눈에 잘 띄지 않는 곳에 숨기: SolarWinds 공격이 악의적인 사이버 위험보다 더 많은 것을 드러낸 이유
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면 이는 엄청난 데이터 유출로 미국 정부에 영향을 미치는 사상 최대 규모의 사이버 스파이 사건이 될 것으로 예상됩니다.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
이 기사의 한 버전이 에 게재되었습니다. 다크 리딩.여기에서 업데이트 및 신디케이트되었습니다.
사이버 보안 업계에서 크리스마스를 망칠 만한 무언가가 있었다면, 이는 엄청난 데이터 유출로 이어져 오고 있습니다. 최대 규모의 사이버 스파이 이벤트 기록상 미국 정부에 영향을 미쳤습니다.
SolarWinds 공격은 광범위하며 위협 행위자가 처음에 소프트웨어를 침해했습니다. 빠르면 2019년 중반부터.이 수개월에 걸친 강도 사건은 유명 사이버 보안 회사에 침투하는 데 사용된 후 2020년 12월에 발견되었습니다. 파이어아이그리고 거기서부터 악몽이 풀렸다.보안 침해의 전체 범위는 아직 조사 중이지만 주요 침투 영역으로는 국립 보건원 외에도 미국 국무부, 국토안보부, 상무부, 재무부 등이 있습니다.
이 사건에는 여진이 계속될 것입니다. 하지만 그 정교함은 정말 매력적입니다.기술적인 측면에서는 사용자 지정 악성 도구, 백도어, 은폐된 코드가 포함된 다층적인 침투로, 우리가 흔히 흔히 볼 수 있는 명백한 오류를 악용하는 스크립트 개발자의 기술을 훨씬 뛰어넘습니다.
최악의 코드 세탁
CrowdStrike는 익스플로잇을 리버스 엔지니어링하는 데 천재적인 노력을 더 많이 해왔습니다. 조사 결과를 자세히 설명하기 모두가 볼 수 있도록.이제 SolarWinds가 인프라 침해의 피해자였다는 사실이 밝혀졌습니다. 이로 인해 시스템 업데이트에 악성 코드가 주입되어 위협 행위자에게 전례 없는 액세스를 허용한 최소 4개의 개별 맬웨어 도구가 생겼습니다.
이 방법은 은밀했기 때문에 Jason Bourne의 소설에서 튀어나온 것처럼 보이는 전략적 정확성이 가능했습니다.이를 통해 SolarWinds 네트워크 외부에서 피해자를 찾아다니며 계획을 세우고 피해자가 원하는 시기에 포괄적인 공급망 공격을 감행할 시간을 벌었습니다.그리고 이 모든 것은 완전히 무해해 보이는 코드로 수행되었습니다.
사이버 공격은 단순하지만 비용이 많이 드는 오류의 결과인 경우가 많습니다.일단 발견되면 실수는 명백합니다. 네트워크가 제대로 구성되지 않고 암호가 저장되어 있다고 생각해보세요. 일반 텍스트또는 알려진 익스플로잇에 취약한 패치되지 않은 소프트웨어.이 경우에는 개발자와 보안 엔지니어뿐만 아니라 코드가 전혀 눈에 띄지 않았습니다.비용이 많이 들고 복잡한 수많은 보안 기술로도 이를 탐지하지 못했습니다.
보안 모니터링 및 침투 테스트 도구는 사실상 무용지물이 되었습니다.
보안 전문가는 말 배설물처럼 드물기 때문에 기업의 보안 요구 사항에 맞게 맞춤화된 기술 스택을 통해 막대한 양의 회사 데이터, 소프트웨어 및 인프라를 보호하려는 노력을 지원합니다.여기에는 일반적으로 네트워크 방화벽, 자동 침투 테스트, 모니터링 및 검사 도구와 같은 구성 요소가 포함되며, 후자는 소프트웨어 개발 프로세스에 많은 시간을 소모합니다.이러한 툴은 빠르게 늘어나며 관리 및 실행이 어려워질 수 있습니다. 많은 기업에서 이러한 도구를 사용하고 있습니다. 300개 이상의 다양한 제품 및 서비스.
SolarWinds는 코드의 보안 버그, 무단 네트워크 액세스 시도, 인프라의 어느 부분에서든 잠재적 손상을 찾아내고 탐지 회피의 징후를 찾아내 강조할 수 있는 다양한 도구를 갖추고 있을 것입니다.이러한 위협 행위자들이 최첨단 보안 스택으로도 발견되지 않은 악성 코드를 주입할 수 있었던 것은 전례가 없는 일입니다.
인프라 강화, 특히 액세스 제어는 일반적인 사이버 보안 모범 사례의 기본 구성 요소이지만 공격자가 작은 기회를 조용히 악용할 수 있다면 독립 실행형 소프트웨어의 취약점과 마찬가지로 네트워크가 손상될 수 있습니다.
이러한 침해는 일반적으로 네트워크 인프라와 소프트웨어를 보호하기 위해 도구에만 크게 의존하는 모든 회사가 엄청난 위험을 감수하고 있음을 상기시켜줍니다.코드를 보호하는 것만으로는 충분하지 않습니다. 코드를 저장하고, 실행하고, 컴파일하는 모든 것이 똑같이 강화되어야 합니다.이상적인 상태는 도구와 인력의 균형을 유지하고 잠재적 공격 표면을 심층적으로 평가하고 줄이는 강력한 전략을 실행하는 것입니다.
팀 간 보안 인식으로 위협 모델링 개선
SolarWinds 침해는 이미 보안 운영, 특히 정부 차원에서 중대한 영향을 미치기 시작했습니다.전문가들은 이렇게 선전하고 있습니다. 사이버 보안 관행을 영원히 바꿀 수 있습니다.
점점 더 디지털화되는 인프라는 우리의 삶을 강화합니다. 꼼꼼하게 관리하지 않으면 공격에 취약할 수 있지만 우리의 일반적인 전략에는 결함이 있습니다.보안 전문 지식에 있어서는 인력이 턱없이 부족하지만 그 격차를 좁히기 위해 많은 노력을 기울이고 있지는 않습니다.사람이 주도하는 보안 인식은 사이버 보안에서 충분히 활용되지 않는 요소이며, 대응보다는 예방을 우선시하는 것도 마찬가지입니다.
인프라 보안은 여러 가지 변동 요소가 있는 복잡한 작업이지만, 소프트웨어 개발 시 적용되는 방식과 마찬가지로 개발자는 적절한 교육을 받고 보안을 인식한다면 구조적 위험을 줄이는 데 큰 도움이 될 수 있습니다.
이러한 유형의 공격에도 불구하고 위협 모델링이 공급망 공격을 설명하는 경우는 거의 없습니다. 빠르면 2012년에 강조되었습니다. 이는 현재의 기술로는 예방하기 어려운 주요 리스크로, 많은 기업들이 이에 대한 대비를 제대로 하지 못하고 있습니다.소프트웨어 개발자는 예방에 절대적으로 중요한 역할을 할 수 있습니다. 개발자의 숙련도를 높이고 코드 무결성을 내부에서부터 평가할 수 있도록 하는 것부터 시작해야 합니다.업데이트 메커니즘을 안전하게 구축했나요?소프트웨어가 불필요한 연결로 실행되고 있어 악의적인 보안 침해가 더 쉬워지고 있나요?
보안이 소프트웨어 품질과 동의어일 때 보안 지식을 갖춘 엔지니어가 제공할 수 있는 엄청난 가치를 쉽게 알 수 있습니다.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
