2022년 무시할 수 없는 사이버 보안 문제
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자의 놀이터를 선점하여 가능한 한 그들과 보조를 맞춰야 합니다.이들이 내년부터 파장을 일으키기 시작할 수 있는 부분은 다음과 같습니다.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
이 기사의 한 버전이 에 게시되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
지난 2년은 누구에게나 큰 피해를 입었지만, 우리 중 상당수가 사실상 하룻밤 사이에 원격 근무 모델에 빠져들면서 대부분의 조직의 사이버 보안 청사진은 시험대에 올랐습니다.우리는 업계의 판도를 높이고 적응해야 했습니다. 특히 절망에 빠진 위협 행위자들의 여파로 말이죠. 사이버 범죄 신고 건수 300% 급증 팬데믹이 시작된 이후부터요.
우리는 모두 몇 가지 교훈을 얻었고, 일반적인 사이버 보안뿐만 아니라 코드 수준의 소프트웨어 보안 및 품질도 더욱 심각하게 받아들여지고 있다는 사실에 위안을 받았습니다. 바이든의 행정 명령 소프트웨어 공급망 보안과 관련하여 특히 SolarWinds 대량 보안 침해 이후 중요한 문제가 드러났습니다.우리 모두가 보안에 더 신경을 써야 한다는 생각, 과 측정 가능한 보안 인식을 바탕으로 취약성을 줄이기 위한 노력은 확실히 대화의 큰 부분을 차지합니다.
그렇긴 하지만 사이버 범죄자와 싸울 때는 예방적 사고방식으로 사이버 범죄자들의 놀이터를 선점하면서 가능한 한 그들과 보조를 맞춰야 합니다.
내년에 그들이 파장을 일으키기 시작할 것 같은 부분은 다음과 같습니다.
메타버스는 새로운 공격 표면입니다
메타버스는 인터넷의 차세대 진화일 수 있지만 대부분의 산업이 소프트웨어 및 디지털 환경 보안에 접근하는 방식에서 이와 유사한 변화가 아직 실현되지 않았습니다.
피싱 사기와 같은 일반적인 사이버 보안 위협은 피할 수 없지만 (누구나 메타버스를 사용하는 동안 많을 수 있음), 이러한 몰입형 가상 세계를 가능하게 하는 실제 인프라와 장치는 보안이 유지되어야 합니다.스마트폰이 온라인 생활에 도움이 되었던 것처럼 VR 헤드셋과 같은 주변 기기는 산더미 같은 사용자 데이터를 얻을 수 있는 새로운 관문입니다.IoT 장치를 안전하게 사용하려면 점점 더 복잡해지는 임베디드 시스템 보안이 필요하며, 주류 VR/AR이라는 멋진 신세계도 예외는 아닙니다.Log4Shell 익스플로잇에서 살펴본 것처럼 코드 수준의 단순한 오류가 위협 행위자의 백스테이지 패스로 번질 수 있으며, 시뮬레이션된 현실에서는 모든 움직임이 도난당할 수 있는 데이터를 생성합니다.
초기 단계에 있지만 성공적인 메타버스를 위해서는 암호화폐의 실질적인 채택 (최신 밈 코인을 무작위로 비축하는 것이 아니라) 과 NFT와 같은 가치 있는 아이템, 즉 우리의 실제 부, 정체성, 데이터 및 생계가 잠재적으로 사람들을 위험에 빠뜨릴 수 있는 새로운 “와일드 웨스트 (Wild West)" 에 노출될 수 있습니다.엔지니어가 장대한 기능과 개선 사항에 열광하기 전에 이 새롭고 방대한 공격 표면을 처음부터 최소화하는 것이 우선되어야 합니다.
Log4Shell을 계기로 제정된 법률
널리 사용되는 Log4j 로깅 도구의 악용 가능한 버전이 있는지 찾기 위해 분주히 움직이면서 혼란에 빠진 수많은 개발자들에게는 휴가 기간이 즐거운 시간이 아니었을 것이라고 생각합니다.
이 제로데이 공격은 기록상 최악, Log4Shell과 치명적인 하트블리드 OpenSSL 취약점을 비교한 결과 6년이 지난 지금도 여전히 착취 당하고 있습니다.이 타임라인을 넘겨야 한다면, 우리는 앞으로 오랫동안 Log4Shell 숙취 문제를 해결하게 될 것입니다.하트블리드 (Heartbleed) 로부터 배운 교훈을 보더라도, 적어도 패치를 가능한 한 빨리 출시하고 구현해야 한다는 측면에서 볼 때, 많은 조직들이 스스로를 보호할 수 있을 만큼 신속하게 조치를 취하지 않고 있다는 것이 분명합니다.회사 규모에 따라 패치 적용은 매우 어렵고 관료적이어서 부서 간 문서화 및 구현이 필요할 수 있습니다.IT 부서와 개발자는 사용 중인 모든 라이브러리, 구성 요소 및 도구에 대한 백과사전적 지식이 없는 경우가 많으며, 운영 중단과 애플리케이션 다운타임을 최소화하기 위한 엄격한 배포 일정 때문에 어려움을 겪고 있습니다.이러한 작업 방식에는 타당한 이유가 있지만 (참고: 아무도 작업 중에 스패너를 던져 무언가를 망가뜨리고 싶어하지 않습니다), 너무 느리게 패치하는 것은 고사하고 맙니다.
마치 태양풍 공격 소프트웨어 공급망의 판도를 바꿨습니다. Log4Shell의 여파로 비슷한 일이 일어날 것으로 예상합니다.이미 패치 관리 지침 및 권장 사항이 있긴 하지만 일부 주요 산업, 광범위한 법률은 또 다른 이야기입니다.예방적 소프트웨어 보안은 긴급한 보안 패치를 완전히 피할 수 있는 가장 좋은 방법이지만, 보안 모범 사례에 따르면 패치는 타협할 수 없는 우선 순위 조치입니다.필자는 이것이 뜨거운 주제가 될 것이며, 이를 통해 신속하고 자주 패치를 적용하라는 아주 사소한 권고 사항으로 이어질 것이라고 생각합니다.
아키텍처 보안에 더 중점을 두다 (개발자들은 아직 준비가 안 되어 있음)
더 뉴 OWASP 탑 10 2021 Injection 취약점이 상위권에서 하위권으로 떨어지면서 놀랍게도 새로 몇 가지 중요한 사항이 추가되었습니다.새로 추가된 기능은 보안 코딩 및 보안 모범 사례에 대한 개발자의 여정을 위한 일종의 “2단계”에 해당하며, 안타깝게도 대부분 제대로 교육을 받지 않으면 위험 감소에 긍정적인 영향을 미칠 준비가 되어 있지 않습니다.
코드에서 흔히 발생하는 보안 버그를 해결하려면 개발자가 보안 기술을 갖추어야 한다는 사실을 오래전부터 알고 있었으며, 조직은 개발자 주도 예방이라는 전제에 더 잘 대응하고 있습니다.하지만, 안전하지 않은 설계 OWASP Top 10에 속하며 단일 유형의 보안 버그가 아니라 아키텍처 보안 문제의 범주에 속한다고 주장하는 개발자는 일단 이를 숙달하고 나면 기본 수준을 넘어서야 합니다.보안 팀의 지원을 받는 것이 이상적으로는 위협 모델링을 다루는 학습 환경에서는 개발자의 숙련도가 향상되면 심각한 부담을 덜 수 있습니다. 하지만 현재 상태로는 대부분의 소프트웨어 엔지니어에게 상당한 지식 격차가 발생합니다.
이러한 문제를 해결하려면 많은 노력이 필요합니다. 조직은 워크플로에 큰 지장을 주지 않으면서 개발자의 호기심을 불러일으키면서 개발자를 위한 긍정적인 보안 문화를 조성하는 데 중요한 역할을 할 수 있습니다.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
