2022年に無視できないサイバーセキュリティ問題
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
サイバー犯罪者との戦いに関しては、予防的な考え方でサイバー犯罪者の遊び場を先取りし、できる限り彼らと歩調を合わせる必要があります。来年、彼らが波を起こし始めるかもしれないと思うのは次の点です。
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa, Sensei Security. A lo largo de su carrera, Matías ha liderado varios proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y ha obtenido más de 10 patentes.Cuando no está frente a su escritorio, Matías imparte cursos avanzados de formación en seguridad de aplicaciones y participa regularmente como ponente en conferencias internacionales como RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías obtuvo un doctorado en Ingeniería Informática en la Universidad de Gante, donde aprendió sobre la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar su funcionamiento interno.
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
Índice
El Dr. Matias Madu es experto en seguridad, investigador, director técnico y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en seguridad de aplicaciones, centrado en soluciones de análisis estático, en la Universidad de Gante.Posteriormente, se incorporó a Fortify, en Estados Unidos, donde se dio cuenta de que no bastaba con detectar problemas en el código sin ayudar a los desarrolladores a escribir código seguro. Esto le llevó a desarrollar productos que ayudaran a los desarrolladores, redujeran la carga de la seguridad y superaran las expectativas de los clientes. Cuando no está en su escritorio como miembro del equipo Awesome, disfruta presentando en conferencias como RSA, BlackHat y DefCon.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
