您的位置: 首頁 >科技 >

為什么網(wǎng)絡(luò)安全需求超過減緩努力

2019-04-29 09:40:52 編輯: 來源:
導(dǎo)讀 公司必須降低新軟件及其現(xiàn)有代碼中網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。然而,大多數(shù)公司沒有可靠的實(shí)踐。1月28日,美國國防部發(fā)布了五角大樓戰(zhàn)斗測(cè)試辦公室發(fā)

公司必須降低新軟件及其現(xiàn)有代碼中網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。然而,大多數(shù)公司沒有可靠的實(shí)踐。1月28日,美國國防部發(fā)布了五角大樓戰(zhàn)斗測(cè)試辦公室發(fā)布的一份報(bào)告,宣布美國軍方的網(wǎng)絡(luò)安全能力“沒有快速發(fā)展,無法保持領(lǐng)先于對(duì)手設(shè)想的'多重攻擊'的攻擊。”1月29日,有消息稱Apple的Facetime軟件中存在一個(gè)錯(cuò)誤,允許用戶在未經(jīng)他人同意的情況下訪問其他人的麥克風(fēng)。這些組織在一周內(nèi)領(lǐng)導(dǎo)各自的行業(yè),已經(jīng)證明了軟件安全面臨的巨大挑戰(zhàn)。

2019年的軟件團(tuán)隊(duì)正在構(gòu)建更復(fù)雜的項(xiàng)目,擁有更多分布式團(tuán)隊(duì),在更具競(jìng)爭(zhēng)力的技術(shù)環(huán)境中。除了這個(gè)巨大的挑戰(zhàn)之外,團(tuán)隊(duì)還必須在新軟件和現(xiàn)有代碼中降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。迄今為止,大多數(shù)公司已表明他們沒有可靠的實(shí)踐。

想要從西門子,強(qiáng)生,美敦力,雷神和其他數(shù)百家先進(jìn)制造商那里獲得銷售線索?在波士頓BIOMEDevice,嵌入式系統(tǒng)會(huì)議和新英格蘭設(shè)計(jì)與制造部門與他們會(huì)面。近400家供應(yīng)商在展會(huì)上預(yù)訂了展位;現(xiàn)在預(yù)訂你的。

網(wǎng)絡(luò)安全領(lǐng)域仍處于初級(jí)階段。單獨(dú)的惡意行為者通過電子郵件和網(wǎng)站傳播的病毒始于90年代,但幾乎沒有經(jīng)濟(jì)利益。作為回應(yīng),開發(fā)并部署了防病毒軟件解決方案。在世紀(jì)之交之后,網(wǎng)絡(luò)攻擊開始主要針對(duì)公司,將信用卡黑客和公司違規(guī)行為變成常規(guī)頭條新聞。這不僅暴露了TJX,Target,Home Depot和Staples等公司的系統(tǒng)漏洞,而且還揭示了大多數(shù)公司并未將網(wǎng)絡(luò)安全作為業(yè)務(wù)優(yōu)先事項(xiàng)。

然后,公司開始推出新的安全計(jì)劃,以阻止攻擊,獎(jiǎng)勵(lì)黑客在其公司中獲得錯(cuò)誤獎(jiǎng)勵(lì)和職位。雖然這些新員工為團(tuán)隊(duì)帶來了技術(shù)專業(yè)知識(shí),但黑客天生就喜歡自己出發(fā)并顛覆自己的系統(tǒng)?,F(xiàn)在的挑戰(zhàn)是公司創(chuàng)建結(jié)構(gòu)化和可預(yù)測(cè)的安全工作流,以減輕非結(jié)構(gòu)化和不可預(yù)測(cè)的攻擊。

可擴(kuò)展的安全實(shí)踐和自動(dòng)化限制

團(tuán)隊(duì)為其開發(fā)添加了一些安全結(jié)構(gòu)的一種方法是采用滲透測(cè)試,漏洞分析和監(jiān)控工具。在思科2018年度年度網(wǎng)絡(luò)安全報(bào)告中,39%接受采訪的首席信息安全官表示,他們的組織完全依賴自動(dòng)化。完全依賴機(jī)器學(xué)習(xí)和人工智能也很普遍,分別為34%和32%。

這應(yīng)該不足為奇,因?yàn)檎嬲枰焖贁U(kuò)展的組織無法通過單獨(dú)招聘來合理地做到這一點(diǎn),特別是考慮到某些組織軟件的復(fù)雜性和廣度。自動(dòng)化確實(shí)并且應(yīng)該發(fā)揮關(guān)鍵作用。

但是,自動(dòng)化工具本身缺乏對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的背景感。評(píng)估風(fēng)險(xiǎn)是安全工作中最具挑戰(zhàn)性的方面之一,因?yàn)槊總€(gè)項(xiàng)目都可能存在漏洞。

開放式Web應(yīng)用程序安全項(xiàng)目(OWASP)主張關(guān)注手動(dòng)安全代碼審查,稱“人類審閱者可以理解某些編碼實(shí)踐的背景,并進(jìn)行嚴(yán)重的風(fēng)險(xiǎn)評(píng)估,同時(shí)考慮攻擊的可能性和違規(guī)的業(yè)務(wù)影響。“將更多上下文擴(kuò)展到安全團(tuán)隊(duì)意味著將它們包含在軟件開發(fā)生命周期的每個(gè)階段(SDLC)。

在SDLC上構(gòu)建安全審查質(zhì)量門

在SDLC中可以找到錯(cuò)誤和漏洞,可以更快地修復(fù)它們。這就是為什么這么多團(tuán)隊(duì)都希望將他們的測(cè)試轉(zhuǎn)移的原因。同樣的原則適用于安全性。OWASP概述了安全團(tuán)隊(duì)?wèi)?yīng)該如何參與審核:

通過所有這些接觸點(diǎn),跨職能協(xié)作至關(guān)重要。對(duì)于具體的代碼審查,如果安全專業(yè)人員不熟悉應(yīng)用語言或框架,那么他們通??梢杂行У赝耆斫獯a正在做什么。開發(fā)和安全團(tuán)隊(duì)之間的有效溝通對(duì)于交叉授粉學(xué)科領(lǐng)域知識(shí)和最佳實(shí)踐至關(guān)重要。在SmartBear于2018年發(fā)布的一份報(bào)告中,73%的受訪者認(rèn)為“在團(tuán)隊(duì)中分享知識(shí)”是代碼審查的主要優(yōu)勢(shì)之一。

如果還沒有,團(tuán)隊(duì)?wèi)?yīng)該定期為會(huì)議設(shè)置節(jié)奏,以討論應(yīng)用程序架構(gòu),相關(guān)服務(wù)以及關(guān)鍵輸入和輸出。團(tuán)隊(duì)確保所有這些審核都以文檔化和有組織的方式進(jìn)行,這可能具有挑戰(zhàn)性。對(duì)于通過手動(dòng),電子郵件或電子表格跟蹤評(píng)論的團(tuán)隊(duì)來說尤其如此。Collaborator等工具有助于對(duì)與項(xiàng)目相關(guān)的所有代碼和文檔進(jìn)行結(jié)構(gòu)化審核。團(tuán)隊(duì)可以自定義審批工作流程,并確保使用審核指標(biāo)和缺陷報(bào)告捕獲其流程。

美國政府問責(zé)辦公室主任Cristina Chaplain反映了五角大樓最近的一份報(bào)告稱:“國防部測(cè)試人員經(jīng)常發(fā)現(xiàn)正在開發(fā)的系統(tǒng)中的關(guān)鍵任務(wù)漏洞,在某些情況下,多年來反復(fù)出現(xiàn)的問題往往會(huì)忽視其規(guī)模和嚴(yán)重程度。問題。”

掃描工具可以識(shí)別關(guān)鍵漏洞,但如果沒有基于工具的審查結(jié)構(gòu)作為開發(fā)質(zhì)量門,有形的最后期限壓力可以鼓勵(lì)團(tuán)隊(duì)繼續(xù)前進(jìn)而不解決問題。

當(dāng)團(tuán)隊(duì)采用嵌入了安全實(shí)踐的結(jié)構(gòu)化審核流程時(shí),知識(shí)共享成為項(xiàng)目文化的核心。鑒于各行各業(yè)對(duì)培訓(xùn)和技能發(fā)展的需求非常大,這一點(diǎn)尤為重要。

在前面提到的思科研究中,27%的受訪者表示“缺乏訓(xùn)練有素的人員”是安全方面的最大障礙,高于2015年的22%。這并不是說公司不會(huì)招聘安全人員。該研究還發(fā)現(xiàn),一個(gè)組織的安全專業(yè)人員中位數(shù)從2015年的25人增加到2017年的40人。公司需要加快招聘以滿足安全需求,并積極為這些專家創(chuàng)造機(jī)會(huì),指導(dǎo)和培訓(xùn)初級(jí)團(tuán)隊(duì)成員。由于同行評(píng)審在整個(gè)SDLC中進(jìn)行,因此它們可以成為這種入職和知識(shí)轉(zhuǎn)移的有效結(jié)構(gòu)化工具。

MITER支持的Common Weakness Enumeration項(xiàng)目目前列出了800多種已知類型的軟件安全漏洞。隨著每種新的CWE類型的確定,安全實(shí)踐不足所帶來的潛在商業(yè)風(fēng)險(xiǎn)也會(huì)增加。

如果公司希望加快安全工作,則需要同時(shí)進(jìn)行上下文和可擴(kuò)展的方法。實(shí)際上,這意味著結(jié)構(gòu)化的工作流程優(yōu)先考慮跨功能審查和工具,可以大大擴(kuò)展安全測(cè)試覆蓋范圍,理想情況下利用AI或機(jī)器學(xué)習(xí)不斷改進(jìn)


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。