隐藏在众目之外:为什么 SolarWinds 攻击所揭示的不仅仅是恶意网络风险
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
如果说网络安全行业有什么要毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为有记录以来影响美国政府的最大网络间谍事件。
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
