驱动 Web 应用程序安全漏洞的被遗忘的人为因素
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
《2018年Verizon数据泄露调查报告》再次成为一本很棒的读物,它使我们了解网络安全的最新情况,包括当前的网络犯罪趋势和事件驱动因素,可以帮助组织完善其安全计划的分析和见解。今年,Verizon的调查人员分析了超过53,000起事件和2,200多起违规事件,其中有许多关于需要注意和不该做什么的切实结论,以及有关安全工作重点的宝贵建议。2018年的报告感觉就像是与时俱进的,随着安全影响的扩散,它与更广泛的商业受众息息相关,并且越来越被视为主流业务问题。
在许多有趣的发现中,2018年的报告证实了大多数黑客攻击仍然是通过网络应用程序泄露而发生的(甚至还有一个 很酷的交互式图表显示了这一点)。
Web 应用程序攻击包括任何以 Web 应用程序为攻击载体的事件。这包括利用应用程序中的代码级漏洞以及阻碍身份验证机制。值得注意的是,由于使用从客户拥有的设备上窃取的凭据过滤了对Web应用程序的僵尸网络相关攻击,这种模式的漏洞数量减少了。在涉及 Web 应用程序的漏洞中,使用被盗凭据仍然是最常见的黑客攻击,其次是 SQLi(稍后会详细介绍 SQL...)。
今年报告中一个突出的主题是,“人为因素” 在安全方程式中至关重要,无论是作为问题还是解决方案的一部分。该报告涉及外部和内部行为者,报告称,错误是近五分之一(17%)违规行为的核心。当员工未能删除机密信息、向错误的人发送电子邮件以及 Web 服务器配置错误时,就会发生违规行为。报告指出,尽管这些都不是故意的恶意,但它们仍然可能付出高昂的代价。
但是,有一个经常被遗忘的人为因素导致了许多安全漏洞,那就是开发人员创建包含安全漏洞的代码的频率很高,这会导致 Web 应用程序漏洞,进而导致这些事件和漏洞。
过去5年的应用程序测试显示,发现的漏洞数量没有太大改善,同样的旧漏洞一次又一次地出现。一份基于40万次应用程序扫描的2017年Veracode报告显示,应用程序只有30%的时间通过了OWASP前十名政策。令人惊讶的是,在过去的5年中,包括去年,几乎有三分之一的新扫描应用程序出现了SQL注入。我之所以说令人惊讶,是因为SQL注入自1999年以来就已经存在。不断发现包括SQL注入在内的相同缺陷,这一事实证明开发人员中的这个 “人为因素” 问题没有得到充分解决。
正是在这个时候,我需要站出来大声疾呼我站在开发者一边。如果从来没有人教过安全代码为何重要、不安全代码的后果,以及最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
这就是我们在 Secure Code Warrior 所做的事情,我们看到有力的证据表明,将安全代码实践培训融入开发人员日常生活的公司正在减少所产生的 Web 应用程序漏洞数量。为了让开发人员编写安全代码,他们需要定期获得动手学习,积极参与培养安全编码技能。他们需要了解最近发现的真实代码中的漏洞,特别是他们自己的语言/框架中的漏洞。这种学习经历应帮助他们了解如何定位、识别和修复已知漏洞。开发人员在流程中还需要一个高质量的工具集,该工具集可以简化安全性,不会减慢他们的速度,并实时指导他们了解好的和坏的编码模式。
通过这种方式,我们可以对网络应用程序泄露的数量产生切实而积极的改变。
我强烈同意威瑞森的观点,即有必要在全公司范围内加强安全意识培训。我对首席信息官和首席信息安全官的附言是 “别忘了你的开发人员!”。这些现代企业的架构师可以是一个重要的 “人为因素”,他们经常为黑客生成接入点,也可以成为你的第一道防线,你的安全英雄。
对开发人员进行有效的安全技能提升可能会对Verizon在未来报告中报告的结果产生真正的影响。很高兴看到2019年的报告将开发人员安全培训反映为公司可以采取的关键风险降低策略。我是一个乐观主义者,但我敢打赌,如果公司让他们的开发人员学习如何避免造成注入漏洞,这份报告中的网络应用程序漏洞数量将大幅下降。
看看我们的平台在运行中,看看开发人员如何在理想的游戏化训练环境中快速提升技能:
如果没有人教过开发人员为什么安全代码很重要,不安全代码的后果,最重要的是,如何防止在各自的编程框架中写入这些漏洞,那么开发人员应该如何编写安全代码?
Índice
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
