程序员以代码的形式征服安全基础架构系列:不安全的密码学
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
如今,对诸如密码、个人信息和财务记录之类的关键数据进行哈希处理是任何网络安全防御的基石。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
精明的组织正在接受基础设施即代码的概念,正是像你这样的开发人员可以在编写安全代码方面做出重大贡献,即使在构建应用程序之外也是如此。起初这似乎是一条漫长的旅程,但要在同行中脱颖而出,这段旅程是值得的。
在我们开始最新的 Coders Conquer Security 系列的下一章之前,我想邀请你来玩一场敏感数据存储漏洞的游戏化挑战赛;立即玩游戏并从 Kubernetes、Terraform、Ansible、Docker 或 CloudFormation 中进行选择:
那怎么样?如果你的知识需要一些研究,请继续阅读:
如今,对密码、个人信息和财务记录等关键数据进行哈希处理是任何网络安全防御的基石。在很多方面,它既是最后的防线,也是最好的保护方式之一。这是因为即使攻击者能够突破其他防御措施并获得关键文件,只要对它们进行了适当的哈希处理和存储,也不会对它们产生多大好处。
这也可以作为抵御恶意内部人员的可靠二级保护,因为加密文件可以与网络的其余部分使用不同的密钥或密码。在这种情况下,系统管理员或黑客等泄露了管理员凭据的人也许能够浏览受保护的目录,但如果加密密钥保存在其他地方,他们仍然无法解锁在那里找到的加密文件。
当然,所有加密保护方法都依赖于强大的加密标准,即使是最强大的计算机也无法打破这些标准。
为什么不安全的密码学很危险?
在计算机技术方面,能够创建强大的加密算法以及破解这些算法的能力已经竞争了很长时间。早在1977年,美国联邦政府就制定了数据加密标准(DES),这是一种56位算法,考虑到计算机的相对强大功能,该算法在当时被认为是安全的。
但是计算机不断发展,人们找到了将它们协作联网的方法,以进一步增强其能力。1999年,电子前沿基金会与Distributed.net共同努力,在短短22小时内公开破解了对受DES保护的文档的加密。突然之间,任何受 DES 加密保护的文档都不再安全了。
信不信由你,一些组织仍然使用DES算法或类似的弱加密保护来保护他们的关键文件。尽管分布式网络在 1999 年打破了 56 位加密,但如今,只要有一点时间,几乎任何足够强大的独立计算机都能做到这一点。黑客还创建了由图形处理器单元(GPU)库构建的专用破解机。这些 GPU 非常擅长这项任务,购买和在本地联网的费用相对较低。
如果您现在选择使用不安全或较弱的加密算法保护您的关键文件,那么不久之后,大多数黑客就可以分解这些文件并使其可读。如果你遭受数据泄露的困扰,那么你必须假设如果文件没有得到足够的保护,它们最终会遭到破坏。
例如,以下 Kubernetes 代码片段使用弱密码算法在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:DES-CBC3-SHA
ssl 协议:“TLSv1.2”
在该示例中,使用了 DES 密码套件来保护信息。但是,攻击者可以轻松解密它并访问敏感信息。
建议使用强密码算法。在以下 Kubernetes 示例中,已使用强密码套件在 NGINX 入口控制器级别保护信息:
API 版本:v1
种类:ConfigMap
元数据:
名称:nginx-load-balancer-conf
命名空间:kube-系统
数据:
ssl 密码:|
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305: ECHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384:ECHE-ECDSA-AES256:ECHE-ECDSA-AES128-SHA256: ECHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
ssl 协议:“TLSv1.2”
在该示例中,使用了一套强大的密码来避免攻击者获得潜在的敏感信息。
使用高度加密保护关键信息
当今可用的高度加密几乎是牢不可破的。2001 年,美国国家标准与技术研究所 (NIST) 创建了一种新的加密技术来取代 DES。它被称为高级加密标准 (AES),使用三种不同的密钥长度,分别是 128、192 或 256 位。256 位 AES 加密是最安全的,尽管考虑到当今的技术,这三种加密都被认为几乎完全牢不可破。使用超级计算机进行的测试发现,破解大多数受AES保护的文档需要数千年的不懈努力。
为了正确保护关键文件,开发人员应首先识别它们。无需对网络上的所有内容进行加密,因为持续的加密和解密过程可能会减慢操作速度。但是,人事记录、客户数据和财务信息等关键文件需要足够的保护。从本质上讲,这是在安全与拥有可行系统之间取得的平衡。
而且,这些数据应该按照AES标准之一进行加密,甚至可以对不应该落入坏人之手的真正关键信息进行256位加密。
要考虑的另一件事是,添加加密就像向站点添加更多密码一样。这意味着授权用户需要跟踪加密密钥。为防止这成为工作流程瓶颈,可以考虑实施密钥管理平台来跟踪这些密钥并确保其安全。而且,即使你最终没有使用集中式密钥管理,也要确保所有密钥和密码都受到保护,以确保未经授权的用户无法进入你最安全的数据库。
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞的破坏。你也可以 试试 iaC 挑战赛的演示 在 Secure Code Warrior 培训平台中,让您的所有网络安全技能不断磨练并保持最新状态。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
