Death by Doki:深刻なDockerの新たな脆弱性(とその対策
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威は、クラウドに保存されている機密データの戦利品を割る機会を最終目的として、より一般的になってきています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
日本語の擬音語では、「ドキドキ」("""")というフレーズは、激しく鼓動する心臓の音を表しています。これはまさに、DockerサーバがDokiに感染した場合に、セキュリティチームのメンバーが経験するかもしれないことを意味しています。控えめに言っても、それにふさわしい名前です。
クラウドインフラへの依存度が高まる中、セキュリティのベストプラクティスを正確かつスケーラブルに有効活用することが不可欠です。また、アプリケーションを安全に展開するための最低限の機能だけでなく、コンテナセキュリティのためのカスタマイズされた対策をSDLC全体で周知し、展開する必要があります。
サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威はより一般的になってきています。その最終目的は、クラウドに保存されている機密データの略奪品を割ることです。Dokiはまさにそれを目的としており、検出されず、強力で効果的な状態を維持するために複数の技術を使用しており、Dockerベースのセキュリティ問題の領域ではこれまでに見られなかったものです。
Dokiとは何か、どのような仕組みなのか。
侵害されたアプリケーションの多くに共通するテーマですが、ソフトウェアがどのように侵害されたかについては、セキュリティの誤設定が受け入れがたいほど大きな役割を果たしています。特にDockerについては、Docker Engine APIの設定ミスが攻撃者にとって有益であることがわかっています。Ngrok Botnetの暗号化ボットは、2018年以降、安全でないDockerサーバーを嗅ぎまわって、独自のコンテナをスピンアップし、被害者のインフラ上でマルウェアを実行しています。
Dokiは、このマルウェアのより狡猾で悪質なバージョンであり、同じボットネットを利用して、同じ攻撃経路で成功しています。Dokiは、同じボットネットで成功し、同じ攻撃ベクトルであるAPIの誤設定を露呈しました。この誤設定は、コードの展開やサーバーの公開の前に対処されるべきでした。Dokiは、風刺的な暗号通貨であるDogecoinのブロックチェーンを利用して、事実上検出不可能なバックドアとして機能しています。現状では、1月以降、ほとんど痕跡を残さずにのたうち回っています。
このマルウェアは、基本的にブロックチェーンウォレットを悪用してコマンド&コントロール(C2)ドメイン名を生成するもので、それ自体は目新しいものではありませんが、Dokiは感染したサーバー上でリモートコードを実行する継続的な機能を提供し、ランサムウェアやDDoSなどの様々な有害なマルウェアベースの攻撃への道を開きます。Dokiは、いわば "骨を持ったDoge "のように容赦なく攻撃を仕掛けてきます。Intezer社では、この脅威の全体像と、その広大なペイロードについて、詳細な記事を掲載しています。
コードでドキドキの経路を見抜く
Dokiは、分散型ブロックチェーンネットワーク上で動作するバックドアであり、痕跡を消し、ホストのより多くの領域にアクセスし、感染を拡大し続けるために、とらえどころのない迅速なコンテナエスケープ技術を採用していることから、開発者やセキュリティチームにとっては、やや悪夢のような存在となっています。
しかし、Dokiは安全なAPIポートを持つDockerサーバには感染しません。運用中にこれらのポートを誤って設定することは、広範囲に影響を及ぼすミスですが、クラウド開発者のセキュリティ意識と実践的なセキュアコーディングスキルの両方に関する効果的なトレーニングは、このような複雑で攻撃性の高いマルウェアを前にしては、やや「単純」な修正です。
安全ではないDocker APIの例を見てみましょう。Dokiが侵入経路を見つけて広がり始める可能性があるものです。
dockerd -H tcp://0.0.0.0:2375
誤った設定を見つけられますか?保護されたバージョンは以下のようになります。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
安全でない例では、Docker Engine APIはポートTCP 2375でリスニングしており、どのような接続要求も受け付けますので、Dockerサーバに到達した誰もが利用可能です。
安全な例では、Docker Engine APIはTLS証明書検証を使用するように設定されており、あなたのCAによって信頼された証明書を提供するクライアントからの接続のみを受け入れます。
開発者がDokiの感染の根本的な原因を特定して修正するのを助けるために、ゲーム化された全く新しい課題を用意しています。 ここで:
セキュアなクラウドインフラは、チームスポーツです。
クラウドの設定ミスにより、組織は2018年から2019年にかけて5兆円もの損害を被り、何十億もの記録が流出し、取り返しのつかない評判の低下を招いています。これは、数十億の記録が流出し、取り返しのつかない評判の低下につながることを意味します。公開されているポートの監視と修正(理想的にはデプロイ前)、未知のコンテナのチェック、過剰なサーバー負荷の監視などの対策によって、Dokiのような雪だるま式の被害を食い止めることができると考えれば、安心感を得るための小さな代償だと言えるでしょう。
全社的なセキュリティ意識は非常に重要であり、SDLCに関わるすべての人にとって、セキュリティのベストプラクティスを用いて運用することは交渉の余地がありません。最良の組織は、強固なDevSecOpsプロセスに取り組んでおり、セキュリティに対する責任が共有され、開発者とAppSecの専門家は、一般的な脆弱性がソフトウェアや重要なインフラに入り込むのを阻止するための知識とツールを持っています。
セキュリティを意識した、優れたクラウドエンジニアとしてスタートしたいですか?今すぐ自分のスキルを試してみましょう。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
