2022年に無視できないサイバーセキュリティ問題
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
サイバー犯罪者との戦いに関しては、予防的な考え方でサイバー犯罪者の遊び場を先取りし、できる限り彼らと歩調を合わせる必要があります。来年、彼らが波を起こし始めるかもしれないと思うのは次の点です。
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
目次
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
