DE{CODE}: 글로벌 사이버 공격이 증가하는 가운데 WordPress 사이트를 안전하게 유지
게시 됨: 2023-02-12웹 사이트를 잠그는 방법에 대한 이 보안 관련 세션에 WP Engine 및 Cloudflare의 전문가와 함께하십시오. 토론에서는 WP 엔진이 사이트를 보호하는 방법에 대한 구체적인 예와 함께 최근 사이버 공격 동향을 강조합니다. 개발자는 사이트 보안을 위해 수행해야 할 단계에 대한 명확한 체크리스트를 가지고 떠날 것입니다.
세션 슬라이드
전체 텍스트 성적 증명서
ERIC JONES : DE{CODE}에 오신 것을 환영합니다. 놀라운 분과 세션이 될 것을 약속하는 이 세션에 참여해 주셔서 감사합니다. 제 이름은 Eric Jones이고 여기 WP Engine의 기업 마케팅 부사장입니다. 저는 오늘 Cloudflare의 최고 보안 책임자인 Joe Sullivan과 WP Engine의 보안 부사장인 Brent Stackhouse 사이의 이 토론을 진행하게 되어 매우 기쁩니다. 두 사람은 수십 년간의 보안 경험을 가지고 있습니다.
글로벌 사이버 보안 공격이 증가하는 가운데 WordPress 사이트를 안전하게 유지하기라는 논의는 사이버 공격이 증가하고 있을 뿐만 아니라 역대 최고 기록을 경신하고 있다는 점을 감안할 때 이보다 더 시의적절할 수 없습니다. 조, 당신부터 시작해볼까요? 광범위하고 거시적인 관점에서 사이버 보안 환경에서 어떤 추세를 보고 있는지 듣고 싶습니다.
조 설리반 : 물론이죠. 기꺼이 참여하겠습니다. 이 대화에 초대해 주셔서 감사합니다. 저도 정말 기대하고 있습니다. 현재 보안 세계에는 두 가지 메가트렌드가 있다고 생각합니다. 첫 번째는 세상의 눈에 훨씬 더 중요하다는 것입니다.
따라서 기술적 측면과 우리가 매일 직면하는 실제 문제에 대해 알아보기 전에 Brent와 제가 이 직업을 시작한 이후로 보안 세계가 얼마나 발전했는지 살펴보는 것이 좋습니다. 당신은 수십 년 전에 말했다.
보안은 더 이상 조직 구석에 자리 잡은 팀이나 개념이 아닙니다. 그것은 우리가 하는 모든 일의 중심입니다. CEO들은 책임을 지고 있습니다. 이사회는 어려운 질문을 하고 있습니다. 벤처 캐피탈리스트는 적절한 수준의 투자를 보지 않으면 기여하지 않을 것입니다.
그리고 더 중요한 것은 우리 제품의 고객, 소비자 및 기업 구매자가 우리에게 훨씬 더 많은 것을 요구하고 있다는 것입니다. 이것이 저에게 있어 가장 중요한 트렌드이며 우리가 이 대화를 나누는 이유입니다. 작업의 모든 측면에서 모든 개발자에게 중요합니다.
따라서 보안 세계에서 실제로 일어나고 있는 일로 돌아가는 것은 점점 더 쉬워지고 있습니다. 그리고 도전은 계속 우리에게 다가오고 있습니다. 헤드라인에 주의를 기울이고 있다면 랜섬웨어의 부상이 얼마 남지 않은 것을 보았을 것입니다. 정말 무섭습니다.
랜섬웨어는 일부 데이터를 훔치거나 무언가를 세상에 노출하는 것에서 비즈니스를 종료하기 때문에 보안 측면에서 게임을 변경했습니다. 그래서 보안의 중요성에 대한 전체적인 개념은 그 위험, 즉 우리가 아침에 일어나서 노트북을 켤 수 없고 웹사이트를 실행하지 못할 수 있다는 생각으로 확대되었습니다. 정말 무섭습니다.
지정학적 문제도 우리 모두에게 실제로 영향을 미치기 시작했습니다. 우크라이나의 상황은 물리적 세계에 국한되지 않습니다. 지금은 사이버 맥락에 많이 있습니다. 그리고 그것은 우리 나머지 사람들에게 영향을 미치기 위해 넘쳐나고 있습니다. 따라서 물리적 세계에서 발생하는 지정학적 사건은 인터넷에서 비즈니스를 운영하려는 우리에게 기술적인 영향을 미칩니다.
기술적인 관점에서 세 번째로 언급하고 싶은 것은 우리는 우리 자신의 코드 세계에 살고 있지 않다는 것입니다. 우리는 조직을 대표하기 위해 함께 제공되는 소프트웨어와 코드의 융합인 세계에 살고 있습니다.
따라서 보안에서 우리는 공급망이라는 용어를 사용하여 다른 모든 코드와 기타 응용 프로그램 및 회사로서의 정체성의 일부가 되는 모든 것에 대해 이야기합니다. 예를 들어 최근에 Okta가 침해되었다는 이야기가 나왔을 때 Okta가 침해되었는지 여부에 대한 질문만 있는 것이 아니었습니다. 우리 회사와 Okta를 사용하는 다른 모든 회사가 손상되었는지 여부에 대한 질문이었습니다.
그리고 내 고객은 Okta에 관심이 없었습니다. 그들은 우리를 사용하는 데 관심이 있었고 Okta가 손상될 위험을 완화하기 위해 어떤 통제 수단을 마련했습니까? 그래서 지금 많은 일이 벌어지고 있습니다. 그리고 이 대화를 나누기에 좋은 시간입니다.
ERIC JONES: Joe, 후속 질문으로, 모든 보안 조직이 가지고 있는 모든 특정 문제의 우선 순위에 대해 어떻게 생각하십니까?
조 설리반: 물론이죠. 나는 이것이 궁극적인 질문이라고 생각한다. 무제한의 예산과 그 일을 할 수 있는 무제한의 사람이 있다면 우리는 모든 것을 할 수 있습니다. 그러나 그것은 개발의 모든 단계에 있는 조직의 현실이 아닙니다.
그래서 우리는 항상 우선 순위를 정하는 과정에 있습니다. 그래서 제가 말하고 싶은 것은 먼저 기본을 우선시해야 한다는 것입니다. 타협의 상당 부분이 기본의 실패에서 나온다는 것은 충격적입니다.
보안 전문가로서 우리는 제로데이 공격이나 O-day 공격을 파헤치고 정말 복잡한 것을 살펴보는 것을 좋아합니다. 그러나 90%의 경우 피싱 이메일 또는 개인 웹 사이트에서 사용한 것과 동일한 암호를 사용하여 다단계 인증을 설정하지 않은 사람이 손상을 입습니다.
많은 경우 실제로 기본을 잘 수행할 수 있는 도구가 있지만 이를 구현하는 데 시간을 할애하지 않습니다.
ERIC JONES: 예, 보안의 중요한 지점에 도달한 것 같습니다. 맞습니까? 그것은 우리 모두가 책임져야 할 일입니다. 전체 조직에서 공동 책임입니다. 보안 팀 내에만 있는 것이 아닙니다. 특정 회사의 모든 직원과 함께 살고 있습니다.
Brent, WordPress의 관점에서 WordPress에서 무엇이 같고 다른 점은 무엇이며 이러한 환경에서 볼 수 있는 가장 큰 취약점은 무엇입니까?
BRENT STACKHOUSE : Eric, 감사합니다. 초대해 주셔서 감사합니다. Joe와 함께 나누는 시간에 감사드립니다. 그는 많은 것을 알고 있습니다. 우리는 블록 주위에 몇 번 가봤습니다. 그래서 이것은 매력적입니다.
여러면에서 WordPress– 뉴스는 일반적으로 WordPress Core가 WordPress 생태계의 모든 플러그인 및 테마 및 기타 항목과 차별화된다는 점에서 좋습니다. WordPress Core는 계속해서 일반적인 공격에 대해 강력하고 탄력적입니다.
따라서 WordPress 자체는 고객이 일반적으로 거의 모든 상황에서 편안하게 사용할 수 있는 훌륭하고 안정적이며 강력한 플랫폼입니다. 문제는 주로 wordpress.org 또는 해당 핵심 개발자가 대부분의 플러그인 및 테마와 일반적으로 관련이 없는 플러그인 측면에 있습니다.
그리고 Google의 Play Store에서 얻을 수 있는 앱과 유사한 코드 품질 가변성 또는 그와 비슷한 것들은 내가 방금 말했듯이 Google에서 작성하지 않았습니다. 그들은 WordPress, 이러한 플러그인 및 테마에 의해 작성되지 않았으며 단일 개발자에서 팀에 이르기까지 무엇이든 될 수 있습니다. 이러한 플러그인 또는 테마의 공간은 매우 작을 수도 있고 매우 클 수도 있습니다. 패치를 빠르게 적용한 좋은 이력이 있을 수도 있고 그렇지 않을 수도 있습니다.
따라서 상황에 따라 다릅니다. 따라서 WordPress의 인기가 높아지고 생태계의 인기가 높아짐에 따라 Windows가 일반적으로 Mac보다 맬웨어가 더 많은 이유와 유사하게 공격자는 돈이 있는 곳으로 이동하기 때문에 공격자가 계속 노력할 것이라고 가정할 수 있습니다. 발자국이 있는 곳이고 돈이 있는 곳이기 때문입니다.
따라서 WordPress도 다르지 않으며 인기가 높아짐에 따라 공격자가 하던 일을 계속할 것으로 예상할 수 있습니다. 좋은 소식은 4년 전 WP 엔진을 시작했을 때와 비교할 때 생태계가 훨씬 더 건강하다는 것입니다.
플러그인 개발자, 테마 개발자는 보안 연구원이나 취약점을 지적하는 다른 사람들로부터 입력을 받을 것임을 더 잘 알고 있습니다. 그리고 그들 대부분은 패치를 아주 아주 빠르게 돌릴 수 있도록 책임감 있게 그 근육을 만들고 있습니다.
그래서 예전보다 상황이 훨씬 나아졌습니다. 4년 전, 많은 개발자들은 취약점이 발생했을 때 놀랐고, 정기적인 패치 적용 측면에서 고객의 요구 사항을 신속하게 충족하거나 충족할 수 없었습니다.
기술 소비자로서 우리 모두는 "화요일 패치" 또는 Apple의 정기 업데이트 등을 인용하지 않고 인용하는 데 익숙합니다. 따라서 우리는 취약점에 대해 놀라지 않습니다. 그러나 해당 벤더가 책임감 있고 신속하게 무언가를 패치하지 않는다면 매우 놀랄 것입니다.
따라서 WordPress 생태계는 일반적으로 4년 전보다 더 건전합니다. 다시 말하지만 WordPress Core는 훌륭하지만 플러그인과 테마는 일반적으로 유지되고 있다고 생각합니다. 그래서 그것은 꽤 긍정적입니다.
ERIC JONES: 워드프레스 코어에 대해 말씀하신 내용을 두 번 클릭하면 보안 관련 문제에 도움이 될 수 있는 오픈 소스 소프트웨어의 특성이 무엇입니까? 오픈 소스 소프트웨어가 근본적으로 안전하지 않다는 오해와 통념 중 하나라고 생각하기 때문입니다.
BRENT STACKHOUSE: 좋은 질문입니다. 그리고 저는 이것에 대한 Joe의 생각에 관심이 있습니다. 에릭, 당신에게 커브를 던지는 건 아니지만 난 충분히 늙었어요. 시간이 지나면서 오픈 소스 변경이 의미하는 바를 꽤 많이 보았습니다.
예전에 오픈 소스는 Apache, 예를 들어 OpenSSH 또는 Linux와 같은 매우 잘 알려진 프로젝트였기 때문에 당시 오픈 소스라고 하면 일반적으로 그랬습니다. 참조.
그리고 예, 2차, 3차, 거의 잘 관리되지 않는 소규모 프로젝트 등이 많았습니다. 이제 오픈 소스란 사실상 GitHub에 있는 모든 것입니다. 그렇지 않으면 잡을 수 있습니다.
당신은 라이브러리에 대해 이야기하고 있습니다. 누구나 말할 수 있는 아주 작은 코드, 오, 그 기능을 기반으로 보기에 멋져 보이는데, 우리는 그것을 통합할 것입니다. Joe가 공급망 문제에 대해 언급한 것처럼 나중에 조금 이야기하겠습니다. 공급망 위험 완화 측면에서 개발자별 문제에 대해서는 나중에 조금 이야기하겠습니다.
오픈 소스 때문에 – Eric, WordPress에 대한 귀하의 질문을 다시 생각합니다. 소스가 나온다는게 참 좋네요. 많은 사람들이 그것을보고 있습니다. 나는 그것이 Apache와 그와 비슷한 것들로 돌아가는 시대에도 사실이라고 생각합니다. 광범위하게 사용되는 모든 것은 좋은 사람과 나쁜 사람 모두로부터 많은 조사를 받게 될 것이며 좋은 일이라고 생각합니다. 모호함을 통한 보안은 좋은 사례가 아닙니다. 따라서 코드를 공개하는 것은 훌륭합니다.
그러나 개방형 소스가 폐쇄형보다 더 나은 보안을 제공하거나 그 반대의 경우는 대답하기 어려운 질문입니다. 말 그대로 사과와 오렌지이기 때문입니다. 팀으로서 WordPress는 버그 바운티 프로그램을 사용하는 것과 같이 자체 지능 이외의 다른 입력을 사용하여 훌륭한 작업을 수행했다고 생각합니다. WordPress Core는 수년 동안 그렇게 해왔습니다. 똑똑하다고 생각합니다.
의심할 여지 없이 소속되지 않은 연구자들이 정기적으로 연구 결과를 알려줍니다. 그리고 똑똑한 팀은 이러한 정보를 받아 올바른 일을 합니다. 나는 그들이 스스로 펜 테스트를 받고 있다고 확신합니다. 그래서 우리는 WP 엔진에서 비슷한 일을 하지만 그것은 코스와 동등합니다.
조, 그것에 대해 어떤 생각이 있습니까? 인수해서 미안해, 에릭, 하지만-
ERIC JONES: 아니요, 완벽합니다.
JOE SULLIVAN: 나는 당신이 높은 점수를 많이 쳤다고 생각합니다. 오픈 소스 소프트에 대해 생각할 때, 모든 소스의 소프트웨어에 대해 생각할 때 우리 환경에 넣기 전에 평가해야 한다고 생각합니다. 때로는 오픈 소스 소프트웨어가 독점 소프트웨어보다 더 나은 선택이 될 수도 있습니다. 당신이 무엇을 알고 있기 때문에? 햇빛은 감염을 죽입니다.
그리고 우리가 많은 오픈 소스 소프트웨어를 가지고 있는 것은 다른 많은 사람들도 그것을 보고 있다는 것입니다. 일반적으로 보안 세계에서 우리가 충분히 잘하지 못하는 것은 우리 모두가 작은 팀과 구석에 앉아 모든 것을 스스로 해결하려고 노력한다는 것입니다.
커뮤니티를 참여시키는 것은 좋은 일입니다. 특정 소프트웨어와 관련된 위험에 대한 투명성과 대화는 좋은 것입니다. 그리고 우리는 그것을 더 잘하고 있습니다. 버그 바운티 프로그램의 예는 투명성을 가져오고 구멍을 뚫도록 제3자를 초대하는 또 다른 방법입니다.
오픈 소스 소프트웨어는 가장 많이 사용되고 가장 중요한 오픈 소스 소프트웨어에 대해 이야기할 때 많은 사람들이 살펴보고 있습니다. 그러나 같은 방식으로 GitHub에서 일부 코드를 가져와서 자세히 조사하지 않고 내 제품에 드롭하지는 않을 것입니다.

또한 독점 소프트웨어에 대한 라이선스를 구매할 때도 동일한 주의를 기울여야 한다고 말하고 싶습니다. 여전히 누가 그것을 만들고 있는지, 그들이 어떤 관행을 가지고 있으며 얼마나 강력한지 살펴봐야 합니다.
BRENT STACKHOUSE: 예, 많은 부분이 위험에 관한 전문 용어이지만 확신에 관한 것입니다. 우리가 A, B, C를 수행하면 얼마나 안전한지에 대한 기술적인 의미에서 우리가 하고 있는 모든 일에 대해 어떤 확신을 얻을 수 있습니까? 그리고 폐쇄된 소스의 상황에 따라 많은 확신을 얻기가 더 어렵습니다.
오픈 소스에서는 누가 코드를 확인하기 위해 무엇을 했는지 더 쉽게 알 수 있습니다. 비공개 소스에서는 조금 까다롭습니다. 이 회사가 시간이 지남에 따라 좋은 보안 관행을 가지고 있음을 보여주는 간접적인 입력을 사용해야 합니다.
하지만 확신을 얻는 것은 일반적으로 어떤 기술을 사용하든 배포할 때 하려고 하는 일의 마지막에 있습니다. 감사해요.
ERIC JONES: 그래서, 외부에 있는 개발자들에게 있어, 두 분 모두 회사에서 찾고 있는 구체적인 보장은 무엇입니까? 이러한 프로젝트나 소프트웨어 조각에 이러한 것이 있으면 좋은 것으로, 그렇지 않은 경우보다 조금 더 안전하다고 생각합니다.
BRENT STACKHOUSE: WordPress 답변을 원하십니까? 일반적으로 시작하려면 Joe를 보내겠습니다.
ERIC JONES: 예, Joe, 광범위한 관점을 제공할 수 있다면 Brent, 보다 구체적인 WordPress 관점을 제공할 수 있습니다.
JOE SULLIVAN: 네, 제가 앉아 있는 자리에서 저는 사람들이 우리 제품을 구현하는 Cloudflare에서 일하기 때문에 구매자와 판매자로서 그 질문에 대해 생각합니다. 그리고 Cloudflare를 구현하기 전에 Cloudflare 고객이 가장 많이 묻는 질문은 Cloudflare를 신뢰해야 하느냐입니다. 우리는 그들의 전체 비즈니스 앞에 앉아 있기 때문입니다. 그리고 그것은 당신이 그들을 신뢰하지 않는 한 누군가를 두는 정말 위험한 장소입니다.
그러나 저는 또한 우리가 성장하고 있고 제품을 만들어야 하기 때문에 제3자에게도 의존하고 있습니다. 그래서 저는 어려운 질문을 받는 쪽이고 어려운 질문을 받는 쪽입니다.
그리고 보십시오, 우리 중 누구도 제3자와 협력할 때마다 방문하여 감사할 시간이나 자원이 없습니다. 우리는 충분히 큰 팀이 없습니다. 우리는 기술이 없습니다. 따라서 여기에서 중요한 개념으로 보안 인증부터 시작합니다.
인증이라고 하면 SOC 2, WP Engine과 같은 SOC 2 Type II, ISO 27001 또는 PCI와 같은 것을 의미합니다. 이러한 단어와 인증을 들었을 때 제3자가 인정된 표준 집합을 사용하여 해당 회사에 들어가서 감사하고 해당 영역에 대한 모든 제어를 충족하는지 평가한다고 생각해야 합니다.
그래서 우리 각자 – Cloudflare에는 공유할 수 있는 SOC 2 Type II 보고서가 있습니다. WP Engine에는 공유할 수 있는 SOC 2 Type II 보고서가 있습니다. 제가 Type II라고 말할 때 좋은 점은 그것이 단지 특정 시점 감사가 아니라는 것을 의미합니다. 연장된 기간이었습니다.
예를 들어 SOC 2 Type II의 경우 작년에 해당 인증이 존재하는 모든 시점에서 최소 보안 제어를 준수했음을 의미합니다. 고객에게는 충분합니다. 예를 들어, 그 회사에는 SOC 2 Type II가 있습니다. 좋아, 나는 그들을 믿을 것이다.
그러나 특정 구현에 따라 조금 더 깊이 파고들 수 있습니다. 그래서 제품 구매에 대해 생각할 때 코드의 품질뿐만 아니라 내 환경과 어떻게 통합되는지를 생각합니다.
그래서 저에게 매우 중요한 것은 인증입니다. 내 조직 내부 및 조직 외부에서 액세스할 수 있는 사람을 관리할 수 있도록 SSO(Single Sign On)와 통합할 수 있습니까? 앞서 말했듯이 보안 문제의 상당 부분이 여기에서 발생하기 때문입니다.
따라서 WP Engine과 같은 제품을 선택하여 SSO와 통합하고 많은 직접 작업을 수행하지 않고도 도구를 통해 보안을 실행할 수 있습니다. 따라서 나에게 그것은 인증과 특정 환경에 대해 원하는 다른 모든 것의 조합입니다.
ERIC JONES: 그리고 브렌트 씨, 다시 질문을 드리자면, 워드프레스 맥락에서 그것에 대해 어떻게 생각하십니까?
BRENT STACKHOUSE: 네, 좋은 것 같아요. 사람들이 말하자면 플러그인과 테마를 사용하여 WordPress 생태계를 확장하려고 할 때 비즈니스 컨텍스트 또는 비즈니스 계층에서도 찾아야 할 몇 가지 사항은 주어진 코드, 플러그인 또는 주제? 그리고 변경 로그에서 보안 업데이트를 포함하여 정기적으로 업데이트하고 있음을 확인할 수 있습니까?
그것들은 매우 질적인 측정 또는 입력이지만 여전히 관련이 있습니다. 일반적으로 플러그인 개발자 또는 테마 개발자는 많은 고객을 보유하고 있으며, 코드를 잘 유지 관리하거나 잘 유지하지 못하는 방식에 따라 잃을 것이 있고 얻을 수 있습니다. 그것을 뒤집고 싶습니다. 그래서 필요한 것이 무엇이든 일반적으로 가장 인기 있는 것을 찾는 것이 일반적으로 좋은 습관입니다.
개발자 수준에서는 말하자면 더 많은 제어를 적용할 수 있습니다. 주어진 플러그인에 대해 정적 애플리케이션 보안 도구를 사용할 수 있습니다. 다른 보안 연구원이 찾지 못한 것을 발견할 가능성이 있습니까? 그렇지 않을 수도 있지만 도구가 무엇이든 간에 이러한 작업을 실행하는 것은 여전히 좋은 생각입니다. 그리고 환경에서 사용하는 코드에 관계없이 더 나은 확신을 얻을 수 있는 매우 저렴한 비용 또는 무료 라이선스가 포함된 상용 도구 또는 오픈 소스 무료 도구가 많이 있습니다.
Joe가 언급한 한 가지는 WP Engine이 코드 소비자이자 생산자이기 때문에 서비스 제공자이기도 하며 우리의 무결성에 대해 매우 우려하고 있다는 것입니다. 종단 간 개발 노력. 그리고 그것은 계속되는 도전입니다.
따라서 WordPress 사이트를 실행하는 개발자가 해야 할 일 중 하나는 위험에 대한 조직의 상황을 알고 있어야 한다는 것입니다. 예를 들어 어떤 카테고리에 있습니까? 조직은 나쁜 일이 발생하는 것에 대해 어느 정도의 관용을 가지고 있습니까? 특정 부문이나 조직은 DDoS 공격 등과 같은 것에 훨씬 더 취약합니다.
따라서 그것에 대해 생각하고 잠재적으로 그러한 것들을 코딩하면 DDoS에 대해 코딩할 수 없지만 확실히 인식하고 표면화할 수 있습니다. 올바른 일을 하는 개발자에게 매우 중요하다고 생각합니다.
ERIC JONES: 높은 수준의 보안 관점에서 몇 가지 매우 구체적인 권장 사항을 제공하려는 목표를 가지고 기어를 약간 전환하여 웹 사이트 소유자가 보안을 강화하기 위해 무엇을 할 것을 권장하시겠습니까?
JOE SULLIVAN: 네, 제 생각에는 1온스의 예방은 1파운드의 치료 가치가 있습니다. 그리고 보안 맥락에서 이는 무언가를 구축하려고 하기보다 시작하기 전에 사용할 올바른 도구와 플랫폼을 선택하는 것을 의미합니다. 이제 우리가 그 위에 보안을 부트스트랩하는 방법을 알아봅시다.
따라서 플랫폼을 선택할 때, 도구를 선택할 때, 코드를 선택할 때 처음부터 보안을 염두에 두고 생각하고 싶습니다. 따라서 내가 말했듯이 선택한 도구를 통해 자동으로 보안이 이루어지게 할 수 있다면 옆에서 일할 사람을 고용해야 하는 것보다 훨씬 더 나은 위치에 있게 될 것입니다. 많은 감사를 한 다음 배가 바다를 항해하는 동안 모든 것을 수정하려고 시도합니다.
그런 식으로 패치할 수는 없습니다. 그래서 저는 항상 찾고 있습니다. 보안 관점에서 상자에서 무엇을 얻을 수 있습니까? 나를 위한 설정은 무엇입니까? 그리고 보안의 기본을 취하면 실제로 몇 가지 영역이 있다고 생각합니다.
저에게 가장 중요한 것은 항상 ID 및 액세스 관리입니다. 그래서 처음부터 싱글 사인온을 통합하는 기능에 대해 이야기한 것입니다. 내가 회사를 시작한다면 가장 먼저 선택할 것 중 하나는 내 조직과 함께 확장될 올바른 Single Sign-On 설정일 것입니다. 그리고 저는 항상 그것과 통합될 제품을 선택하려고 노력할 것입니다.
두 번째로 제가 생각하는 것은 인터넷을 향한 많은 코드를 갖게 될 것입니다. 인터넷의 공격을 어떻게 견뎌야 합니까? Brent는 서비스 거부 공격에 대해 언급했습니다.
로드 밸런서를 보유하고 모든 것을 관리하고 Cloudflare와 같은 제품을 구입하는 방법을 개인적으로 파악해야 합니까? 아니면 보안에 대해 생각할 필요가 없도록 내가 구매하는 플랫폼과 함께 제공됩니까? 이미 내장되어 있다는 것을 알고 있습니다. 그래서 저는 체계적으로 직원들과 ID 및 액세스 관리, 인터넷 연결 코드를 검토했습니다.
그리고 세 번째 요소는 아마 여기서 이야기하지 않겠다는 것입니다. 랩탑 등을 어떻게 설정해야 할까요?
ERIC JONES: 그리고 브렌트, 아마도 당신에게 질문할 것입니다. 워드프레스 개발자가 가능한 한 가장 안전한 사이트를 구축하기 위해 고려해야 할 몇 가지 구체적인 사항은 무엇입니까?
BRENT STACKHOUSE: 예, 제 첫 반응은 흥미롭다는 것입니다. 우리가 이야기하고 있는 많은 부분은 언제 빌드할지 구매할지에 대한 결정입니다. WordPress 생태계를 확장하기 위해 자신만의 플러그인과 수행할 모든 작업을 구축할 예정입니까? 아니면 말하자면 공짜인데도 사시겠습니까?
그러나 이것은 우리가 GitHub 또는 어떤 메커니즘을 통해 다른 사람들의 코드를 사용한다는 의미에서 Joe와 나에게도 적용되며 개발자를 고용하고 처음부터 모든 작업을 수행할 수 있다고 생각합니다. 또는 다른 사람이 이미 수행한 것을 사용할 수 있습니다.
그럴 필요도 없는데 왜 바퀴를 다시 만들까요? 그렇다면 사용 중인 코드의 상태가 양호하다는 것을 어떻게 확신할 수 있을까요? 구체적으로 WordPress로 돌아가서 몇 가지 사항이 있다고 생각합니다. 이것은 아마도 개발자 청중에게는 상식이지만 어쨌든 말할 것입니다. 코딩할 때 안전하게 코딩하세요. 즉, 무엇을 하려는지 알고 있어야 합니다. 기능, 모든 종류의 측면에서 수행하려는 작업을 제한하십시오.
그러나 OWASP Top 10을 염두에 두십시오. OWASP Top 10은 아마도 청중에게 잘 알려져 있을 것입니다. 그러나 Joe가 이전에 언급한 것처럼 기본이 중요하므로 개발자를 위한 기본에는 확실히 OWASP Top 10이 포함됩니다.
그런 다음 앞서 언급한 정적 애플리케이션 보안 도구 중 하나를 사용하십시오. 이 도구는 사전 배포되었거나 배포하는 동안 매우 유용합니다. 말하자면 자동으로 할 수 있습니다. 그리고 보내는 코드가 실제로 꽤 좋은 모양인지, 사용자 지정 코드를 개발하는 경우 자신의 코드에 알려진 명백한 취약점이 없는지 확인하십시오.
세 번째는 우리가 이야기한 공급망 문제와 관련이 있습니다. 그리고 GitHub에는 업스트림 종속성에 알려진 취약점이 있을 때 실제로 알려줄 수 있는 몇 가지 무료 기능이 있습니다. 따라서 종속성 봇인 Dependabot은 GitHub에서 제공하는 훌륭한 기능이며 저장소에서 반드시 활성화해야 합니다. 그리고 실제로 PR을 자동으로 생성할 수 있습니다. 그런 다음 업스트림 종속성에 적어도 알려진 취약점이 없도록 필요하다고 생각되면 병합할 수 있는 옵션이 있습니다.
아마도 모든 코드에는 출시할 때에도 버그가 있을 수 있으며 그 중 일부는 아마도 보안 버그일 것입니다. 하지만 적어도 우리는 Joe가 이전에 언급한 명백한 문제를 피해야 합니다. 우리는 명백한 사실을 놓치기 때문에 신문에 게재되는 것을 원하지 않습니다. 이봐 요, 당신은 패치해야합니다. 예, 개발자가 말하자면 불에서 벗어나기 위해 염두에 두어야 할 세 가지 사항이 있습니다.
ERIC JONES: 제 생각에 두 분 모두에 대한 질문은 바로 지금 레이다에 있지 않은 파이크를 내려오는 것을 보는 것이 무엇입니까? 그리고 사람들, 개발자, 웹사이트 소유자가 지금 당장 생각해야 할 것이 아닌 것은 무엇입니까? 그리고 그것은 여러분 중 누구에게나 열린 질문입니다.
BRENT STACKHOUSE: 음, 예, Joe가 Okta에 대해 더 일찍 답변했기 때문에 뛰어들고 싶습니다. 그래서 그 특정 그룹 – 이것은 흥미 롭습니다. 그래서 우리는 이미 그것을 보았습니다. 그래서 이것이 거의 파이크 아래로 내려오고 있다고 말할 수도 없습니다.
하지만 Okta를 폭발시킨 그룹과 이 팟캐스트나 이 인터뷰에서 반드시 언급할 필요가 없는 다른 유명 인사들은 주로 매우 흥미로운 사회 공학 기술을 사용하며 기술적인 공격은 전혀 사용하지 않습니다.
따라서 개발자는 이러한 종류의 공격에 취약하지 않을 수 있습니다. 조직과 개발자가 적합한 위치에 따라 다릅니다. 그러나 특정 조직의 IT 직원 또는 자산에 액세스할 수 있는 사람 역할을 하는 사람은 누구나 사회 공학 공격의 대상이 될 수 있습니다.
그래서 기술적으로 고칠 수 없기 때문에 우리가 이야기하고 싶지 않은 것입니다. 그러나 인간은 정직하게 계속 소프트 스팟입니다. 외부 공격을 의미하는 정문을 통과하는 것은 공격자에게 기술적으로 더 어렵고 더 많은 작업을 수행하는 경우가 많습니다. 그리고 때때로 또는 종종 그들은 사회 공학 공격을 겪을 것입니다. 피싱은 어떤 매체를 통해서든 여전히 매우 매우 효과적입니다.
그래서 저는 그것이 여전히 도전적인 것으로 판명되고 있다고 생각합니다. 그리고 조직은 아마 필요한 만큼 시간을 집중하지 않을 것입니다.
JOE SULLIVAN: 네, 브렌트가 약간 다른 목소리로 말한 것을 다른 방식으로 말할 수 있는 방법은 사실 개발자가 다음 보안 문제를 예측하기 위해 수정 구슬을 가지고 많은 시간을 보내는 것을 원하지 않는다는 것입니다. 기본을 제대로 하는 것이 더 중요합니다.
그리고 그 기본은 그것이 무엇이든 대부분의 다음 큰 일을 처리할 것입니다. 예를 들어, 랜섬웨어의 출현 측면에서 근본적인 변화가 있었다고 언급했습니다. 그것은 사이버 범죄가 전에는 없었던 방식으로 회사를 정지 상태로 만들었습니다.
하지만 랜섬웨어를 차단하기 위해 나가서 제품을 구매하는 것은 아닙니다. 돌아가서 이전 위협을 처리하기 위해 이미 수행했어야 하는 것과 동일한 작업을 수행합니다. 랜섬웨어란? 사용자 환경에 배치되는 악성 소프트웨어입니다.
글쎄, 침입자가 당신의 환경에 들어올 때마다 그것은 나쁘다. 따라서 우리에게는 권리가 있습니다. 계속해서 경계에 집중하고 직원이 손상되거나 코드가 손상되지 않도록 한다면 랜섬웨어를 처리할 필요가 없습니다.
따라서 다음에 나타날 랜섬웨어에 대해 앉아서 걱정하는 대신 기본 사항에 계속 집중하십시오. 그리고 보안 세계의 나머지 사람들이 미래에 대해 추측하도록 하십시오.
ERIC JONES: Joe와 Brent, 오늘 여러분의 관점, 시간, 조언에 감사드립니다. 펀더멘털을 제대로 갖추는 것, 투명성의 중요성, 보험의 관점에서 찾아야 할 것이 너무 많습니다.
그리고 아마도 가장 중요한 것은 보안이 결코 나중에 생각해서는 안 된다는 것입니다. 처음부터 제대로 구축해야합니다. WP Engine 또는 Cloudflare 보안 제품에 대해 자세히 알아보고 싶다면 저희 웹사이트를 확인하시기 바랍니다. 물론 WP Engine에는 특정 WordPress 관점에 관심이 있는 경우 리소스 센터의 모든 사람이 사용할 수 있는 풍부한 보안 정보가 있습니다. 다시 한 번 오늘 시청해 주신 모든 분들께 시간을 할애해 주시고 오늘 함께해 주셔서 감사합니다.