2022年に無視できないサイバーセキュリティ問題
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
サイバー犯罪者との戦いに関しては、予防的な考え方でサイバー犯罪者の遊び場を先取りし、できる限り彼らと歩調を合わせる必要があります。来年、彼らが波を起こし始めるかもしれないと思うのは次の点です。
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société, Sensei Security. Tout au long de sa carrière, Matias a dirigé plusieurs projets de recherche sur la sécurité des applications, qui ont abouti à la création de produits commerciaux et à l'obtention de plus de 10 brevets.Lorsqu'il n'est pas à son bureau, Matias enseigne dans le cadre de formations avancées sur la sécurité des applications et intervient régulièrement lors de conférences internationales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matthias a obtenu un doctorat en génie informatique à l'université de Gand, où il a étudié la sécurité des applications grâce à l'obfuscation des programmes visant à masquer le fonctionnement interne des applications.
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société, Sensei Security. Tout au long de sa carrière, Matias a dirigé plusieurs projets de recherche sur la sécurité des applications, qui ont abouti à la création de produits commerciaux et à l'obtention de plus de 10 brevets.Lorsqu'il n'est pas à son bureau, Matias enseigne dans le cadre de formations avancées sur la sécurité des applications et intervient régulièrement lors de conférences internationales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matthias a obtenu un doctorat en génie informatique à l'université de Gand, où il a étudié la sécurité des applications grâce à l'obfuscation des programmes visant à masquer le fonctionnement interne des applications.
この記事のバージョンは 情報セキュリティマガジン。ここで更新され、シンジケートされました。
過去2年間は、誰にとっても火の洗礼のようなものでしたが、私たちの多くが事実上一夜にしてリモートワークモデルに陥ったため、ほとんどの組織のサイバーセキュリティ計画が試練にさらされました。特に絶望的な脅威アクターが押し寄せる中、私たちは業界としての可能性を高め、適応しなければなりませんでした。 報告されたサイバー犯罪が 300% 急増 パンデミックが始まって以来。
私たちは皆、いくつかの教訓を学んできましたが、一般的なサイバーセキュリティがより真剣に受け止められているだけでなく、コードレベルのソフトウェアセキュリティと品質もより真剣に受け止められているという事実に安心しています。 バイデンの大統領命令 ソフトウェアサプライチェーンの保護について、特にSolarWindsの大量侵害をきっかけに、重大な問題が明らかになりました。私たち全員がセキュリティにもっと気を配る必要があるという考えは、 そして 測定可能なセキュリティ意識を持って脆弱性を減らす取り組みは、間違いなく会話の大部分を占めています。
そうは言っても、サイバー犯罪者との戦いに関しては、予防的な考え方で彼らの遊び場を先取りして、できる限り彼らと歩調を合わせる必要があります。
来年、彼らが波を起こし始めるかもしれないと思うのはここだと思います。
メタバースは新しい攻撃対象領域です
メタバースはインターネットの次の進化かもしれませんが、ほとんどの業界がソフトウェアとデジタル環境の保護に取り組む方法では、同様の変革はまだ実現していません。
フィッシング詐欺のような一般的なサイバーセキュリティの落とし穴は避けられませんが(誰もがメタバースに足を踏み入れている間はたくさんあるでしょう)、この没入型の仮想世界を可能にする実際のインフラストラクチャとデバイスは安全である必要があります。スマートフォンが私たちのオンライン生活に役立ったのと同様に、VRヘッドセットなどの周辺機器は、山のようなユーザーデータへの新しいゲートウェイです。IoT ガジェットを安全に保つためには、組み込みシステムのセキュリティがますます複雑になっており、主流 VR/AR という素晴らしい新世界も例外ではありません。Log4Shellのエクスプロイトで見てきたように、コードレベルでの単純なエラーは、脅威アクターのバックステージに突入する可能性があり、シミュレートされた現実では、あらゆる動きによって盗まれる可能性のあるデータが生成されます。
まだ初期段階ですが、メタバースを成功させるには、暗号通貨(最新のミームコインをランダムに買いだめするだけではありません)やNFTなどの価値のあるアイテムを実用的に採用する必要があります。つまり、現実の富、アイデンティティ、データ、生計は、人々を危険にさらす可能性のある新しい「西部開拓時代」に開かれる可能性があります。私たちエンジニアが壮大な機能や強化に夢中になる前に、この新しい広大な攻撃対象領域をゼロから最小限に抑えることを優先すべきです。
Log4Shellをきっかけに制定された法律
広く使われているLog4jロギングツールの悪用可能なバージョンのインスタンスやそれに関連する依存関係がないか、混乱に陥った多くの開発者にとって、休暇期間は楽しい時間ではなかったと思います。
このゼロデイ攻撃は 記録上最悪の、Log4Shellと壊滅的なハートブリードOpenSSLの脆弱性を比較しました。 6年以上経った今でも悪用されています。このタイムラインを参考にすれば、Log4Shellの二日酔いには今後長い間、対処することになるでしょう。Heartbleedから学んだ教訓があっても、少なくともパッチをできるだけ早く展開して実装する必要性という点では、多くの組織が保護を維持するのに十分な速さで行動していないことは明らかです。会社の規模にもよりますが、パッチの適用は非常に困難で官僚的であり、部門間の文書化と実装が必要になります。多くの場合、IT 部門や開発者は、使用されているすべてのライブラリ、コンポーネント、ツールについて百科事典的な知識を持っているわけではなく、システム停止やアプリケーションのダウンタイムを最小限に抑えるための厳しい導入スケジュールに悩まされています。このような作業方法にはもっともな理由があります (「誰も作業に手間をかけて何かを壊したくない」など) が、パッチが遅すぎるのは、黙っているようなものです。
と同じように ソーラーウィンズ・アタック ソフトウェアサプライチェーンの状況を変えました。Log4Shellをきっかけに同様のことが起こると予測しています。にはすでにパッチ管理の義務と推奨事項がありますが 一部の重要産業、広範囲にわたる法律は別の話です。緊急のセキュリティパッチ適用を完全に回避するには、予防的ソフトウェアセキュリティが常に最善の方法ですが、セキュリティのベストプラクティスでは、パッチ適用は譲ることのできない優先措置です。これはホットな話題になると思うし、パッチを迅速かつ頻繁に実施するような、それほど微妙ではない推奨につながると思います。
アーキテクチャのセキュリティに重点が置かれている (開発者はまだ準備ができていない)
新しい オワスプトップ10 2021 いくつかの重要な新機能が追加されただけでなく、インジェクションの脆弱性がトップから3位に下がったという驚きもありました。これらの新しい追加は、安全なコーディングとセキュリティのベストプラクティスにおける開発者の旅の「第2段階」のようなものですが、残念なことに、適切なトレーニングを受けていない限り、ほとんどの場合、ここでリスクの軽減にプラスの影響を与えるための準備が整っていません。
コードの一般的なセキュリティバグに対処するには、開発者がセキュリティスキルを持っている必要があることは以前からわかっていました。また、組織は開発者主導の防止の前提によりよく対応するようになっています。ただし、 安全でないデザイン OWASP Top 10 にランクインし、1 種類のセキュリティバグというよりはアーキテクチャ上のセキュリティ問題のカテゴリであるため、開発者はいったん基本をマスターしたあとは、基礎からさらに突き進む必要があります。脅威モデリングをカバーする学習環境(理想的にはセキュリティチームのサポートあり)は、開発者がスキルアップに成功すれば大きなプレッシャーを取り除きますが、現状では、ほとんどのソフトウェアエンジニアにとって大きな知識ギャップとなっています。
これに対抗するには「村が必要」なので、開発者はワークフローに大きな支障をきたすことなく好奇心をそそり、開発者に好奇心をそそり、ポジティブなセキュリティ文化を醸成する役割を果たすことができます。
Table des matières
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
