DE{CODE}: Păstrați-vă site-urile WordPress în siguranță în mijlocul unei creșteri a atacurilor cibernetice globale

Alăturați-vă experților de la WP Engine și Cloudflare pentru această sesiune specifică securității despre cum să vă blocați site-urile web. Discuția evidențiază tendințele recente ale atacurilor cibernetice, împreună cu exemple specifice despre modul în care WP Engine vă protejează site-urile. Dezvoltatorii vor pleca cu o listă de verificare clară a pașilor de urmat pentru securizarea site-urilor lor.

Diapozitive de sesiune

Transcriere text integral

ERIC JONES : Bun venit la DE{CODE} și vă mulțumim că v-ați alăturat la ceea ce promite a fi o sesiune incredibilă. Numele meu este Eric Jones și sunt VP Corporate Marketing aici la WP Engine. Nu aș putea fi mai încântat să moderez astăzi această discuție între Joe Sullivan, șeful de securitate al Cloudflare, și Brent Stackhouse, vicepreședintele de securitate pentru WP Engine, care între ei au zeci de ani de experiență în securitate.

Discuția noastră, Păstrarea site-urilor WordPress în siguranță în timpul unei creșteri a atacurilor globale de securitate cibernetică, nu ar putea fi mai oportună, având în vedere că atacurile cibernetice nu numai că sunt în creștere, dar sunt la cote record, record. Joe, de ce nu începem cu tine? Mi-ar plăcea să aud dintr-o perspectivă amplă, macro, ce tendințe vedeți în peisajul securității cibernetice.

JOE SULLIVAN : Sigur. Sunt fericit să intru. Vă mulțumesc că m-ați invitat la această conversație. De asemenea, abia aștept cu nerăbdare. Cred că există două, cred, megatendințe în lumea securității chiar acum. Numărul unu este că este mult mai important în ochii lumii.

Așadar, înainte de a trece la partea tehnică și la provocările reale cu care ne confruntăm zi de zi, merită să ne luăm un moment pentru a ne uita la cât de mult a evoluat lumea securității de când Brent și cu mine am început în această profesie, deoarece ai spus, cu zeci de ani în urmă.

Securitatea nu mai este o echipă sau un concept care se află în colțul unei organizații. Este esențial pentru tot ceea ce facem. Directorii generali sunt trași la răspundere. Consiliile pun întrebări grele. Capitaliștii de risc nu vor contribui decât dacă văd nivelul potrivit de investiții.

Și, mai important, clienții noștri și consumatorii și cumpărătorii de afaceri ai produselor noastre cer mult mai mult de la noi. Și asta, pentru mine, este cea mai importantă tendință și motivul pentru care purtăm această conversație. Contează pentru fiecare dezvoltator în fiecare aspect al muncii lor.

Deci, referindu-ne la ceea ce se întâmplă de fapt în lumea securității, nu devine mai ușor. Și provocările continuă să vină asupra noastră. Dacă acordați atenție titlurilor, ați văzut în ultimul timp creșterea ransomware-ului. Este chiar înfricoșător.

Ransomware-ul a schimbat jocul din punct de vedere al securității, deoarece a trecut de la furtul unor date sau expunerea a ceva lumii la închiderea afacerii tale. Și astfel, întregul concept al importanței securității a fost amplificat de acel risc, ideea că ne-am putea trezi dimineața și să nu ne putem porni laptopurile, să nu ne punem în funcțiune site-ul. E chiar înfricoșător.

Lucrurile geopolitice chiar încep să ne afecteze pe toți. Situația din Ucraina nu este limitată la lumea fizică. Este foarte mult în contextul cibernetic chiar acum. Și se revarsă pentru a ne afecta pe ceilalți. Deci, evenimentele geopolitice care se petrec în lumea fizică au implicații tehnice pentru cei dintre noi care încearcă să opereze afaceri care sunt pe internet.

Și cred că al treilea lucru pe care l-aș menționa din punct de vedere tehnic este că nu trăim în lumi cu propriul nostru cod. Trăim în lumi care sunt o amalgamare de software și cod care se reunesc pentru a reprezenta o organizație.

Și așa, în securitate, folosim termenul de lanț de aprovizionare pentru a vorbi despre toate celelalte coduri și alte aplicații și despre tot ceea ce devine parte din identitatea noastră ca companie. Așa că, de exemplu, când au existat recent povești despre compromisul Okta, aceasta nu era doar o întrebare dacă Okta a fost compromis. Era problema dacă compania mea și toate celelalte companii care folosesc Okta sunt compromise.

Și clienților mei nu le păsa de Okta. Le-a păsat de folosirea noastră și ce controale aveam în vigoare pentru a reduce riscul ca Okta să fie compromis? Deci, se întâmplă multe în acest moment. Și este un moment bun pentru a avea această conversație.

ERIC JONES: Joe, doar ca o întrebare ulterioară, cum credeți despre prioritizarea tuturor acestor provocări specifice pe care le aveți și pe care le are fiecare organizație de securitate?

JOE SULLIVAN: Sigur. Cred că asta este întrebarea supremă. Dacă am avea un buget nelimitat și oameni nelimitați care ar putea face treaba, am putea face totul. Dar aceasta nu este realitatea în nicio organizație în orice stadiu al dezvoltării sale.

Deci suntem mereu în proces de prioritizare. Și așa că ceea ce aș spune este că mai întâi trebuie să prioritizați elementele de bază. Este șocant cât de mare parte din compromisuri provin din eșecuri în elementele de bază.

În calitate de profesioniști în securitate, ne place să cercetăm acel atac zero-day sau atacul O-day și să ne uităm la acest lucru cu adevărat complicat. Dar în 90% din timp, compromisurile vin din e-mailurile de phishing sau din cauza unei persoane care alege să folosească aceeași parolă pe care a folosit-o pe un site web personal care a fost compromis și să nu activeze autentificarea multifactorială.

De multe ori, avem de fapt instrumentele necesare pentru a face bine elementele de bază, dar nu ne facem timp să le implementăm.

ERIC JONES: Da, cred că ai lovit un punct crucial în securitate, nu? Că este ceva pentru care suntem toți responsabili. Este o responsabilitate comună în întreaga organizație. Nu locuiește doar în cadrul echipei de securitate. Locuiește cu fiecare angajat dintr-o anumită companie.

Brent, întorcându-mă la tine, dintr-o perspectivă WordPress, ce este același lucru, ce este diferit în WordPress și care sunt unele dintre cele mai mari puncte de vulnerabilitate pe care le vezi în peisaj?

BRENT STACKHOUSE : Mulțumesc, Eric și mulțumesc că m-ai invitat. Apreciez să împărtășești timpul cu Joe. El știe o mulțime de lucruri. Am fost în jurul blocului de câteva ori. Deci acest lucru este fascinant.

WordPress în multe feluri – știrile sunt în general bune în sensul că WordPress Core este diferențiat de toate pluginurile și temele și alte lucruri din ecosistemul WordPress. WordPress Core continuă să fie robust și rezistent împotriva atacurilor comune.

Prin urmare, WordPress în sine este o platformă bună, stabilă și puternică, pe care clienții ar trebui să se simtă confortabil să o utilizeze în aproape orice context. Provocarea este în mare parte din partea pluginurilor, unde wordpress.org sau acei dezvoltatori de bază nu au nimic de-a face în general cu majoritatea pluginurilor și temelor.

Și variabilitatea calității codului, similară cu aplicațiile pe care le veți obține în Magazinul Google Play sau ceva de genul acesta, acestea nu sunt scrise de, așa cum tocmai spuneam, Google. Nu sunt scrise de WordPress, aceste plugin-uri și teme și ar putea fi orice, de la un singur dezvoltator la o echipă. Amprenta acelor plugin-uri sau teme poate fi de la foarte mică la foarte mare. Ei pot avea un istoric bun de a repara lucrurile rapid sau nu.

Si asa depinde. Deci, pe măsură ce WordPress crește în popularitate, iar ecosistemul crește în popularitate, puteți presupune că atacatorii își vor continua să-și intensifice eforturile, deoarece atacatorii merg acolo unde sunt banii, similar cu motivul pentru care Windows are mai multe programe malware decât Mac-urile în general. Asta pentru că acolo este amprenta și acolo sunt banii.

Prin urmare, WordPress nu este diferit și, pe măsură ce crește în popularitate, vă puteți aștepta ca atacatorii să continue să facă ceea ce face. Vestea bună este că, în comparație cu când am pornit motorul WP acum patru ani, ecosistemul este în mare parte mai sănătos.

Dezvoltatorii de pluginuri, dezvoltatorii de teme sunt mai conștienți de faptul că vor primi contribuții de la cercetătorii de securitate sau de la alți oameni care observă vulnerabilități. Și cei mai mulți dintre ei își construiesc în mod responsabil acel mușchi, astfel încât să poată întoarce petice foarte, foarte repede.

Deci lucrurile sunt mult mai bune decât înainte. Cu patru ani în urmă, mulți dezvoltatori au fost surprinși când au apărut vulnerabilități și nu au fost chiar atât de rapidi sau capabili să răspundă nevoilor clienților lor în ceea ce privește corecțiile regulate.

Noi toți, în calitate de consumatori de tehnologie, suntem obișnuiți cu, citați fără ghilimele, „Patch Tuesday” sau actualizările noastre regulate de la Apple și altele. Deci nu suntem surprinși de vulnerabilități. Am fi, totuși, foarte surprinși dacă acel furnizor nu a corectat ceva în mod responsabil și rapid.

Deci ecosistemul WordPress este în general mai sănătos decât era, cred, acum patru ani. Din nou, WordPress Core este grozav, dar pluginurile și temele, cred, în general țin pasul. Deci este destul de pozitiv.

ERIC JONES: Doar pentru a face dublu clic pe ceva ce ai spus despre WordPress Core, despre ce este vorba despre însăși natura software-ului open source care poate ajută la securitatea acestei probleme? Pentru că cred că aceasta este una dintre acele concepții greșite și mituri care există că, cumva, software-ul open source nu este în mod fundamental sigur.

BRENT STACKHOUSE: Ei bine, asta e o întrebare grozavă. Și m-ar interesa părerile lui Joe despre asta. Și să nu-ți arunc o curbă, Eric, dar sunt destul de mare. Am văzut ce înțelegem prin sursă deschisă se schimbă destul de mult în timp.

Open source pe vremuri erau proiecte foarte cunoscute, cum ar fi Apache, sau, să zicem, OpenSSH, sau, să zicem, Linux, și lucruri de genul acesta și atunci când spunem open source pe atunci, asta eram de obicei. referitor la.

Și, da, au existat o mulțime de proiecte secundare, terțiare, orice proiecte mai mici acolo, care nu au fost la fel de bine întreținute, etc. Acum, ceea ce cred că ne referim prin sursă deschisă este practic orice este în GitHub, oricine a postat ceva acolo pe care oricine. altcineva poate apuca.

Vorbești despre biblioteci, cod foarte mic pe care oricine ar putea spune, oh, care arată grozav pe baza caracteristicilor sale, că vom încorpora asta. Și voi vorbi puțin mai târziu, la care Joe a făcut aluzie cu problemele lanțului de aprovizionare. Voi vorbi puțin mai târziu despre provocările specifice dezvoltatorului în ceea ce privește diminuarea riscurilor din lanțul de aprovizionare.

Pentru că open source – mă gândesc la întrebarea ta, Eric, despre WordPress. Este grozav că sursa este acolo. Mulți oameni se uită la el. Cred că asta e adevărat și pe vremuri cu Apache și lucruri de genul ăsta. Orice lucru care este folosit pe scară largă va fi analizat atât de la băieții buni, cât și de la cei răi și cred că este un lucru bun. Securitatea prin obscuritate nu a fost niciodată o practică bună. Și așa că este grozav să ai codul acolo.

Dar sursa deschisă echivalând cu o securitate mai bună decât cea închisă sau invers este o întrebare greu de răspuns. Pentru că sunt literalmente mere și portocale. Cred că WordPress, ca echipă, a făcut o treabă grozavă folosind alte intrări, altele decât propria inteligență, cum ar fi utilizarea unui program de recompensă pentru erori. WordPress Core face asta de ani de zile. Cred că e inteligent.

Fără îndoială că au cercetători neafiliați care le pun ping în mod regulat cu descoperirile lor. Și echipele inteligente iau acele intrări și fac ceea ce trebuie. Sunt sigur că se testează ei înșiși, etc. Așa că facem lucruri similare la WP Engine, dar asta este un fel de egal pentru curs.

Joe, vreo părere despre asta? Îmi pare rău că o preiau, Eric, dar...

ERIC JONES: Nu, e perfect.

JOE SULLIVAN: Cred că ai lovit foarte mult în punctele mari. Când mă gândesc la soft open source – când mă gândesc la software din orice sursă, cred că trebuie să-l evaluăm înainte de a-l pune în mediul nostru. Și uneori, software-ul open source va fi alegerea mai bună decât ceva care este proprietar. Pentru că știi ce? Lumina soarelui ucide infecția.

Și ceea ce noi cu o mulțime de software open source este că mulți alți oameni se uită la el. Cred că este ceva în lumea securității în general pe care nu îl facem suficient de bine este că stăm cu toții în micile noastre echipe și colțuri și încercăm să rezolvăm totul singuri.

Implicarea comunității este un lucru bun. Transparența și dialogul despre riscurile legate de anumite piese de software este un lucru bun. Și suntem din ce în ce mai buni la asta. Exemplul dvs. de program de recompensă pentru erori este o altă modalitate de a aduce transparență și de a invita terțe părți să facă găuri.

Software-ul open source are o mulțime de oameni care se uită la el atunci când vorbim despre cele mai utilizate și mai importante piese de software open source. Dar, în același mod, nu aș lua doar niște cod din GitHub și l-aș arunca în produsul meu fără a-l examina cu adevărat.

De asemenea, aș spune că trebuie să fiți aceeași precauție atunci când cumpărați o licență pentru software care este proprietar. Încă trebuie să te uiți la cine o face, ce practici au și cât de robust este.

BRENT STACKHOUSE: Da, multe sunt despre – și acesta este un termen tocilar de risc – dar despre asigurare. Ce asigurări putem câștiga pentru orice facem din punct de vedere tehnic, despre cât de siguri sunt odată ce facem A, B, C. Și o mulțime de asigurări, în funcție de situația cu sursa închisă, este mai greu de obținut.

În sursă deschisă, vă puteți simți mai ușor despre cine a făcut ce să verifice codul. Este puțin mai complicat cu sursa închisă. Trebuie să utilizați intrări indirecte care arată că această companie a avut bune practici de securitate de-a lungul timpului etc.

Dar, da, obținerea de asigurări este, la sfârșitul zilei, ceea ce încerci să faci atunci când implementezi, folosind orice tehnologie în general. Mulțumiri.

ERIC JONES: Deci, pentru dezvoltatorii care sunt acolo, care sunt acele asigurări specifice pe care le căutați amândoi în companii? Dacă aceste proiecte sau bucăți de software au aceste lucruri, atunci le considerați a fi bune, a fi puțin mai sigure decât ar fi altfel.

BRENT STACKHOUSE: Vrei un răspuns WordPress? Îl voi lăsa pe Joe să plece dacă vrei să începi în general.

ERIC JONES: Da, Joe, dacă ai putea oferi o perspectivă largă și apoi, Brent, poți oferi o perspectivă mai specifică pentru WordPress.

JOE SULLIVAN: Da, deci, de unde stau, mă gândesc la această întrebare ca cumpărător și ca vânzător, deoarece lucrez la Cloudflare, unde oamenii implementează produsele noastre. Și întrebarea numărul unu pe care o are orice client Cloudflare înainte de a implementa Cloudflare este, ar trebui să am încredere în Cloudflare? Pentru că stăm în fața întregii lor afaceri. Și acesta este un loc cu adevărat riscant pentru a pune pe cineva dacă nu ai încredere în el.

Dar și eu, pentru că creștem și trebuie să ne construim produsele, ne bazăm și pe terți. Și deci sunt la capătul care primesc întrebările dificile și sunt la capătul care pune întrebările dificile.

Și, uite, niciunul dintre noi nu are timp să meargă sau resurse pentru a intra și audita de fiecare dată când vom lucra cu o terță parte. Nu avem echipe suficient de mari. Nu avem aptitudinile setate. Așa că începem cu certificările de securitate ca un concept care contează aici.

Când spun certificări, mă refer la lucruri precum un SOC 2, un SOC 2 Type II precum WP Engine, sau ISO 27001 sau PCI. Când auziți acele cuvinte și certificări, ceea ce ar trebui să credeți este că o terță parte a folosit un set recunoscut de standarde pentru a verifica compania respectivă și a evalua dacă îndeplineau toate controalele pentru acea zonă.

Și astfel fiecare dintre noi – Cloudflare are un raport SOC 2 Type II pe care îl putem partaja. WP Engine are un raport SOC 2 Type II pe care îl putem partaja. Și lucrul frumos despre când spun Tipul II, înseamnă că nu a fost doar un audit punct în timp. A fost o perioadă prelungită de timp.

Deci, de exemplu, cu SOC 2 Tip II, înseamnă că în ultimul an, în orice moment din acel moment pentru care există această certificare, am respectat acele controale minime de securitate. Atât de des este suficient pentru un client. Cum ar fi, oh, acea companie are un SOC 2 Tip II. OK, voi avea încredere în ei.

Dar atunci s-ar putea să doriți să săpați puțin mai adânc pe baza implementării dvs. specifice. Deci, când mă gândesc la cumpărarea unui produs, mă gândesc nu doar la calitatea codului, ci și la modul în care acesta se integrează în mediul meu.

Și deci ceva care contează foarte mult pentru mine este autentificarea. Pot să-l integrez cu autentificarea mea unică, astfel încât să pot gestiona cine are acces la el în interiorul și în afara organizației mele? Pentru că de acolo, așa cum am spus mai devreme, provin un procent mare din problemele de securitate.

Așadar, doriți să alegeți produse precum WP Engine, în care puteți să-l integrați cu SSO și să lăsați securitatea să treacă prin instrumente fără a fi nevoie să faceți multă muncă practică. Deci, pentru mine, sunt certificări plus combinația de tot ceea ce doriți pentru mediul dumneavoastră specific.

ERIC JONES: Și, Brent, întorcându-ți întrebarea înapoi, cum crezi despre asta într-un context WordPress?

BRENT STACKHOUSE: Da, cred că e grozav. Când oamenii caută să extindă ecosistemul WordPress, ca să spunem așa, folosind plugin-uri și teme, câteva lucruri de căutat chiar și dintr-un context de afaceri sau un strat de afaceri sunt, cât de popular este această bucată de cod, plugin sau temă? Și pot vedea în jurnalul lor de modificări că se actualizează în mod regulat, inclusiv pentru actualizări de securitate?

Acestea sunt măsuri sau intrări foarte calitative, dar sunt încă relevante. De obicei, dezvoltatorii de pluginuri sau dezvoltatorii de teme care au o amprentă mare – au o mulțime de clienți – au ceva de pierdut și de câștigat, ca să spunem așa, menținându-și codul bine sau nu, în funcție de modul în care vreau să răsturn asta. Așa că, pur și simplu, alegerea celor mai populare obișnuite pentru orice aveți nevoie este, în general, o practică bună.

La nivel de dezvoltator, puteți aplica mai mult control, ca să spunem așa. Puteți utiliza instrumente statice de securitate a aplicațiilor pentru un anumit plugin. Este posibil să găsiți ceva ce alt cercetător în securitate nu a găsit? Poate că nu, dar este totuși o idee bună să executați aceste lucruri prin orice instrument este. Și există o mulțime de instrumente gratuite cu sursă deschisă sau chiar instrumente comerciale cu costuri foarte mici sau licențe gratuite care vă pot permite să obțineți o mai bună asigurare cu privire la orice cod pe care îl utilizați în mediul dvs.

Un lucru pe care l-a atins Joe și că vă voi vorbi puțin, este că WP Engine este, de asemenea, un consumator de cod, dar și un producător și, prin urmare, suntem, de asemenea, un furnizor de servicii și foarte preocupați de integritatea sistemului nostru. eforturi de dezvoltare end-to-end. Și este o provocare continuă.

Deci, unul dintre lucrurile pentru dezvoltatorii noștri care rulează site-uri WordPress este că ar trebui să fie conștienți, sperăm, de contextul organizației lor despre risc. Pe ce verticală se află, de exemplu? Cât de multă toleranță are organizația față de lucrurile rele care se întâmplă? Anumite sectoare sau organizații sunt mult mai susceptibile la lucruri precum atacurile DDoS etc.

Așa că, gândindu-ne la asta și potențial codificare pentru acele lucruri, nu poți codifica pentru DDoS, dar cu siguranță poți fi conștient de asta și poți scoate la iveală asta. Este foarte important pentru, cred, dezvoltatorii care fac ceea ce trebuie.

ERIC JONES: Schimbând un pic de viteză și cu scopul de a încerca să ofere niște recomandări foarte specifice, Joe, dintr-o perspectivă de securitate la nivel înalt, ce le-ai recomanda să facă proprietarii de site-uri web pentru a-și consolida securitatea?

JOE SULLIVAN: Da, așa că, așa cum cred eu, un gram de prevenire merită un kilogram de vindecare. Și, în contextul securității, asta înseamnă să alegeți instrumentele și platformele potrivite pe care le veți folosi înainte de a începe, mai degrabă decât să încercați să construiți ceva, iar acum să ne dăm seama cum vom pune securitatea pe deasupra.

Așadar, atunci când selectați platforme, când selectați instrumente, când selectați cod, doriți să vă gândiți la asta având în vedere securitatea încă de la început. Și așa, așa cum am spus, dacă puteți obține automat de securitate prin instrumentele pe care le alegeți, veți fi într-un loc mult mai bun decât dacă ar trebui să angajați oameni care să vină de partea și să facă o o grămadă de audituri și apoi încercați să remediați totul în timp ce nava navighează prin ocean.

Nu-l poți remedia așa. Și așa, pentru mine, mereu caut, ce scot din cutie din punct de vedere al securității? Care sunt setările care sunt acolo pentru mine? Și dacă iau elementele de bază ale securității, cred că sunt de fapt doar câteva domenii.

Numărul unu, pentru mine, este întotdeauna acel management al identității și al accesului. Așa că de aceea am vorbit despre capacitatea de a integra single sign-on de la început. Dacă aș înființa o companie, unul dintre primele lucruri pe care le-aș alege ar fi configurația corectă de conectare unică, care se va adapta cu organizația mea. Și aș încerca întotdeauna să aleg produse care se vor integra cu el.

Al doilea lucru la care m-aș gândi este, OK, voi avea o grămadă de coduri care se confruntă cu internetul. Cum pot rezista atacurilor de pe internet? Va trebui să trec prin atacurile mele – a menționat Brent.

Trebuie să îmi dau seama personal cum să am echilibratori de încărcare și să gestionez toate acestea și să cumpăr produse precum Cloudflare? Sau vine încorporat cu o platformă pe care o cumpăr, astfel încât să nu trebuiască să mă gândesc la securitate. Știu că este deja încorporat și așa mai departe. Așa că aș parcurge metodic angajații mei și gestionarea identității și accesului, codul de acces la internet.

Și apoi, așa cum este probabil cel de-al treilea pilon – despre care nu vorbim cu adevărat aici – este, cum configurez laptopurile și lucruri de genul acesta?

ERIC JONES: Și, Brent, poate mergi la tine, care sunt câteva lucruri specifice la care dezvoltatorii WordPress ar trebui să se gândească pentru a construi cele mai sigure site-uri pe care le pot?

BRENT STACKHOUSE: Da, răspunsul meu inițial este că este interesant. O mare parte din ceea ce vorbim este o decizie cu privire la momentul construirii versus cumpărării. Veți construi propriile plugin-uri și toate lucrurile pe care doriți să le faceți pentru a vă extinde ecosistemul WordPress? Sau ai de gând să cumperi, ca să zic așa, chiar dacă este gratuit?

Dar acest lucru se aplică, cred, și eu și Joe, în sensul că consumăm codul altor oameni prin GitHub sau orice alt mecanism și am putea angaja dezvoltatori și am putea face toate acestea de la zero. Sau putem folosi ceva ce a făcut deja altcineva.

Și de ce să recreați roata când nu trebuie? Dar atunci cum poți obține siguranța că codul pe care îl folosești este în stare bună? Deci, revenind la WordPress în special, cred că există câteva lucruri – acesta este probabil de bun simț pentru un public de dezvoltatori, dar îl vom spune oricum. Când codificați, codificați în siguranță, adică știți ce încercați să faceți. Încercați să legați ceea ce încercați să faceți fie din punct de vedere al funcțiilor, fie al tuturor acestor lucruri.

Dar ține cont de Top 10 OWASP. OWASP Top 10 este probabil bine cunoscut publicului nostru. Dar, din nou, elementele de bază sunt importante, așa cum Joe a făcut aluzie mai devreme, așa că elementele de bază pentru dezvoltatori includ cu siguranță OWASP Top 10.

Și apoi folosiți unul dintre acele instrumente statice de securitate a aplicațiilor pe care le-am menționat, care este foarte bun pre-implementat sau în timp ce sunteți implementat. O poți face automat, ca să zic așa. Și asigurați-vă că codul pe care îl trimiteți acolo este într-adevăr într-o formă destul de bună și că nu există vulnerabilități evidente cunoscute cu propriul cod dacă dezvoltați cod personalizat.

Al treilea lucru se leagă de problema lanțului de aprovizionare despre care am vorbit. Și GitHub are câteva funcții gratuite care vă pot spune de fapt când dependențele dvs. din amonte au vulnerabilități cunoscute. Deci, Dependabot, un bot de dependență, este un lucru grozav pe care îl oferă GitHub și ar trebui să aveți absolut activat acest lucru în repozițiile dvs. Și de fapt poate crea PR-uri automat. Și apoi veți avea opțiunea de a îmbina asta dacă credeți că este necesar, astfel încât dependențele dvs. din amonte cel puțin să nu aibă vulnerabilități cunoscute.

Probabil că tot codul are erori chiar și atunci când îl expediați și are un subset dintre acestea, probabil erori de securitate, dar cel puțin trebuie să evităm provocările evidente la care Joe a făcut aluzie mai devreme. Nu vrem să intrăm în ziare pentru că ne lipsește evident. De exemplu, hei, ar trebui să corectezi lucrurile. Deci, da, acestea sunt trei lucruri pe care cred că le-ar putea ține cont dezvoltatorii pentru a se ține departe de foc, ca să spunem așa.

ERIC JONES: Bănuiesc că întrebarea pentru amândoi este, care sunt lucrurile pe care le vedeți coborând pe știucă și care nu sunt chiar pe radar acum? Și care sunt lucrurile la care oamenii, dezvoltatorii, proprietarii de site-uri ar trebui să se gândească la care nu se gândesc acum? Și aceasta este o întrebare deschisă pentru oricare dintre voi.

BRENT STACKHOUSE: Ei bine, da, vreau să intru pentru că Joe a răspuns la chestia cu Okta mai devreme. Deci acel grup anume – acesta este interesant. Deci deja l-am văzut. Așa că nici măcar nu pot spune că asta aproape că vine în jos.

Dar grupul care a explodat Okta și, de asemenea, alte nume mari pe care nu trebuie să le menționăm în acest podcast sau în acest interviu neapărat, folosesc tehnici de inginerie socială foarte, foarte interesante în primul rând, atacuri deloc foarte tehnice.

Și deci poate dezvoltatorii nu sunt susceptibili la acest tip de atac. Depinde de organizație și de locul în care se încadrează acel dezvoltator. Dar cu siguranță oricine care acționează ca personal IT sau persoană cu acces la active, ca să spunem așa, pentru o anumită organizație ar putea fi foarte bine vizat de atacuri de inginerie socială.

Deci este ceva despre care nu ne place să vorbim pentru că nu putem să-l reparăm doar din punct de vedere tehnic. Dar, sincer, oamenii continuă să fie punctul slab. Trecând prin ușa din față, așa cum o numim noi, adică un atac extern, este adesea mai greu din punct de vedere tehnic și mai multă muncă pentru atacatori. Și uneori, sau adesea, vor trece prin atacuri de inginerie socială. Phishing-ul este încă foarte, foarte eficient prin orice mediu.

Așa că cred că este ceva care se dovedește a fi încă o provocare. Și probabil că organizațiile nu își concentrează timpul pe asta atât de mult pe cât ar trebui.

JOE SULLIVAN: Da, cred că un alt mod de a spune ceea ce a spus Brent cu o voce puțin diferită este că de fapt nu vreau ca dezvoltatorii să petreacă mult timp cu o bilă de cristal, încercând să anticipeze următoarea problemă de securitate. Este mai important să înțelegi corect elementele de bază.

Și acele elemente de bază se vor ocupa de cea mai mare parte a următorului lucru important, oricare ar fi acesta. Și, de exemplu, am menționat că a existat o schimbare fundamentală în ceea ce privește apariția ransomware-ului. Ea a blocat companiile într-un mod în care criminalitatea cibernetică nu a făcut-o niciodată înainte.

Dar nu este ca și cum ați ieși și cumpărați un produs pentru a bloca ransomware. Te întorci și faci exact aceleași lucruri pe care ar fi trebuit să le faci deja pentru a face față amenințărilor anterioare. Ce este ransomware? Este un software rău intenționat care este plasat în mediul dumneavoastră.

Ei bine, ori de câte ori un intrus intră în mediul tău, este rău. Deci avem dreptul – dacă ne concentrăm în continuare pe perimetru și nu lăsăm angajații noștri să fie compromisi sau codul nostru să fie compromis, atunci nu trebuie să ne confruntăm cu ransomware.

Așa că, în loc să stai și să-ți faci griji cu privire la următorul ransomware care va apărea, continuă să te concentrezi pe elementele de bază. Și lăsați-ne pe ceilalți din lumea securității să speculăm despre viitor.

ERIC JONES: Joe și Brent, vă mulțumesc foarte mult pentru perspectiva, timpul acordat și sfaturile voastre de astăzi. Atât de multe la care să te gândești de la corectarea fundamentelor, importanța transparenței, la ce să cauți din perspectiva unei asigurări.

Și atunci poate cel mai important lucru dintre toate este că securitatea nu ar trebui să fie niciodată un gând ulterior. Trebuie să-l încorporați chiar de la început. Încurajez pe toată lumea, dacă sunteți interesat să aflați mai multe despre ofertele de securitate WP Engine sau Cloudflare, vă rugăm să consultați site-urile noastre web. Și, desigur, la WP Engine, avem o mulțime de informații de securitate disponibile pentru toată lumea din Centrul nostru de resurse dacă sunteți interesat de o anumită perspectivă WordPress. Deci, din nou, tuturor celor care s-au conectat astăzi, vă mulțumim pentru timpul petrecut și pentru că v-ați alăturat astăzi.