눈에 잘 띄지 않는 곳에 숨기: SolarWinds 공격이 악의적인 사이버 위험보다 더 많은 것을 드러낸 이유
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면 이는 엄청난 데이터 유출로 미국 정부에 영향을 미치는 사상 최대 규모의 사이버 스파이 사건이 될 것으로 예상됩니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
