2020年确实是不同寻常的一年,随着众多组织持续推进大规模数字化转型,我们也迎来了一波又一波令人始料未及的冲击。在此期间,商业、政府、医疗保健以及教育机构都出现了巨大变化,各类组织都在新冠疫情阴影的笼罩下寻求可行的出路。但同样令人振奋的是,相当一部分组织确实成功完成了转型,在逆境之下获得了令人瞩目的辉煌胜利。
与此同时,网络攻击方与防守方的对抗仍然存在,甚至有愈演愈烈之势。事实上,几乎没人能准确评估当下的攻击面与威胁前景。因此,本文采访了以色列知名软件安全厂商Checkmarx的专家,探讨未来一年中将要出现的新型威胁、新型防御机制、创新型软件开发及部署方法等议题。这里提出的预测全部源自趋势洞察、专业见解以及专家们对于技术及软件驱动行业的整体认知。以下为Checkmarx的见解:
网络安全将努力适应云时代下的软件开发速度
目前的一项基本思路是如何在快速开发并发布应用程序的同时,使其安全性得到保障。尽管人们一直在讨论这种思路,但其并未得到有效执行。因此,不少组织决定先将软件快速投入生产,并在发现错误时立即撤回,确保借此更快地推送新功能。但可以预见,这种方式对于安全性没有任何帮助。虽然是先发布、再撤回,但那些可能被恶意攻击者所利用的漏洞仍然会在一段时期内存在于生产系统中。2021年,用于保障应用程序安全性的集成工具链方案必须加快发展步伐、向云环境扩展,并快速提供开发人员能够理解且易于应用的结论及修复方案。
当机构试图阻止黑客入侵时,开源攻击将加速推进
如今黑客们意识到,利用开源软件入侵组织机构变得愈发容易。而这种趋势很可能在2021年进一步加速。目前,几乎每周都会曝出开源程序包存在恶意代码的消息。因此,组织机构必须了解他们正在使用且亟需保护的开源组件,并尽可能利用现有解决方案删除易受攻击的程序包(包括开发者意外遗留下漏洞代码的程序包)。但开发者并不能很好的发现恶意攻击者向程序包中提交受到污染的代码的情况。在2021年,我们必须拿出有针对性的解决方案。
作为核心准则,最好要求各方坚持在关键项目中使用得到广泛认可的开源组件(而非成熟度相较对低的),并查看开源项目采取的新贡献者政策(无论是允许任何人做出贡献还是进行背景调查以消除潜在的恶意影响)。
对基于云计算环境的安全需求将推动基础设施即代码(IaC)的增加
2020年,由于数字化服务持续升级导致各类组织迫于现实压力逐步转向云以维持业务的连续性。云服务为居家公办的员工们带来了强大的工作能力保障;但这种过渡带来了新的挑战,其中之一便是基础设施即代码(IaC)的出现。
IaC迫使开发人员们在尚未做好准备的情况下,仓促在这一未知领域中快速构建代码。事实上,承载代码的底层云基础设施具有极为复杂的结构,目前市场上的安全工具通常较为分散,根本不足以准确检测出代码中的漏洞。因此在新的一年中,相信会有恶意攻击者开始在灵活的云环境中利用开发者犯下的种种错误。为了解决这个问题,我们需要将精力集中在云安全培训、IaC最佳实践普及以及针对软件和应用程序安全性保护的额外支出等方面,以保证远程办公人员及高复杂度软件生态系统的需求。
安全人员应直接向开发团队报告,而非向其他人
首先需要明确一点,开发人员是组织内推动数字化转型的引领者。将安全性集成至软件开发当中,则需要同时推进自上而下与自下而上两条实施途径。事实证明,开发人员们总是自以为是,凭借自己的影响力拒绝一切他们不打算做或者不愿意遵循的建议。为了促进安全团队与开发团队的协作,2021年的安全流程应该转为以开发团队为中心,将安全集成至开发工具链当中。开发人员不愿在不同的界面(一套开发界面、一套安全界面)之间来回切换,因此必须将二者的推进速度统一起来,消除这种切换方式。另外,开发者希望以更简单的方式使用所有数据,无论是质量数据还是安全数据。所以安全团队应高度强调服务精神,着力为开发人员提供他们熟悉并喜爱的界面与工具。
上下文将成为重要特征:使用应用程序整体视图以改善安全性
新的一年,我们应该抛弃“一招鲜、吃遍天”的思维模式。2021年,应用安全市场将迎来全面融合,届时组织需要立足多个有利位置全面审视应用程序的安全状况(例如审视应用程序上下文,并将其整合至基础设施即代码的网格当中),推动一站式解决方案的全面应用,借此建立起完整的生态系统视图。特别是在开源安全方面,这种更为全面的视图不仅能够帮助组织了解到当前使用的软件包中是否存在漏洞,同时也将保证组织可以了解当前使用应用程序的方式是否存在问题、或者给攻击者留下可乘之机。
举个例子:当开源代码组件中存在漏洞时,黑客一方要想利用此漏洞,必须满足三个条件:
1)您使用了存在该漏洞的开源代码版本;
2)您的应用程序编码使用到了这部分开源代码中的特定功能;
3)您的基础设施即代码需要开启特定端口。因此,只要将这三项因素结合起来并对应用上下文进行分析,我们就能准确判断出自身是否容易受到攻击影响。
云原生安全将成为核心焦点
在现代软件的开发及安全保障方面,API一直是个热门议题。但如果将2020年视为API全面崛起的元年,那么2021年将是云原生安全全面进入主流视野的一年。API在云原生安全领域扮演着重要角色,而问题的核心则表现为如何适应云技术在组织内的持续扩散与广泛采用。在这样的背景之下,保护由云解决方案彼此互连而建立起的生态系统将成为重中之重。
就目前来看,人们对于云原生安全问题的整体理解仍处于起步阶段。API、容器与编排工具已经在软件开发领域站稳脚跟,并且组织一直努力提高各类工具之间的连接性,希望借此提高效率与产出水平。但是,这些工具之间的每个接点都有可能构成漏洞并导致安全风险。2021年,组织需要直面这种由软件复杂性引发的残酷现实,并切实采取措施保护自身。
存在漏洞的API很可能成为软件与应用程序安全违规问题的重要因素
尽管过去几年以来,人们对于API安全性的认知有所提升,但我们仍然可以预测,2021年,API将继续成为攻击者们最关注的攻击媒介之一(甚至没有之一)。尽管API已经成为开发人员在复杂应用程序当中构建并运行多种负载的便捷方式,但以访问控制为代表的实际难题正给开发人员带来直接挑战。很明显,解决并消除这些漏洞是一项艰难的任务,而且目前来看几乎没有简单的解决方案。
恶意攻击者将继续加大对API的攻击力度,而组织又尚未完全了解其中的缺陷所在,因此攻击方很可能在短期内抓住机会快速行动,并迫使开发人员尽快找到更好的AI身份验证与授权等保护安全的方法。
传统物联网设备将令消费者们身处危险
2021年,另一个需要密切关注的领域就是企业及个人环境中广泛部署及使用的陈旧物联网设备。过去几年以来,物联网设备迎来了一波爆炸式增长,我们的生活几乎瞬间被其淹没。如今,我们已经习惯于让物联网设备在后台运行,但却很少想到该及时进行更换、升级或者淘汰它们。
这些逐渐过时的小装置仍在持续运行,而且大多数已经得不到制造商的软件更新及修复支持。因此,不少陈旧型号成为恶意攻击者们的首选目标。随着时间推移,这类产品中的更多漏洞将被陆续发现并加以利用。正所谓“花有重开日”,可惜这次的主动权掌握在黑客一方手中。
物联网安全性有所提升,但仍不够完善
2021年,物联网安全领域仍有不少空缺需要填补。好消息是物联网行业已经朝着正确方向迈进了一大步,例如美国政府已经通过了物联网安全保护法案。但问题在于,消费者及制造商这一侧的有效应对措施仍然缺席。除非消费者能够对政府以及制造商施加实际压力,要求他们改善物联网设备的安全水平;或者制造商能够主动对物联网安全给予高度重视,否则距离彻底解决问题仍有漫长的道路要走。
原文链接:
https://www.checkmarx.com/blog/2021-software-security-predictions-our-experts-weigh-in
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
