안전하지 않은 암호화 스토리지 및 보안 | 시큐어 코드 워리어
데이터는 기업의 생명선입니다.데이터는 생존과 수익 창출, 고객 서비스 제공에 필요한 기본 정보입니다.점점 더 디지털에 초점을 맞추는 이 사회에서 개발자는 이 소중한 정보를 관리하는 막중한 책임을 지고 있습니다.개발자가 기밀 데이터를 보호하지 않으면 기업은 안전하지 않은 암호화 스토리지의 희생양이 됩니다.
데이터를 안전하게 저장하는 방법과 저장하지 않을 경우 어떤 일이 발생할 수 있는지 살펴보겠습니다.
안전하지 않은 암호화 스토리지에 대한 이해
공격자는 시스템에 액세스할 때 일반적으로 가치 있는 데이터를 찾습니다.아시다시피, 누군가의 계정을 탈취하는 데 사용될 수 있거나 다른 공격을 실행하는 데 사용될 수 있는 데이터의 유형이죠.때때로 이런 종류의 데이터는 암시장에서 순식간에 현금으로 팔리기도 합니다.
안전하지 않은 암호화 스토리지는 SQL 인젝션이나 XSS와 같은 단일 취약점이 아닙니다.이는 보호해야 할 데이터를 보호해야 하는 방식으로 보호하지 않는 데 따른 결과입니다.
민감한 정보는 보호되어야 합니다.암호와 신용카드 정보를 일반 텍스트로 저장하면 플레이하고 있는 것입니다. 러시안 룰렛 귀하의 비즈니스와 함께.
해커가 데이터베이스에 침입하여 데이터를 훔치는 경우 SQL 인젝션, XML 인젝션 다른 어떤 공격이든, 그들은 모든 것을 가질 것입니다.하지만 데이터를 암호화하면 실제로 사용하는 데 훨씬 더 어려움을 겪을 수 있습니다.
보안 침해가 항상 악의적인 외부인의 결과인 것은 아니라는 점에 유의하는 것이 중요합니다.암호화되지 않은 경우 악의적인 내부자도 쉽게 데이터를 훔칠 수 있습니다.회사 직원은 데이터베이스의 모든 내용을 볼 필요가 없으며 부적절한 액세스 제어나 민감한 데이터 노출은 명백한 도난으로 이어질 수 있습니다.
모든 암호화가 동일하지 않다는 점도 기억하세요.잘못된 암호화 알고리즘을 사용하는 것은 전혀 사용하지 않는 것만큼이나 위험합니다.알려진 취약한 알고리즘은 능숙한 공격자에 대한 저항력이 거의 없습니다.
안전하지 않은 암호화 스토리지가 위험한 이유
많은 회사들이 어려움을 겪고 있습니다 다른 취약점 (예: SQL 삽입) 으로 인해 도난당한 데이터를 숨길 수 없게 됩니다.이로 인해 상황은 더욱 악화됩니다.
- 어덜트 프렌드 파인더가 침해되어 4억 1,200만 개의 계정이 유출되었습니다.계정의 비밀번호는 취약한 SHA-1 해싱 알고리즘으로 보호되었습니다.한 달 만에 공격자들이 쉽게 해킹할 수 있었습니다.
- Uber가 보안 침해를 당해 5,700만 명의 사용자 기록과 60만 개의 운전자 기록이 유출되었습니다.개인 정보가 손실되었습니다.Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 암호가 들어 있는 저장소가 공개되어 있었기 때문에 이런 일이 발생했습니다. 좋은 생각은 아닙니다.Uber의 가치가 200억 달러 하락했는데, 이는 주로 이번 보안 침해로 인한 것입니다.
- 소니의 PlayStation Network가 침해되어 7,700만 개의 계정이 유출되었습니다. 그 중 1,200만 개의 계정에는 암호화되지 않은 신용 카드 정보가 포함되어 있었습니다.소니는 이후 이 침해와 관련해 1,500만 달러 규모의 집단 소송을 해결했습니다.
민감한 데이터를 제대로 저장하지 않으면 분명히 심각한 결과를 초래할 수 있습니다.
소니는 소송을 당했는데 이는 상당한 벌금입니다.그러나 소송을 당하지 않더라도 기업 평판 및 규제 피해는 치명적일 수 있습니다.
안전하지 않은 암호화 스토리지 제거
개발자는 위와 같은 데이터 침해가 발생하지 않도록 어떻게 방지할 수 있을까요?
첫 번째 단계는 애초에 암호화가 필요한 데이터를 식별하는 것입니다.결국 모든 데이터가 동일한 것은 아닙니다. 데이터 분류그런 다음 적절한 경우 암호화를 사용하십시오.
일반적으로 주민등록번호, 암호 및 신용 카드 세부 정보와 같은 개인 정보는 보호되어야 합니다.비즈니스 특성에 따라 건강 기록이나 사적인 것으로 간주되는 기타 정보를 보호해야 할 수도 있습니다.
보호해야 할 데이터를 알고 나면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다.일반적으로 시간의 시험을 견뎌내고 강력한 것으로 간주되는 암호화 알고리즘을 고수하는 것이 좋습니다.
어떤 상황에서든 암호화 함수를 직접 작성하지 마십시오.여기에는 공격자가 암호화를 깨는 데 사용할 수 있는 결함이 포함되어 있을 가능성이 높습니다.
주민등록번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 다음을 사용하십시오. 에이스.AES에는 다양한 작동 모드가 있습니다. 작성 당시 적극 권장되는 모드는 다음과 같습니다. 갤루아/카운터 모드 (GCM).또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩이 사용되지 않도록 하는 것입니다.
암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시하십시오.강력하게 해시된 값이 주어지면 공격자는 값을 생성한 원본 텍스트를 검색할 수 없습니다. 아르곤 2과 비크립트해싱 암호를 위한 확실한 선택으로 간주됩니다.동일한 암호에 대해 두 개의 해시가 동일하지 않도록 해싱 전에 항상 암호를 임의의 값으로 “솔팅”하는 것을 잊지 마십시오.
이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 포함됩니다.특정 언어 또는 프레임워크에 대한 설명서를 참조하여 효과적으로 사용하는 방법에 대한 정보를 확인하세요.
키 생성, 저장 및 관리는 암호화의 중요한 구성 요소입니다.제대로 관리되지 않는 키는 노출되어 데이터를 해독하는 데 사용될 수 있습니다.다음과 같은 일부 프레임워크는 키 관리에 도움이 됩니다. ASP.NET의 데이터 보호 API.키 관리에 대한 일반적인 모범 사례는 다음을 참조하세요. OWASP의 치트 시트.
데이터를 안전하게 저장하면 비용이 많이 들고 당황스러운 데이터 침해를 방지할 수 있습니다.최악의 시나리오에서는 공격자가 데이터를 훔칠 수 있다면 악의적인 목적으로 데이터를 보거나 사용하는 것이 훨씬 더 어려워질 것입니다.
데이터를 눈에 잘 띄지 않게 숨기기
데이터를 보호하는 방법을 간단히 살펴보겠습니다.
- 데이터를 분류하여 보호가 필요한 사항을 파악할 수 있습니다.
- 업계 검증을 거친 강력한 알고리즘을 사용하여 민감한 데이터를 암호화합니다.
- 강력한 단방향 해시를 사용하여 암호 저장
주제를 더 자세히 연구하려면 다음을 확인하십시오. 학습 리소스.파헤치고 연습할 준비가 되면 플랫폼 사용해보기 원하는 언어로.많은 내용을 다루고 있습니다!
이러한 도구를 사용하면 데이터 도난을 방지하고 회사의 비용 손실과 평판 손상을 방지할 수 있습니다.
지금 바로 안전하지 않은 암호화 스토리지를 찾아 수정할 준비가 되셨나요?경기장으로 가서 실력을 시험해 보세요. [여기서 시작]
이 디지털 사회에서 개발자는 안전하지 않은 암호화 저장소로부터 정보와 비즈니스를 안전하게 보호할 책임이 있습니다.시큐어 코드 워리어로부터 배워보세요.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
데이터는 기업의 생명선입니다.데이터는 생존과 수익 창출, 고객 서비스 제공에 필요한 기본 정보입니다.점점 더 디지털에 초점을 맞추는 이 사회에서 개발자는 이 소중한 정보를 관리하는 막중한 책임을 지고 있습니다.개발자가 기밀 데이터를 보호하지 않으면 기업은 안전하지 않은 암호화 스토리지의 희생양이 됩니다.
데이터를 안전하게 저장하는 방법과 저장하지 않을 경우 어떤 일이 발생할 수 있는지 살펴보겠습니다.
안전하지 않은 암호화 스토리지에 대한 이해
공격자는 시스템에 액세스할 때 일반적으로 가치 있는 데이터를 찾습니다.아시다시피, 누군가의 계정을 탈취하는 데 사용될 수 있거나 다른 공격을 실행하는 데 사용될 수 있는 데이터의 유형이죠.때때로 이런 종류의 데이터는 암시장에서 순식간에 현금으로 팔리기도 합니다.
안전하지 않은 암호화 스토리지는 SQL 인젝션이나 XSS와 같은 단일 취약점이 아닙니다.이는 보호해야 할 데이터를 보호해야 하는 방식으로 보호하지 않는 데 따른 결과입니다.
민감한 정보는 보호되어야 합니다.암호와 신용카드 정보를 일반 텍스트로 저장하면 플레이하고 있는 것입니다. 러시안 룰렛 귀하의 비즈니스와 함께.
해커가 데이터베이스에 침입하여 데이터를 훔치는 경우 SQL 인젝션, XML 인젝션 다른 어떤 공격이든, 그들은 모든 것을 가질 것입니다.하지만 데이터를 암호화하면 실제로 사용하는 데 훨씬 더 어려움을 겪을 수 있습니다.
보안 침해가 항상 악의적인 외부인의 결과인 것은 아니라는 점에 유의하는 것이 중요합니다.암호화되지 않은 경우 악의적인 내부자도 쉽게 데이터를 훔칠 수 있습니다.회사 직원은 데이터베이스의 모든 내용을 볼 필요가 없으며 부적절한 액세스 제어나 민감한 데이터 노출은 명백한 도난으로 이어질 수 있습니다.
모든 암호화가 동일하지 않다는 점도 기억하세요.잘못된 암호화 알고리즘을 사용하는 것은 전혀 사용하지 않는 것만큼이나 위험합니다.알려진 취약한 알고리즘은 능숙한 공격자에 대한 저항력이 거의 없습니다.
안전하지 않은 암호화 스토리지가 위험한 이유
많은 회사들이 어려움을 겪고 있습니다 다른 취약점 (예: SQL 삽입) 으로 인해 도난당한 데이터를 숨길 수 없게 됩니다.이로 인해 상황은 더욱 악화됩니다.
- 어덜트 프렌드 파인더가 침해되어 4억 1,200만 개의 계정이 유출되었습니다.계정의 비밀번호는 취약한 SHA-1 해싱 알고리즘으로 보호되었습니다.한 달 만에 공격자들이 쉽게 해킹할 수 있었습니다.
- Uber가 보안 침해를 당해 5,700만 명의 사용자 기록과 60만 개의 운전자 기록이 유출되었습니다.개인 정보가 손실되었습니다.Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 암호가 들어 있는 저장소가 공개되어 있었기 때문에 이런 일이 발생했습니다. 좋은 생각은 아닙니다.Uber의 가치가 200억 달러 하락했는데, 이는 주로 이번 보안 침해로 인한 것입니다.
- 소니의 PlayStation Network가 침해되어 7,700만 개의 계정이 유출되었습니다. 그 중 1,200만 개의 계정에는 암호화되지 않은 신용 카드 정보가 포함되어 있었습니다.소니는 이후 이 침해와 관련해 1,500만 달러 규모의 집단 소송을 해결했습니다.
민감한 데이터를 제대로 저장하지 않으면 분명히 심각한 결과를 초래할 수 있습니다.
소니는 소송을 당했는데 이는 상당한 벌금입니다.그러나 소송을 당하지 않더라도 기업 평판 및 규제 피해는 치명적일 수 있습니다.
안전하지 않은 암호화 스토리지 제거
개발자는 위와 같은 데이터 침해가 발생하지 않도록 어떻게 방지할 수 있을까요?
첫 번째 단계는 애초에 암호화가 필요한 데이터를 식별하는 것입니다.결국 모든 데이터가 동일한 것은 아닙니다. 데이터 분류그런 다음 적절한 경우 암호화를 사용하십시오.
일반적으로 주민등록번호, 암호 및 신용 카드 세부 정보와 같은 개인 정보는 보호되어야 합니다.비즈니스 특성에 따라 건강 기록이나 사적인 것으로 간주되는 기타 정보를 보호해야 할 수도 있습니다.
보호해야 할 데이터를 알고 나면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다.일반적으로 시간의 시험을 견뎌내고 강력한 것으로 간주되는 암호화 알고리즘을 고수하는 것이 좋습니다.
어떤 상황에서든 암호화 함수를 직접 작성하지 마십시오.여기에는 공격자가 암호화를 깨는 데 사용할 수 있는 결함이 포함되어 있을 가능성이 높습니다.
주민등록번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 다음을 사용하십시오. 에이스.AES에는 다양한 작동 모드가 있습니다. 작성 당시 적극 권장되는 모드는 다음과 같습니다. 갤루아/카운터 모드 (GCM).또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩이 사용되지 않도록 하는 것입니다.
암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시하십시오.강력하게 해시된 값이 주어지면 공격자는 값을 생성한 원본 텍스트를 검색할 수 없습니다. 아르곤 2과 비크립트해싱 암호를 위한 확실한 선택으로 간주됩니다.동일한 암호에 대해 두 개의 해시가 동일하지 않도록 해싱 전에 항상 암호를 임의의 값으로 “솔팅”하는 것을 잊지 마십시오.
이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 포함됩니다.특정 언어 또는 프레임워크에 대한 설명서를 참조하여 효과적으로 사용하는 방법에 대한 정보를 확인하세요.
키 생성, 저장 및 관리는 암호화의 중요한 구성 요소입니다.제대로 관리되지 않는 키는 노출되어 데이터를 해독하는 데 사용될 수 있습니다.다음과 같은 일부 프레임워크는 키 관리에 도움이 됩니다. ASP.NET의 데이터 보호 API.키 관리에 대한 일반적인 모범 사례는 다음을 참조하세요. OWASP의 치트 시트.
데이터를 안전하게 저장하면 비용이 많이 들고 당황스러운 데이터 침해를 방지할 수 있습니다.최악의 시나리오에서는 공격자가 데이터를 훔칠 수 있다면 악의적인 목적으로 데이터를 보거나 사용하는 것이 훨씬 더 어려워질 것입니다.
데이터를 눈에 잘 띄지 않게 숨기기
데이터를 보호하는 방법을 간단히 살펴보겠습니다.
- 데이터를 분류하여 보호가 필요한 사항을 파악할 수 있습니다.
- 업계 검증을 거친 강력한 알고리즘을 사용하여 민감한 데이터를 암호화합니다.
- 강력한 단방향 해시를 사용하여 암호 저장
주제를 더 자세히 연구하려면 다음을 확인하십시오. 학습 리소스.파헤치고 연습할 준비가 되면 플랫폼 사용해보기 원하는 언어로.많은 내용을 다루고 있습니다!
이러한 도구를 사용하면 데이터 도난을 방지하고 회사의 비용 손실과 평판 손상을 방지할 수 있습니다.
지금 바로 안전하지 않은 암호화 스토리지를 찾아 수정할 준비가 되셨나요?경기장으로 가서 실력을 시험해 보세요. [여기서 시작]
데이터는 기업의 생명선입니다.데이터는 생존과 수익 창출, 고객 서비스 제공에 필요한 기본 정보입니다.점점 더 디지털에 초점을 맞추는 이 사회에서 개발자는 이 소중한 정보를 관리하는 막중한 책임을 지고 있습니다.개발자가 기밀 데이터를 보호하지 않으면 기업은 안전하지 않은 암호화 스토리지의 희생양이 됩니다.
데이터를 안전하게 저장하는 방법과 저장하지 않을 경우 어떤 일이 발생할 수 있는지 살펴보겠습니다.
안전하지 않은 암호화 스토리지에 대한 이해
공격자는 시스템에 액세스할 때 일반적으로 가치 있는 데이터를 찾습니다.아시다시피, 누군가의 계정을 탈취하는 데 사용될 수 있거나 다른 공격을 실행하는 데 사용될 수 있는 데이터의 유형이죠.때때로 이런 종류의 데이터는 암시장에서 순식간에 현금으로 팔리기도 합니다.
안전하지 않은 암호화 스토리지는 SQL 인젝션이나 XSS와 같은 단일 취약점이 아닙니다.이는 보호해야 할 데이터를 보호해야 하는 방식으로 보호하지 않는 데 따른 결과입니다.
민감한 정보는 보호되어야 합니다.암호와 신용카드 정보를 일반 텍스트로 저장하면 플레이하고 있는 것입니다. 러시안 룰렛 귀하의 비즈니스와 함께.
해커가 데이터베이스에 침입하여 데이터를 훔치는 경우 SQL 인젝션, XML 인젝션 다른 어떤 공격이든, 그들은 모든 것을 가질 것입니다.하지만 데이터를 암호화하면 실제로 사용하는 데 훨씬 더 어려움을 겪을 수 있습니다.
보안 침해가 항상 악의적인 외부인의 결과인 것은 아니라는 점에 유의하는 것이 중요합니다.암호화되지 않은 경우 악의적인 내부자도 쉽게 데이터를 훔칠 수 있습니다.회사 직원은 데이터베이스의 모든 내용을 볼 필요가 없으며 부적절한 액세스 제어나 민감한 데이터 노출은 명백한 도난으로 이어질 수 있습니다.
모든 암호화가 동일하지 않다는 점도 기억하세요.잘못된 암호화 알고리즘을 사용하는 것은 전혀 사용하지 않는 것만큼이나 위험합니다.알려진 취약한 알고리즘은 능숙한 공격자에 대한 저항력이 거의 없습니다.
안전하지 않은 암호화 스토리지가 위험한 이유
많은 회사들이 어려움을 겪고 있습니다 다른 취약점 (예: SQL 삽입) 으로 인해 도난당한 데이터를 숨길 수 없게 됩니다.이로 인해 상황은 더욱 악화됩니다.
- 어덜트 프렌드 파인더가 침해되어 4억 1,200만 개의 계정이 유출되었습니다.계정의 비밀번호는 취약한 SHA-1 해싱 알고리즘으로 보호되었습니다.한 달 만에 공격자들이 쉽게 해킹할 수 있었습니다.
- Uber가 보안 침해를 당해 5,700만 명의 사용자 기록과 60만 개의 운전자 기록이 유출되었습니다.개인 정보가 손실되었습니다.Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 암호가 들어 있는 저장소가 공개되어 있었기 때문에 이런 일이 발생했습니다. 좋은 생각은 아닙니다.Uber의 가치가 200억 달러 하락했는데, 이는 주로 이번 보안 침해로 인한 것입니다.
- 소니의 PlayStation Network가 침해되어 7,700만 개의 계정이 유출되었습니다. 그 중 1,200만 개의 계정에는 암호화되지 않은 신용 카드 정보가 포함되어 있었습니다.소니는 이후 이 침해와 관련해 1,500만 달러 규모의 집단 소송을 해결했습니다.
민감한 데이터를 제대로 저장하지 않으면 분명히 심각한 결과를 초래할 수 있습니다.
소니는 소송을 당했는데 이는 상당한 벌금입니다.그러나 소송을 당하지 않더라도 기업 평판 및 규제 피해는 치명적일 수 있습니다.
안전하지 않은 암호화 스토리지 제거
개발자는 위와 같은 데이터 침해가 발생하지 않도록 어떻게 방지할 수 있을까요?
첫 번째 단계는 애초에 암호화가 필요한 데이터를 식별하는 것입니다.결국 모든 데이터가 동일한 것은 아닙니다. 데이터 분류그런 다음 적절한 경우 암호화를 사용하십시오.
일반적으로 주민등록번호, 암호 및 신용 카드 세부 정보와 같은 개인 정보는 보호되어야 합니다.비즈니스 특성에 따라 건강 기록이나 사적인 것으로 간주되는 기타 정보를 보호해야 할 수도 있습니다.
보호해야 할 데이터를 알고 나면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다.일반적으로 시간의 시험을 견뎌내고 강력한 것으로 간주되는 암호화 알고리즘을 고수하는 것이 좋습니다.
어떤 상황에서든 암호화 함수를 직접 작성하지 마십시오.여기에는 공격자가 암호화를 깨는 데 사용할 수 있는 결함이 포함되어 있을 가능성이 높습니다.
주민등록번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 다음을 사용하십시오. 에이스.AES에는 다양한 작동 모드가 있습니다. 작성 당시 적극 권장되는 모드는 다음과 같습니다. 갤루아/카운터 모드 (GCM).또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩이 사용되지 않도록 하는 것입니다.
암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시하십시오.강력하게 해시된 값이 주어지면 공격자는 값을 생성한 원본 텍스트를 검색할 수 없습니다. 아르곤 2과 비크립트해싱 암호를 위한 확실한 선택으로 간주됩니다.동일한 암호에 대해 두 개의 해시가 동일하지 않도록 해싱 전에 항상 암호를 임의의 값으로 “솔팅”하는 것을 잊지 마십시오.
이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 포함됩니다.특정 언어 또는 프레임워크에 대한 설명서를 참조하여 효과적으로 사용하는 방법에 대한 정보를 확인하세요.
키 생성, 저장 및 관리는 암호화의 중요한 구성 요소입니다.제대로 관리되지 않는 키는 노출되어 데이터를 해독하는 데 사용될 수 있습니다.다음과 같은 일부 프레임워크는 키 관리에 도움이 됩니다. ASP.NET의 데이터 보호 API.키 관리에 대한 일반적인 모범 사례는 다음을 참조하세요. OWASP의 치트 시트.
데이터를 안전하게 저장하면 비용이 많이 들고 당황스러운 데이터 침해를 방지할 수 있습니다.최악의 시나리오에서는 공격자가 데이터를 훔칠 수 있다면 악의적인 목적으로 데이터를 보거나 사용하는 것이 훨씬 더 어려워질 것입니다.
데이터를 눈에 잘 띄지 않게 숨기기
데이터를 보호하는 방법을 간단히 살펴보겠습니다.
- 데이터를 분류하여 보호가 필요한 사항을 파악할 수 있습니다.
- 업계 검증을 거친 강력한 알고리즘을 사용하여 민감한 데이터를 암호화합니다.
- 강력한 단방향 해시를 사용하여 암호 저장
주제를 더 자세히 연구하려면 다음을 확인하십시오. 학습 리소스.파헤치고 연습할 준비가 되면 플랫폼 사용해보기 원하는 언어로.많은 내용을 다루고 있습니다!
이러한 도구를 사용하면 데이터 도난을 방지하고 회사의 비용 손실과 평판 손상을 방지할 수 있습니다.
지금 바로 안전하지 않은 암호화 스토리지를 찾아 수정할 준비가 되셨나요?경기장으로 가서 실력을 시험해 보세요. [여기서 시작]
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
데이터는 기업의 생명선입니다.데이터는 생존과 수익 창출, 고객 서비스 제공에 필요한 기본 정보입니다.점점 더 디지털에 초점을 맞추는 이 사회에서 개발자는 이 소중한 정보를 관리하는 막중한 책임을 지고 있습니다.개발자가 기밀 데이터를 보호하지 않으면 기업은 안전하지 않은 암호화 스토리지의 희생양이 됩니다.
데이터를 안전하게 저장하는 방법과 저장하지 않을 경우 어떤 일이 발생할 수 있는지 살펴보겠습니다.
안전하지 않은 암호화 스토리지에 대한 이해
공격자는 시스템에 액세스할 때 일반적으로 가치 있는 데이터를 찾습니다.아시다시피, 누군가의 계정을 탈취하는 데 사용될 수 있거나 다른 공격을 실행하는 데 사용될 수 있는 데이터의 유형이죠.때때로 이런 종류의 데이터는 암시장에서 순식간에 현금으로 팔리기도 합니다.
안전하지 않은 암호화 스토리지는 SQL 인젝션이나 XSS와 같은 단일 취약점이 아닙니다.이는 보호해야 할 데이터를 보호해야 하는 방식으로 보호하지 않는 데 따른 결과입니다.
민감한 정보는 보호되어야 합니다.암호와 신용카드 정보를 일반 텍스트로 저장하면 플레이하고 있는 것입니다. 러시안 룰렛 귀하의 비즈니스와 함께.
해커가 데이터베이스에 침입하여 데이터를 훔치는 경우 SQL 인젝션, XML 인젝션 다른 어떤 공격이든, 그들은 모든 것을 가질 것입니다.하지만 데이터를 암호화하면 실제로 사용하는 데 훨씬 더 어려움을 겪을 수 있습니다.
보안 침해가 항상 악의적인 외부인의 결과인 것은 아니라는 점에 유의하는 것이 중요합니다.암호화되지 않은 경우 악의적인 내부자도 쉽게 데이터를 훔칠 수 있습니다.회사 직원은 데이터베이스의 모든 내용을 볼 필요가 없으며 부적절한 액세스 제어나 민감한 데이터 노출은 명백한 도난으로 이어질 수 있습니다.
모든 암호화가 동일하지 않다는 점도 기억하세요.잘못된 암호화 알고리즘을 사용하는 것은 전혀 사용하지 않는 것만큼이나 위험합니다.알려진 취약한 알고리즘은 능숙한 공격자에 대한 저항력이 거의 없습니다.
안전하지 않은 암호화 스토리지가 위험한 이유
많은 회사들이 어려움을 겪고 있습니다 다른 취약점 (예: SQL 삽입) 으로 인해 도난당한 데이터를 숨길 수 없게 됩니다.이로 인해 상황은 더욱 악화됩니다.
- 어덜트 프렌드 파인더가 침해되어 4억 1,200만 개의 계정이 유출되었습니다.계정의 비밀번호는 취약한 SHA-1 해싱 알고리즘으로 보호되었습니다.한 달 만에 공격자들이 쉽게 해킹할 수 있었습니다.
- Uber가 보안 침해를 당해 5,700만 명의 사용자 기록과 60만 개의 운전자 기록이 유출되었습니다.개인 정보가 손실되었습니다.Uber의 GitHub 계정에 Uber의 AWS 계정 사용자 이름과 암호가 들어 있는 저장소가 공개되어 있었기 때문에 이런 일이 발생했습니다. 좋은 생각은 아닙니다.Uber의 가치가 200억 달러 하락했는데, 이는 주로 이번 보안 침해로 인한 것입니다.
- 소니의 PlayStation Network가 침해되어 7,700만 개의 계정이 유출되었습니다. 그 중 1,200만 개의 계정에는 암호화되지 않은 신용 카드 정보가 포함되어 있었습니다.소니는 이후 이 침해와 관련해 1,500만 달러 규모의 집단 소송을 해결했습니다.
민감한 데이터를 제대로 저장하지 않으면 분명히 심각한 결과를 초래할 수 있습니다.
소니는 소송을 당했는데 이는 상당한 벌금입니다.그러나 소송을 당하지 않더라도 기업 평판 및 규제 피해는 치명적일 수 있습니다.
안전하지 않은 암호화 스토리지 제거
개발자는 위와 같은 데이터 침해가 발생하지 않도록 어떻게 방지할 수 있을까요?
첫 번째 단계는 애초에 암호화가 필요한 데이터를 식별하는 것입니다.결국 모든 데이터가 동일한 것은 아닙니다. 데이터 분류그런 다음 적절한 경우 암호화를 사용하십시오.
일반적으로 주민등록번호, 암호 및 신용 카드 세부 정보와 같은 개인 정보는 보호되어야 합니다.비즈니스 특성에 따라 건강 기록이나 사적인 것으로 간주되는 기타 정보를 보호해야 할 수도 있습니다.
보호해야 할 데이터를 알고 나면 다음 단계는 올바른 도구를 사용하여 보안을 보장하는 것입니다.일반적으로 시간의 시험을 견뎌내고 강력한 것으로 간주되는 암호화 알고리즘을 고수하는 것이 좋습니다.
어떤 상황에서든 암호화 함수를 직접 작성하지 마십시오.여기에는 공격자가 암호화를 깨는 데 사용할 수 있는 결함이 포함되어 있을 가능성이 높습니다.
주민등록번호 또는 신용 카드 데이터와 같은 데이터를 암호화하려면 다음을 사용하십시오. 에이스.AES에는 다양한 작동 모드가 있습니다. 작성 당시 적극 권장되는 모드는 다음과 같습니다. 갤루아/카운터 모드 (GCM).또 다른 팁은 패딩 유형을 선택하도록 요청하는 라이브러리에 패딩이 사용되지 않도록 하는 것입니다.
암호의 경우 해시를 되돌릴 수 없으므로 해시 알고리즘을 사용하여 암호를 해시하십시오.강력하게 해시된 값이 주어지면 공격자는 값을 생성한 원본 텍스트를 검색할 수 없습니다. 아르곤 2과 비크립트해싱 암호를 위한 확실한 선택으로 간주됩니다.동일한 암호에 대해 두 개의 해시가 동일하지 않도록 해싱 전에 항상 암호를 임의의 값으로 “솔팅”하는 것을 잊지 마십시오.
이러한 함수에는 모든 주요 프로그래밍 언어/프레임워크에 대한 구현이 포함됩니다.특정 언어 또는 프레임워크에 대한 설명서를 참조하여 효과적으로 사용하는 방법에 대한 정보를 확인하세요.
키 생성, 저장 및 관리는 암호화의 중요한 구성 요소입니다.제대로 관리되지 않는 키는 노출되어 데이터를 해독하는 데 사용될 수 있습니다.다음과 같은 일부 프레임워크는 키 관리에 도움이 됩니다. ASP.NET의 데이터 보호 API.키 관리에 대한 일반적인 모범 사례는 다음을 참조하세요. OWASP의 치트 시트.
데이터를 안전하게 저장하면 비용이 많이 들고 당황스러운 데이터 침해를 방지할 수 있습니다.최악의 시나리오에서는 공격자가 데이터를 훔칠 수 있다면 악의적인 목적으로 데이터를 보거나 사용하는 것이 훨씬 더 어려워질 것입니다.
데이터를 눈에 잘 띄지 않게 숨기기
데이터를 보호하는 방법을 간단히 살펴보겠습니다.
- 데이터를 분류하여 보호가 필요한 사항을 파악할 수 있습니다.
- 업계 검증을 거친 강력한 알고리즘을 사용하여 민감한 데이터를 암호화합니다.
- 강력한 단방향 해시를 사용하여 암호 저장
주제를 더 자세히 연구하려면 다음을 확인하십시오. 학습 리소스.파헤치고 연습할 준비가 되면 플랫폼 사용해보기 원하는 언어로.많은 내용을 다루고 있습니다!
이러한 도구를 사용하면 데이터 도난을 방지하고 회사의 비용 손실과 평판 손상을 방지할 수 있습니다.
지금 바로 안전하지 않은 암호화 스토리지를 찾아 수정할 준비가 되셨나요?경기장으로 가서 실력을 시험해 보세요. [여기서 시작]
Inhaltsverzeichnis
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
