未修补的攻击呈上升趋势。是时候规划防御优势了。
这篇文章的一个版本出现在 SC杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼自己制作了钥匙。他们四处爬行,随心所欲地进进出出,但行事谨慎以防被发现。然后,某天你发现藏在冰箱里的珠宝不见了,保险箱被清空,个人物品被洗劫一空——为时已晚。这与组织成为零日网络攻击受害者时面临的现实如出一辙。2020年,Ponemon研究所的研究表明80%的成功数据泄露源于未修补漏洞的利用,遗憾的是,多数企业至今仍无力显著改善这一统计数据。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者率先入侵。损害已然造成,随后便是疯狂地争分夺秒修复软件漏洞并挽回企业声誉损失。攻击者始终占据优势地位,尽可能缩小这种优势至关重要。
没人想要的节日礼物——Log4Shell——正肆虐互联网,据称超过十亿台设备受到这个灾难性Java漏洞的影响。这将成为有史以来最严重的零日攻击,而我们才刚刚开始。尽管有报道称漏洞利用早在公开披露前几天就已开始,但2016年黑帽大会上的演讲表明,这其实是个已知问题。哎哟。更糟的是,它极易被利用,而且地球上每个脚本小子和威胁行为者都在利用这个漏洞牟利。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场规模庞大,零日漏洞往往价格不菲。以本文所述案例为例,撰稿时其挂牌价高达250万美元。据悉该漏洞存在于苹果iOS系统中,安全研究人员开出高价也就不足为奇了——毕竟这确实可能成为入侵数百万台设备、收集数十亿条敏感数据记录的门户,更能在漏洞被发现修复前尽可能延长攻击时间。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。然而,全球政府和国防部门是威胁情报漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就能减轻灾难。
2021年创下了实时未修补漏洞发现的纪录,而大型组织、政府部门和基础设施最可能成为漏洞调查的目标。虽然无法完全避免零日攻击的风险,但你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩转”游戏。与其坐等黑市出售软件城堡的钥匙,不如让合法的安全爱好者成为你的盟友——为道德披露和潜在修复提供丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理从55到75个不等的工具在其安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率,根据一项由Ponemon研究所提供的研究。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以精疲力竭、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是沉重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估Log4j的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能、何时具备足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们将这个问题带回Log4Shell漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,然而,若库配置为对用户输入进行消毒,这种情况本可完全避免。出于便利性考虑而放弃此项操作的决定看似微不足道,却极易被利用(想想SQL注入级别的漏洞——这绝非天才之作)。倘若威胁建模由一群敏锐且精通安全的开发人员完成,这种情境很可能在理论层面就已被预见并纳入考量。
一个优秀的安全计划包含情感因素,人为干预与细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件与应用程序架构层面的安全编码和配置亦是如此。这并非开发人员应在一夜之间陷入的困境,但确实存在一条明确路径——通过提升他们的技能,使其能够减轻安全团队完成这项重要任务的压力,这既是理想的方式(也是建立两个团队之间融洽关系的良策)。
零日导致 n 天
处理未修补漏洞的下一步是尽快发布补丁,他强烈希望所有易受攻击软件的用户都能尽快应用补丁——当然要赶在攻击者下手之前。Log4Shell漏洞的危害性可能让Heartbleed相形见绌:它已植入数百万台设备,并在整个软件版本中形成复杂的依赖关系,其持久性和破坏力都极为惊人。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者率先入侵。损害已然造成,随后便是疯狂地争分夺秒修复软件漏洞并挽回企业声誉损失。攻击者始终占据优势地位,尽可能缩小这种优势至关重要。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 SC杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼自己制作了钥匙。他们四处爬行,随心所欲地进进出出,但行事谨慎以防被发现。然后,某天你发现藏在冰箱里的珠宝不见了,保险箱被清空,个人物品被洗劫一空——为时已晚。这与组织成为零日网络攻击受害者时面临的现实如出一辙。2020年,Ponemon研究所的研究表明80%的成功数据泄露源于未修补漏洞的利用,遗憾的是,多数企业至今仍无力显著改善这一统计数据。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者率先入侵。损害已然造成,随后便是疯狂地争分夺秒修复软件漏洞并挽回企业声誉损失。攻击者始终占据优势地位,尽可能缩小这种优势至关重要。
没人想要的节日礼物——Log4Shell——正肆虐互联网,据称超过十亿台设备受到这个灾难性Java漏洞的影响。这将成为有史以来最严重的零日攻击,而我们才刚刚开始。尽管有报道称漏洞利用早在公开披露前几天就已开始,但2016年黑帽大会上的演讲表明,这其实是个已知问题。哎哟。更糟的是,它极易被利用,而且地球上每个脚本小子和威胁行为者都在利用这个漏洞牟利。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场规模庞大,零日漏洞往往价格不菲。以本文所述案例为例,撰稿时其挂牌价高达250万美元。据悉该漏洞存在于苹果iOS系统中,安全研究人员开出高价也就不足为奇了——毕竟这确实可能成为入侵数百万台设备、收集数十亿条敏感数据记录的门户,更能在漏洞被发现修复前尽可能延长攻击时间。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。然而,全球政府和国防部门是威胁情报漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就能减轻灾难。
2021年创下了实时未修补漏洞发现的纪录,而大型组织、政府部门和基础设施最可能成为漏洞调查的目标。虽然无法完全避免零日攻击的风险,但你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩转”游戏。与其坐等黑市出售软件城堡的钥匙,不如让合法的安全爱好者成为你的盟友——为道德披露和潜在修复提供丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理从55到75个不等的工具在其安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率,根据一项由Ponemon研究所提供的研究。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以精疲力竭、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是沉重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估Log4j的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能、何时具备足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们将这个问题带回Log4Shell漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,然而,若库配置为对用户输入进行消毒,这种情况本可完全避免。出于便利性考虑而放弃此项操作的决定看似微不足道,却极易被利用(想想SQL注入级别的漏洞——这绝非天才之作)。倘若威胁建模由一群敏锐且精通安全的开发人员完成,这种情境很可能在理论层面就已被预见并纳入考量。
一个优秀的安全计划包含情感因素,人为干预与细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件与应用程序架构层面的安全编码和配置亦是如此。这并非开发人员应在一夜之间陷入的困境,但确实存在一条明确路径——通过提升他们的技能,使其能够减轻安全团队完成这项重要任务的压力,这既是理想的方式(也是建立两个团队之间融洽关系的良策)。
零日导致 n 天
处理未修补漏洞的下一步是尽快发布补丁,他强烈希望所有易受攻击软件的用户都能尽快应用补丁——当然要赶在攻击者下手之前。Log4Shell漏洞的危害性可能让Heartbleed相形见绌:它已植入数百万台设备,并在整个软件版本中形成复杂的依赖关系,其持久性和破坏力都极为惊人。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
这篇文章的一个版本出现在 SC杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼自己制作了钥匙。他们四处爬行,随心所欲地进进出出,但行事谨慎以防被发现。然后,某天你发现藏在冰箱里的珠宝不见了,保险箱被清空,个人物品被洗劫一空——为时已晚。这与组织成为零日网络攻击受害者时面临的现实如出一辙。2020年,Ponemon研究所的研究表明80%的成功数据泄露源于未修补漏洞的利用,遗憾的是,多数企业至今仍无力显著改善这一统计数据。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者率先入侵。损害已然造成,随后便是疯狂地争分夺秒修复软件漏洞并挽回企业声誉损失。攻击者始终占据优势地位,尽可能缩小这种优势至关重要。
没人想要的节日礼物——Log4Shell——正肆虐互联网,据称超过十亿台设备受到这个灾难性Java漏洞的影响。这将成为有史以来最严重的零日攻击,而我们才刚刚开始。尽管有报道称漏洞利用早在公开披露前几天就已开始,但2016年黑帽大会上的演讲表明,这其实是个已知问题。哎哟。更糟的是,它极易被利用,而且地球上每个脚本小子和威胁行为者都在利用这个漏洞牟利。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场规模庞大,零日漏洞往往价格不菲。以本文所述案例为例,撰稿时其挂牌价高达250万美元。据悉该漏洞存在于苹果iOS系统中,安全研究人员开出高价也就不足为奇了——毕竟这确实可能成为入侵数百万台设备、收集数十亿条敏感数据记录的门户,更能在漏洞被发现修复前尽可能延长攻击时间。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。然而,全球政府和国防部门是威胁情报漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就能减轻灾难。
2021年创下了实时未修补漏洞发现的纪录,而大型组织、政府部门和基础设施最可能成为漏洞调查的目标。虽然无法完全避免零日攻击的风险,但你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩转”游戏。与其坐等黑市出售软件城堡的钥匙,不如让合法的安全爱好者成为你的盟友——为道德披露和潜在修复提供丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理从55到75个不等的工具在其安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率,根据一项由Ponemon研究所提供的研究。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以精疲力竭、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是沉重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估Log4j的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能、何时具备足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们将这个问题带回Log4Shell漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,然而,若库配置为对用户输入进行消毒,这种情况本可完全避免。出于便利性考虑而放弃此项操作的决定看似微不足道,却极易被利用(想想SQL注入级别的漏洞——这绝非天才之作)。倘若威胁建模由一群敏锐且精通安全的开发人员完成,这种情境很可能在理论层面就已被预见并纳入考量。
一个优秀的安全计划包含情感因素,人为干预与细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件与应用程序架构层面的安全编码和配置亦是如此。这并非开发人员应在一夜之间陷入的困境,但确实存在一条明确路径——通过提升他们的技能,使其能够减轻安全团队完成这项重要任务的压力,这既是理想的方式(也是建立两个团队之间融洽关系的良策)。
零日导致 n 天
处理未修补漏洞的下一步是尽快发布补丁,他强烈希望所有易受攻击软件的用户都能尽快应用补丁——当然要赶在攻击者下手之前。Log4Shell漏洞的危害性可能让Heartbleed相形见绌:它已植入数百万台设备,并在整个软件版本中形成复杂的依赖关系,其持久性和破坏力都极为惊人。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 SC杂志。此处已对其进行了修改和联合发布。
如果你曾经被盗贼侵入你的家,你就会明白最初沉没的感觉,即出了点问题,然后意识到自己确实被偷走和侵权了。这通常会导致持续的不适,更不用说转向可与诺克斯堡相媲美的安全措施了。
现在想象一下你的房屋遭到入侵,因为盗贼自己制作了钥匙。他们四处爬行,随心所欲地进进出出,但行事谨慎以防被发现。然后,某天你发现藏在冰箱里的珠宝不见了,保险箱被清空,个人物品被洗劫一空——为时已晚。这与组织成为零日网络攻击受害者时面临的现实如出一辙。2020年,Ponemon研究所的研究表明80%的成功数据泄露源于未修补漏洞的利用,遗憾的是,多数企业至今仍无力显著改善这一统计数据。
顾名思义,零日攻击使开发人员没有时间发现和修补可能被利用的现有漏洞,因为威胁行为者率先入侵。损害已然造成,随后便是疯狂地争分夺秒修复软件漏洞并挽回企业声誉损失。攻击者始终占据优势地位,尽可能缩小这种优势至关重要。
没人想要的节日礼物——Log4Shell——正肆虐互联网,据称超过十亿台设备受到这个灾难性Java漏洞的影响。这将成为有史以来最严重的零日攻击,而我们才刚刚开始。尽管有报道称漏洞利用早在公开披露前几天就已开始,但2016年黑帽大会上的演讲表明,这其实是个已知问题。哎哟。更糟的是,它极易被利用,而且地球上每个脚本小子和威胁行为者都在利用这个漏洞牟利。
那么,防范滑稽而险恶的威胁,更不用说软件开发过程中遗漏的漏洞了,最好的前进道路是什么?让我们来看看。
针对大型目标的零日攻击很少见(而且代价高昂)
暗网上的漏洞利用市场规模庞大,零日漏洞往往价格不菲。以本文所述案例为例,撰稿时其挂牌价高达250万美元。据悉该漏洞存在于苹果iOS系统中,安全研究人员开出高价也就不足为奇了——毕竟这确实可能成为入侵数百万台设备、收集数十亿条敏感数据记录的门户,更能在漏洞被发现修复前尽可能延长攻击时间。
但无论如何,谁有这样的钱?通常,如果认为现金值得,有组织的网络犯罪集团会拿出现金,尤其是对于广受欢迎的勒索软件攻击。然而,全球政府和国防部门是威胁情报漏洞的客户群体,在更积极的情况下,这些公司本身可能会购买自己潜在的未修补漏洞,这样他们就能减轻灾难。
2021年创下了实时未修补漏洞发现的纪录,而大型组织、政府部门和基础设施最可能成为漏洞调查的目标。虽然无法完全避免零日攻击的风险,但你可以通过提供慷慨且结构合理的漏洞赏金计划来 “玩转”游戏。与其坐等黑市出售软件城堡的钥匙,不如让合法的安全爱好者成为你的盟友——为道德披露和潜在修复提供丰厚奖励。
而且,如果它恰好是一个令人毛骨悚然的新漏洞威胁,那么可以肯定地说,你需要的不仅仅是亚马逊礼品卡(而且值得你花点时间这样做)。
你的工具可能是你的安全人员的责任
繁琐的安全工具长期以来一直是个问题,普通首席信息安全官负责管理从55到75个不等的工具在其安全武器库中。除了是世界上最令人困惑(隐喻)的瑞士军刀外,53%的企业甚至不确定自己的工作效率,根据一项由Ponemon研究所提供的研究。另一项研究显示,仅有17%的首席信息安全官认为其安全体系"完全有效"。
在一个以精疲力竭、缺乏安全技能人员来满足需求以及对灵活性的需求而闻名的领域,迫使安全专业人员以数据、报告和监控大型工具集的形式处理信息过载是沉重的负担。这正是可能导致他们错过关键警报的那种情况,在正确评估Log4j的弱点时很可能就是这种情况。
预防性安全应包括开发者驱动的威胁建模
代码级漏洞通常由开发人员引入,他们需要精确的指导和定期的学习途径来培养安全的编码技能。但作为软件创建过程的一部分,下一级安全开发人员有机会学习和练习威胁建模。
最了解软件的人是坐在那里创建软件的开发人员也就不足为奇了。他们对用户如何与之交互、在何处使用这些功能、何时具备足够的安全意识,以及它可能被破坏或被利用的潜在场景拥有丰富的知识。
如果我们将这个问题带回Log4Shell漏洞中,不幸的是,我们看到的是一个灾难性漏洞逃脱了专家和复杂工具集的检测,然而,若库配置为对用户输入进行消毒,这种情况本可完全避免。出于便利性考虑而放弃此项操作的决定看似微不足道,却极易被利用(想想SQL注入级别的漏洞——这绝非天才之作)。倘若威胁建模由一群敏锐且精通安全的开发人员完成,这种情境很可能在理论层面就已被预见并纳入考量。
一个优秀的安全计划包含情感因素,人为干预与细微差别是解决人为问题的核心。威胁建模需要同理心和经验才能有效,软件与应用程序架构层面的安全编码和配置亦是如此。这并非开发人员应在一夜之间陷入的困境,但确实存在一条明确路径——通过提升他们的技能,使其能够减轻安全团队完成这项重要任务的压力,这既是理想的方式(也是建立两个团队之间融洽关系的良策)。
零日导致 n 天
处理未修补漏洞的下一步是尽快发布补丁,他强烈希望所有易受攻击软件的用户都能尽快应用补丁——当然要赶在攻击者下手之前。Log4Shell漏洞的危害性可能让Heartbleed相形见绌:它已植入数百万台设备,并在整个软件版本中形成复杂的依赖关系,其持久性和破坏力都极为惊人。
实际上,没有办法完全阻止这种阴险的攻击。但是,只要我们承诺使用各种途径来创建高质量、安全的软件,并以与关键基础设施相同的心态进行开发,我们所有人都有机会与之抗争。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
