信息,仍然有效的信用卡号和护照信息,所有内容现在都可以在暗网上出售。但是,他们的护理因子基本为零。
而且,好吧,在如此大规模的数据盗窃中,你本质上是大海捞针,很容易沾沾自喜。
但是,真正的问题是什么?未能保护自己客户数据安全的公司几乎没有受到任何影响。事件发生后,他们的股价是否立即受到冲击?你打赌确实如此。塔吉特、Equifax和现在的万豪都可以证明这一点。但是,十二个月的概述显示,恢复正常的速度相当快。几年后,在经济上,一切都被原谅了。
在出现严重影响:巨额罚款、更严格的监管和重大业务损失之前,AppSec将是一个必须不断努力传达公司面临的日益严重的网络风险的严重性的行业。
我担心情况在好转之前会变得更糟,因此,我们必须努力在组织技术团队的第一线培养具有安全意识的开发人员和强大的安全文化。将其放在首位,并继续努力实现更高的软件安全标准。
首席执行官、主席和联合创始人
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
对于网络安全专业人员来说,2018年是丰收的一年。尽管有人警告要更加认真地对待安全问题,但新闻界却持续不断 培育更多安防行业人才 再加上提高组织网络意识的普遍尝试,我们只能盯着数百次网络攻击留下的烟坑,这些攻击代表着大规模的数据泄露和消费者对一些家喻户晓的名字的不信任。仅在2018年的上半年, 45 亿条数据记录遭到泄露 在 945 起单独的事件中。
我之前已经说过很多次了:我们可以做得更好。但是,我们面临的真正战斗不是与剧本小子、危险的有组织网络犯罪集团或身穿连帽衫的神秘人物在笔记本电脑上打字,而是要让更多的人关心这些漏洞的发生。
GDPR 合规性是一个良好的开端,但不会产生巨大的短期影响。
欧盟的 《通用数据保护条例》 (GDPR) 法律现已全面实施;对于不认真对待数据保护的组织来说,这是一个迫在眉睫的威胁。由于被认定违规者将被处以巨额罚款,这本来是为了让公司加强安全措施,更加尊重客户数据,并制定缓解网络攻击的策略。
一些组织被警告将处以巨额罚款,但我们尚未看到因未能遵守GDPR而产生的真正后果。没有破产处罚,只有很多弹出窗口可供我们的网络用户点击。部分原因是法律程序需要花费大量时间,还有很多上诉机会——任何可能以此为例的公司都可能参与长达数月或数年的法律斗争。他们最近报告了另一起数据泄露事件:一个API漏洞使680万用户的私人照片暴露给了1500个未经授权的应用程序,从而结束了Facebook的噩梦之年。它在两周内被发现并修补,但数据保护机构和公众直到几个月后才得知违规行为。GDPR 法律要求在 72 小时内通知违规行为,因此 引发了很多关于这些法律的实际影响力和有效性的问题 目前。
当然,其他地方的违规行为并未停止:11月 万豪违约行为 透露高达5亿条数据记录遭到泄露,可能更令人担忧的是,攻击者在被发现之前已经访问了他们的系统四年。但是,应该指出的是,万豪似乎正在从事 一些 伤害控制:他们为受害者提供了 免费订阅 WebWatcher 12 个月,一种信用监控工具... 但是有5亿条记录可供黑客筛选,对于大多数人来说,一年是否足以监控任何有意义的事情还有待观察;毕竟,你的数据可能要过几年才能被突出显示以供不道德使用。
长期而言,像 GDPR 这样的法规 将 如果它们得到执行,则推动积极的变革。当公司遭受巨额罚款(或者实际上是数据泄露的客户提起的集体诉讼)或利润下滑的时间足够长时,我相信我们会看到大多数公司疯狂地专注于强化在线数据库。
金融机构将继续在短期积极变革中处于领先地位。
金融机构——作为世界来之不易的现金的看门人——拥有一些最严格的网络安全最佳实践政策以及降低风险的端到端流程,这可能不足为奇。
这种合规性的一个重要驱动因素来自 PCI 安全标准委员会,他们仍然致力于帮助金融组织实施可行的安全政策并遵守所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们通常更具安全意识,他们将资源专门用于全面的培训计划,不仅面向 AppSec 专业人员和笔试人员,还包括他们(通常非常庞大且分散在全球的)开发团队。他们确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;他们必须与所使用的技术一样迅速发展,并适应可变的风险。
更多的组织将改造其安全管道。
与其他IT部门相比,AppSec相对年轻。成为新孩子很难:你很容易被误解,可能还没有形成你需要的关键关系。但是,我相信,随着时间的流逝,即使是抵制变革的最过时的组织中,AppSec也越来越容易找到自己的位置。
越来越明显的是,公司无法将安全合规性作为其软件流程的最后一刻。必须进行点对点的检查和措施,更加注重汇总数据,提高企业管理层的可见性。否则,安全性将遥不可及,对大多数人来说是无意识的。在这种情况下,几乎不可能收集风险规划所需的资源。
好消息是,发现自己的网络攻击并努力修复这些攻击的组织比以往任何时候都多。坏消息?该过程的平均值为 八十五天。
在技术领域必须快速创新和功能制作的时代,笔试工具和手动代码审查既艰巨、昂贵又缓慢。安全意识必须从一开始就贯彻始终:从开发人员的那一刻起 首先写代码。
我们的行业将认识到主要问题:我们需要人们更多地关心。
问题是:我可以保守地算出我的网络中有二十个人在过去四年的某个时候曾住过万豪酒店。在此期间,有5亿条记录被盗,他们的数据很可能是盗窃的一部分。从当前的联系信息,仍然有效的信用卡号和护照信息,所有内容现在都可以在暗网上出售。但是,他们的护理因子基本为零。
而且,好吧,在如此大规模的数据盗窃中,你本质上是大海捞针,很容易沾沾自喜。
但是,真正的问题是什么?未能保护自己客户数据安全的公司几乎没有受到任何影响。事件发生后,他们的股价是否立即受到冲击?你打赌确实如此。塔吉特、Equifax和现在的万豪都可以证明这一点。但是,十二个月的概述显示,恢复正常的速度相当快。几年后,在经济上,一切都被原谅了。
在出现严重影响:巨额罚款、更严格的监管和重大业务损失之前,AppSec将是一个必须不断努力传达公司面临的日益严重的网络风险的严重性的行业。
我担心情况在好转之前会变得更糟,因此,我们必须努力在组织技术团队的第一线培养具有安全意识的开发人员和强大的安全文化。将其放在首位,并继续努力实现更高的软件安全标准。
对于网络安全专业人员来说,2018年是丰收的一年。尽管有人警告要更加认真地对待安全问题,但新闻界却持续不断 培育更多安防行业人才 再加上提高组织网络意识的普遍尝试,我们只能盯着数百次网络攻击留下的烟坑,这些攻击代表着大规模的数据泄露和消费者对一些家喻户晓的名字的不信任。仅在2018年的上半年, 45 亿条数据记录遭到泄露 在 945 起单独的事件中。
我之前已经说过很多次了:我们可以做得更好。但是,我们面临的真正战斗不是与剧本小子、危险的有组织网络犯罪集团或身穿连帽衫的神秘人物在笔记本电脑上打字,而是要让更多的人关心这些漏洞的发生。
GDPR 合规性是一个良好的开端,但不会产生巨大的短期影响。
欧盟的 《通用数据保护条例》 (GDPR) 法律现已全面实施;对于不认真对待数据保护的组织来说,这是一个迫在眉睫的威胁。由于被认定违规者将被处以巨额罚款,这本来是为了让公司加强安全措施,更加尊重客户数据,并制定缓解网络攻击的策略。
一些组织被警告将处以巨额罚款,但我们尚未看到因未能遵守GDPR而产生的真正后果。没有破产处罚,只有很多弹出窗口可供我们的网络用户点击。部分原因是法律程序需要花费大量时间,还有很多上诉机会——任何可能以此为例的公司都可能参与长达数月或数年的法律斗争。他们最近报告了另一起数据泄露事件:一个API漏洞使680万用户的私人照片暴露给了1500个未经授权的应用程序,从而结束了Facebook的噩梦之年。它在两周内被发现并修补,但数据保护机构和公众直到几个月后才得知违规行为。GDPR 法律要求在 72 小时内通知违规行为,因此 引发了很多关于这些法律的实际影响力和有效性的问题 目前。
当然,其他地方的违规行为并未停止:11月 万豪违约行为 透露高达5亿条数据记录遭到泄露,可能更令人担忧的是,攻击者在被发现之前已经访问了他们的系统四年。但是,应该指出的是,万豪似乎正在从事 一些 伤害控制:他们为受害者提供了 免费订阅 WebWatcher 12 个月,一种信用监控工具... 但是有5亿条记录可供黑客筛选,对于大多数人来说,一年是否足以监控任何有意义的事情还有待观察;毕竟,你的数据可能要过几年才能被突出显示以供不道德使用。
长期而言,像 GDPR 这样的法规 将 如果它们得到执行,则推动积极的变革。当公司遭受巨额罚款(或者实际上是数据泄露的客户提起的集体诉讼)或利润下滑的时间足够长时,我相信我们会看到大多数公司疯狂地专注于强化在线数据库。
金融机构将继续在短期积极变革中处于领先地位。
金融机构——作为世界来之不易的现金的看门人——拥有一些最严格的网络安全最佳实践政策以及降低风险的端到端流程,这可能不足为奇。
这种合规性的一个重要驱动因素来自 PCI 安全标准委员会,他们仍然致力于帮助金融组织实施可行的安全政策并遵守所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们通常更具安全意识,他们将资源专门用于全面的培训计划,不仅面向 AppSec 专业人员和笔试人员,还包括他们(通常非常庞大且分散在全球的)开发团队。他们确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;他们必须与所使用的技术一样迅速发展,并适应可变的风险。
更多的组织将改造其安全管道。
与其他IT部门相比,AppSec相对年轻。成为新孩子很难:你很容易被误解,可能还没有形成你需要的关键关系。但是,我相信,随着时间的流逝,即使是抵制变革的最过时的组织中,AppSec也越来越容易找到自己的位置。
越来越明显的是,公司无法将安全合规性作为其软件流程的最后一刻。必须进行点对点的检查和措施,更加注重汇总数据,提高企业管理层的可见性。否则,安全性将遥不可及,对大多数人来说是无意识的。在这种情况下,几乎不可能收集风险规划所需的资源。
好消息是,发现自己的网络攻击并努力修复这些攻击的组织比以往任何时候都多。坏消息?该过程的平均值为 八十五天。
在技术领域必须快速创新和功能制作的时代,笔试工具和手动代码审查既艰巨、昂贵又缓慢。安全意识必须从一开始就贯彻始终:从开发人员的那一刻起 首先写代码。
我们的行业将认识到主要问题:我们需要人们更多地关心。
问题是:我可以保守地算出我的网络中有二十个人在过去四年的某个时候曾住过万豪酒店。在此期间,有5亿条记录被盗,他们的数据很可能是盗窃的一部分。从当前的联系信息,仍然有效的信用卡号和护照信息,所有内容现在都可以在暗网上出售。但是,他们的护理因子基本为零。
而且,好吧,在如此大规模的数据盗窃中,你本质上是大海捞针,很容易沾沾自喜。
但是,真正的问题是什么?未能保护自己客户数据安全的公司几乎没有受到任何影响。事件发生后,他们的股价是否立即受到冲击?你打赌确实如此。塔吉特、Equifax和现在的万豪都可以证明这一点。但是,十二个月的概述显示,恢复正常的速度相当快。几年后,在经济上,一切都被原谅了。
在出现严重影响:巨额罚款、更严格的监管和重大业务损失之前,AppSec将是一个必须不断努力传达公司面临的日益严重的网络风险的严重性的行业。
我担心情况在好转之前会变得更糟,因此,我们必须努力在组织技术团队的第一线培养具有安全意识的开发人员和强大的安全文化。将其放在首位,并继续努力实现更高的软件安全标准。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
对于网络安全专业人员来说,2018年是丰收的一年。尽管有人警告要更加认真地对待安全问题,但新闻界却持续不断 培育更多安防行业人才 再加上提高组织网络意识的普遍尝试,我们只能盯着数百次网络攻击留下的烟坑,这些攻击代表着大规模的数据泄露和消费者对一些家喻户晓的名字的不信任。仅在2018年的上半年, 45 亿条数据记录遭到泄露 在 945 起单独的事件中。
我之前已经说过很多次了:我们可以做得更好。但是,我们面临的真正战斗不是与剧本小子、危险的有组织网络犯罪集团或身穿连帽衫的神秘人物在笔记本电脑上打字,而是要让更多的人关心这些漏洞的发生。
GDPR 合规性是一个良好的开端,但不会产生巨大的短期影响。
欧盟的 《通用数据保护条例》 (GDPR) 法律现已全面实施;对于不认真对待数据保护的组织来说,这是一个迫在眉睫的威胁。由于被认定违规者将被处以巨额罚款,这本来是为了让公司加强安全措施,更加尊重客户数据,并制定缓解网络攻击的策略。
一些组织被警告将处以巨额罚款,但我们尚未看到因未能遵守GDPR而产生的真正后果。没有破产处罚,只有很多弹出窗口可供我们的网络用户点击。部分原因是法律程序需要花费大量时间,还有很多上诉机会——任何可能以此为例的公司都可能参与长达数月或数年的法律斗争。他们最近报告了另一起数据泄露事件:一个API漏洞使680万用户的私人照片暴露给了1500个未经授权的应用程序,从而结束了Facebook的噩梦之年。它在两周内被发现并修补,但数据保护机构和公众直到几个月后才得知违规行为。GDPR 法律要求在 72 小时内通知违规行为,因此 引发了很多关于这些法律的实际影响力和有效性的问题 目前。
当然,其他地方的违规行为并未停止:11月 万豪违约行为 透露高达5亿条数据记录遭到泄露,可能更令人担忧的是,攻击者在被发现之前已经访问了他们的系统四年。但是,应该指出的是,万豪似乎正在从事 一些 伤害控制:他们为受害者提供了 免费订阅 WebWatcher 12 个月,一种信用监控工具... 但是有5亿条记录可供黑客筛选,对于大多数人来说,一年是否足以监控任何有意义的事情还有待观察;毕竟,你的数据可能要过几年才能被突出显示以供不道德使用。
长期而言,像 GDPR 这样的法规 将 如果它们得到执行,则推动积极的变革。当公司遭受巨额罚款(或者实际上是数据泄露的客户提起的集体诉讼)或利润下滑的时间足够长时,我相信我们会看到大多数公司疯狂地专注于强化在线数据库。
金融机构将继续在短期积极变革中处于领先地位。
金融机构——作为世界来之不易的现金的看门人——拥有一些最严格的网络安全最佳实践政策以及降低风险的端到端流程,这可能不足为奇。
这种合规性的一个重要驱动因素来自 PCI 安全标准委员会,他们仍然致力于帮助金融组织实施可行的安全政策并遵守所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们通常更具安全意识,他们将资源专门用于全面的培训计划,不仅面向 AppSec 专业人员和笔试人员,还包括他们(通常非常庞大且分散在全球的)开发团队。他们确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;他们必须与所使用的技术一样迅速发展,并适应可变的风险。
更多的组织将改造其安全管道。
与其他IT部门相比,AppSec相对年轻。成为新孩子很难:你很容易被误解,可能还没有形成你需要的关键关系。但是,我相信,随着时间的流逝,即使是抵制变革的最过时的组织中,AppSec也越来越容易找到自己的位置。
越来越明显的是,公司无法将安全合规性作为其软件流程的最后一刻。必须进行点对点的检查和措施,更加注重汇总数据,提高企业管理层的可见性。否则,安全性将遥不可及,对大多数人来说是无意识的。在这种情况下,几乎不可能收集风险规划所需的资源。
好消息是,发现自己的网络攻击并努力修复这些攻击的组织比以往任何时候都多。坏消息?该过程的平均值为 八十五天。
在技术领域必须快速创新和功能制作的时代,笔试工具和手动代码审查既艰巨、昂贵又缓慢。安全意识必须从一开始就贯彻始终:从开发人员的那一刻起 首先写代码。
我们的行业将认识到主要问题:我们需要人们更多地关心。
问题是:我可以保守地算出我的网络中有二十个人在过去四年的某个时候曾住过万豪酒店。在此期间,有5亿条记录被盗,他们的数据很可能是盗窃的一部分。从当前的联系信息,仍然有效的信用卡号和护照信息,所有内容现在都可以在暗网上出售。但是,他们的护理因子基本为零。
而且,好吧,在如此大规模的数据盗窃中,你本质上是大海捞针,很容易沾沾自喜。
但是,真正的问题是什么?未能保护自己客户数据安全的公司几乎没有受到任何影响。事件发生后,他们的股价是否立即受到冲击?你打赌确实如此。塔吉特、Equifax和现在的万豪都可以证明这一点。但是,十二个月的概述显示,恢复正常的速度相当快。几年后,在经济上,一切都被原谅了。
在出现严重影响:巨额罚款、更严格的监管和重大业务损失之前,AppSec将是一个必须不断努力传达公司面临的日益严重的网络风险的严重性的行业。
我担心情况在好转之前会变得更糟,因此,我们必须努力在组织技术团队的第一线培养具有安全意识的开发人员和强大的安全文化。将其放在首位,并继续努力实现更高的软件安全标准。
%20(1).avif)
.avif)
