2022년 무시할 수 없는 사이버 보안 문제
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자의 놀이터를 선점하여 가능한 한 그들과 보조를 맞춰야 합니다.이들이 내년부터 파장을 일으키기 시작할 수 있는 부분은 다음과 같습니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
