ClickShare 취약점이 패치되었을 수도 있지만 훨씬 더 큰 문제를 숨기고 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게재되었습니다. 데브옵스닷컴.여기에서 신디케이션을 위해 업데이트되었으며 취약성 문제에 대한 대화형 링크가 포함되어 있습니다.
우리 모두 최근의 기억을 떠올릴 수 있을 것 같아요. 회의나 컨퍼런스에서 누군가가 프레젠테이션 기술에 문제를 겪었던 적이 있을 것입니다.이런 일이 너무 자주 일어나서 적어도 초기에는 투박한 경험을 하게 될 거라는 예상이 들 정도입니다.따라서 ClickShare의 매끄러운 앱이 최종 사용자에게 즉시 인기를 얻은 것은 놀라운 일이 아닙니다.ClickShare 애플리케이션을 사용하여 노트북, 태블릿 또는 스마트폰에서 대형 스크린이나 회의실 프로젝터로 프레젠테이션을 푸시하는 것보다 쉬운 일은 없습니다.벨기에에 본사를 둔 디지털 프로젝션 및 이미징 기술 공급업체인 Barco는 자동화 플랫폼을 이러한 방식으로 작동하도록 설계했고 대기업은 이 개념을 수용했습니다.퓨처리소스 컨설팅은 다음과 같이 덧붙입니다. Barco의 시장 점유율 컨퍼런스 기술 부문은 29% 에 달하며, 포춘지 선정 1,000대 기업 중 40% 에 통합되었습니다.
F-Secure의 연구원들이 있을 때 12월에 공개되었습니다. 겉보기에 무해해 보이는 자동화 플랫폼이 보안 취약점으로 가득 차 있다는 사실은 비즈니스 커뮤니티에 큰 충격을 주었습니다.발견된 보안 결함은 그 특성상 치명적이며 잠재적으로 여러 악의적인 활동을 야기할 수 있습니다.
연구원들이 시연했다 이 취약성으로 인해 원격 사용자가 활발한 프레젠테이션을 엿보거나 보안 네트워크에 백도어를 만들거나 심지어 Barco 장치에 연결된 모든 사용자를 감염시키는 스파이웨어 배포 서버를 구성할 수 있는 방법갑자기 기업들은 조직 전체의 회의실과 사무실에 직접 심각한 보안 문제를 설치해야 하는 상황에 직면하게 되었습니다.또한 취약성의 특성 때문에 손상된 장치 하나로도 네트워크 전반의 보안 침해가 발생할 수 있습니다.
F-Secure 관계자는 보고서에서 “한 유닛을 성공적으로 해킹한 공격자는 한 가족 내에서든 가족 간이든 관계없이 모든 유닛에 대해 유효한 암호화된 이미지를 생성할 수 있을 뿐만 아니라 암호를 해독할 수 있습니다.” 라고 썼습니다.“또한 이러한 공격자는 구성된 Wi-Fi PSK 및 인증서와 같은 저장된 민감한 데이터에 액세스할 수 있습니다.”
Barco는 제품 내에서 발견된 취약점에 대한 패치와 수정을 매우 적극적으로 출시해 왔다는 점을 인정합니다.보안 공급업체 테너블 최근 출시 Barco를 포함한 8개 프레젠테이션 도구에서 15개의 취약점을 보여주는 보고서.2월 현재 Barco만이 수정 프로그램을 적극적으로 배포하고 있습니다.
Barco 취약성 중 일부는 하드웨어 변경이 필요하지만 (회사가 이러한 취약점을 보호하기 위해 이 정도까지 조치를 취한다면 배포하는 것은 악몽이 될 수 있습니다), 소프트웨어 패치를 통해 대부분의 취약점을 수정할 수 있습니다.이를 통해 대부분의 기업 사용자는 당면한 문제를 해결하기 위한 좋은 계획을 세우는 것처럼 보이지만 지금은 거의 명확하지 않습니다.잘 알려진 하드웨어 및 소프트웨어 제품의 취약점을 처리하는 데 있어 Barco의 문제는 빙산의 일각에 불과합니다.
문제의 근원
이제 당면한 문제들이 해결되었으니, 심각한 보안 결함이 있는 장치들이 어떻게 전 세계 수천 개의 회의실에 놓이게 되었는지, 애초에 왜 그렇게 부실하게 설계되고 프로그래밍되었는지 물어봐야 합니다.F-Secure 팀이 제로데이 취약점이나 이전에 알려지지 않은 취약점을 발견한 것은 아닙니다.Barco 제품에서 발견된 결함 중 10개는 잘 알려진 제품과 관련이 있습니다. 일반적인 취약점 코드 인젝션 공격처럼 말이죠.대부분은 이미 CVE (일반 취약점 및 노출) 식별 정보를 가지고 있었습니다.
그렇다면 수십 년 된 CVE가 어떻게 최신 프레젠테이션 도구에 코딩되거나 심지어 하드와이어로 연결되었을까요?가능한 유일한 답은 개발자들이 Barco 디바이스에 대해 몰랐거나 Barco 디바이스를 설계할 때 보안이 우선시되지 않았다는 것입니다.안타깝게도 이는 일반적인 상황이며 Barco 팀에만 국한된 것은 아닙니다.
취약점을 수정하기에 가장 좋은 시기는 애플리케이션이 개발되고 사용자에게 전송되기 훨씬 전입니다.최악의 (그리고 가장 비용이 많이 드는) 시기는 제품이 배포된 후나 공격자에게 악용된 이후입니다.이는 어려운 교훈일 수 있으며, Barco는 한때 뚫을 수 없었던 시장 점유율이 이번 보안 실패에 이어 타격을 입었기 때문에 반드시 알게 될 것입니다.
보안 수정 사항을 다시 개발 프로세스로 전환하는 것은 쉬운 일이 아니지만 프레젠테이션 도구와 같이 겉보기에 단순해 보이는 장치조차도 놀라울 정도로 복잡하고 다른 모든 것과 네트워크로 연결되어 있는 오늘날의 세계에서는 필요합니다.이러한 환경에서는 보안이 조직의 모범 사례가 되어야 합니다.기업이 소셜 미디어용 앱을 프로그래밍하든 스마트 토스터를 제조하든 상관 없습니다. 조직의 모든 측면에서 보안을 고려해야 합니다.
보안 모범 사례의 우선 순위를 정하고 이를 공동 책임으로 만드는 것이 개발, 보안 및 운영 팀이 협력하여 안전한 소프트웨어 및 제품을 코딩하고 배포하는 DevSecOps 운동의 목표입니다.이를 위해서는 다른 모든 것만큼이나 문화의 변화가 필요합니다.보안 취약점이 있는 제대로 작동하는 제품을 배포하는 것은 주요 기능을 수행할 수 없는 제품을 만드는 것만큼이나 실패라는 사고방식을 바꿔야 합니다.
건강한 DevSecOps 환경에서는 소프트웨어를 사용하는 모든 사람이 보안에 대해 잘 알고 있어야 하며, 개발자는 작업에 심각한 버그가 발생하지 않도록 관련 교육을 자주 받아야 합니다.Barco에서 일하는 팀이 보안을 공동 책임으로 여겼다면 수십 년 된 CVE를 포함하여 이렇게 많은 취약점이 프레젠테이션 도구에 포함되었을 리가 없습니다.
앞으로 나아가는 안전한 길
잘 알려진 보안 결함이 장치를 통해 전 세계 수천 개의 기업 네트워크에 배포된 이유를 설명해야 하는 차세대 Barco가 되려는 사람은 아무도 없습니다.이러한 운명을 피하려면 소프트웨어 또는 스마트 하드웨어를 개발하는 회사는 즉시 보안을 공동 책임이자 조직의 모범 사례로 우선 순위에 두어야 합니다.건전한 DevSecOps 프로그램을 만들려면 시간이 걸리고 문화의 변화도 필요할 수 있지만 그만한 가치가 있는 결과를 얻을 수 있습니다.강력한 DevSecOps는 문제가 발생하기 훨씬 전에 취약점을 제거할 수 있습니다.
제품 및 소프트웨어를 구매하는 회사의 경우 DevSecOps를 도입한 회사를 지원하는 것이 가장 좋습니다.이렇게 하면 이러한 디바이스와 소프트웨어를 통해 획득한 디바이스와 소프트웨어가 점점 더 숙련되는 공격자의 악용을 기다리고 있는 시한폭탄을 방지하는 데 큰 도움이 될 것입니다.
확인해 보세요 시큐어 코드 워리어 블로그 페이지에서 DevSecOps에 대한 자세한 정보와 보안 결함 및 취약점으로 인한 피해로부터 조직과 고객을 보호하는 방법을 알아보세요.
Barco가 경험한 보안 버그에 대해 자세히 알아보고 싶으십니까?
다음과 같은 게임화된 챌린지를 플레이하세요:
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
