程序员以代码的形式征服安全基础架构系列:不安全的密码学
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
