2022년 무시할 수 없는 사이버 보안 문제
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자의 놀이터를 선점하여 가능한 한 그들과 보조를 맞춰야 합니다.이들이 내년부터 파장을 일으키기 시작할 수 있는 부분은 다음과 같습니다.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
