驱动 Web 应用程序安全漏洞的被遗忘的人为因素
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
