2022年我们不能忽视的网络安全问题
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。
过去两年对每个人来说都是一场激烈的洗礼,但是大多数组织的网络安全蓝图都经受了考验,因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业,我们确实必须加大赌注并进行调整,尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300% 自从大流行开始以来。
我们都吸取了一些教训,令我感到欣慰的是,不仅普遍的网络安全受到更加认真对待,代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来,尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法, 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。
话虽如此,在打击网络犯罪分子时,我们需要尽可能与他们保持一致,以预防的心态抢占他们的游乐场。
我认为来年他们可能会开始掀起波澜:
元宇宙是一个新的攻击面
元宇宙可能是互联网的下一次演变,但大多数行业保护软件和数字环境的方式尚未实现类似的转变。
虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的(而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱),但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似,虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全,需要越来越复杂的嵌入式系统安全性,主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样,代码级别的简单错误可能会成为威胁参与者的后台通行证,而在模拟现实中,每一个动作都会产生可能被盗的数据。
尽管处于起步阶段,但成功的元宇宙将需要切实采用加密货币(而不仅仅是随机囤积最新的模因币)和NFT等有价值的物品,这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前,从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。
Log4Shell 之后的立法
对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说,我认为假期不会是一个愉快的时光。
这种未修补的攻击是 是有记录以来最差的,将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守,我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显,即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此,但许多组织的行动速度仍然不够快,无法保护自己。根据公司的规模,补丁可能非常困难和官僚主义,需要跨部门的文档和实施。通常,IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书,并且受到严格的部署时间表的阻碍,以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的(阅读:没有人愿意在工作中大放异彩然后破坏某些东西),但是补丁太慢就是坐视不管。
就像 SolarWinds 攻击 改变了软件供应链的游戏规则,我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业,广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会,但是安全最佳实践规定,修补是一项不可谈判的优先措施。我认为这将是一个热门话题,并提出了一些不太微妙的建议,可以快速且经常地进行补丁。
更加重视架构安全(而开发人员还没准备好)
新的 OWASP 2021 年前 10 名 有一些重要的新增内容,令人惊讶的是,注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”,遗憾的是,除非经过适当的培训,否则大多数人没有能力对降低风险产生积极影响。
一段时间以来,我们已经知道,如果我们要解决代码中常见的安全漏洞,开发人员必须具备安全技能,而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是,随着 不安全的设计 在OWASP前10名中占有一席之地,并且是架构安全问题的一类而不是单一类型的安全漏洞,开发人员一旦掌握了基础知识,就需要超越基础知识。一旦开发人员成功提高技能,涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力,但就目前而言,对于大多数软件工程师来说,这是一个巨大的知识差距。
应对这种情况 “需要一个村庄”,该组织可以在为开发人员创造积极的安全文化方面发挥作用,在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
