信息化觀察網(wǎng)

研究人員預(yù)測，在新的一年中，軟件安全性仍將努力跟上云計算和物聯(lián)網(wǎng)的發(fā)展步伐。

IT安全專業(yè)人員在2020年花費(fèi)大量時間和精力管理從辦公室到在家遠(yuǎn)程工作的轉(zhuǎn)變。研究人員預(yù)測越來越多的組織在2021年更加專注采用云計算技術(shù)，并在新常態(tài)下重新設(shè)想工作流程。在這種環(huán)境下，軟件安全性將是至關(guān)重要的。

Checkmarx公司研究人員表示，該公司日前發(fā)布了2021年軟件安全性預(yù)測報告。它為軟件開發(fā)團(tuán)隊構(gòu)想了一個新時代，其中包括關(guān)注更好的應(yīng)用程序安全工具，可以將內(nèi)部部署安全工具擴(kuò)展到云平臺，并更好地保護(hù)物聯(lián)網(wǎng)(IoT)設(shè)備。

1.適應(yīng)云計算環(huán)境

Checkmarx公司為軟件開發(fā)團(tuán)隊提供建議，他們需要跟上未來云計算應(yīng)用程序的開發(fā)步伐。

Checkmarx公司首席技術(shù)官M(fèi)aty Siman在報告中說：“由于無法推送代碼，然后回滾以修復(fù)漏洞，因為它為惡意行為者提供了滲透到其系統(tǒng)的機(jī)會。到2021年，集成到工具鏈中的應(yīng)用程序安全工具必須更快速地工作，擴(kuò)展到云計算環(huán)境，并以開發(fā)人員可以理解和使用的格式提供可操作的結(jié)果，以便快速修復(fù)。”

云計算應(yīng)用程序和運(yùn)營環(huán)境正越來越受到網(wǎng)絡(luò)攻擊者的關(guān)注。例如，美國國家安全局日前發(fā)布警告稱，一些網(wǎng)絡(luò)攻擊者已經(jīng)開發(fā)出利用本地網(wǎng)絡(luò)訪問漏洞危害云計算服務(wù)的技術(shù)。

該建議指出：“網(wǎng)絡(luò)攻擊者正在濫用聯(lián)合身份驗證環(huán)境中的信任，以訪問受保護(hù)的數(shù)據(jù)。這些攻擊行為是在網(wǎng)絡(luò)攻擊者初步侵入受害者的本地網(wǎng)絡(luò)之后進(jìn)行的。網(wǎng)絡(luò)攻擊者利用本地環(huán)境中的特權(quán)訪問來破壞組織用來授予對云計算和內(nèi)部部署資源的訪問權(quán)限，或使用管理云計算資源的能力來破壞管理員憑據(jù)的機(jī)制。”

2.開源漏洞

Siman表示，開源將會繼續(xù)獲得網(wǎng)絡(luò)攻擊者的關(guān)注。

Siman說：“組織經(jīng)常發(fā)現(xiàn)惡意的開源軟件包，并且致力于保護(hù)正在使用的開源組件，而現(xiàn)有的解決方案可以幫助他們刪除錯誤脆弱的軟件包(開發(fā)人員在軟件包中意外地產(chǎn)生漏洞)。但是他們?nèi)匀豢床坏骄W(wǎng)絡(luò)攻擊者將受惡意代碼推送到程序包中的情況。這種情況需要在2021年改變。”

他警告說，組織需要采用技術(shù)更成熟的開源組件。

3.基礎(chǔ)設(shè)施即代碼

Siman表示，開發(fā)人員一直在使用新的基礎(chǔ)設(shè)施即代碼(IaC)環(huán)境來構(gòu)建應(yīng)用程序，這在安全性方面留下了重大漏洞。展望未來，這將推動基礎(chǔ)設(shè)施即代碼(IaC)安全方面的額外培訓(xùn)。

他說，“我看到網(wǎng)絡(luò)攻擊者在這些靈活的環(huán)境中利用開發(fā)人員的失誤。為了解決這個問題，我們將精力集中在云安全培訓(xùn)，基礎(chǔ)設(shè)施即代碼(IaC)的最佳實踐以及為支持遠(yuǎn)程員工和更復(fù)雜的軟件生態(tài)系統(tǒng)的需求，將在軟件和應(yīng)用程序安全上產(chǎn)生額外的支出。”

4.安全部門將與開發(fā)部門合作

Sima解釋說，為了在軟件開發(fā)過程中提高安全性，安全團(tuán)隊必須在開發(fā)團(tuán)隊中調(diào)整自己的發(fā)展方向以增強(qiáng)協(xié)作。

他說：“開發(fā)人員有時固執(zhí)己見，并且越來越有影響力，因此不能強(qiáng)迫他們做不愿意做的事情。為了促進(jìn)安全部門與開發(fā)部門之間的協(xié)作，2021年的安全趨勢將需要以適合他們的方式集成到開發(fā)工具鏈中。”

5.整體安全觀

Siman表示，組織的團(tuán)隊將越來越需要對組織的安全態(tài)勢有一個全面的了解，從而推動對提供完整生態(tài)系統(tǒng)視圖的工具的需求。

特別是在開源安全方面，更全面的視圖將使組織不僅可以知道他們是否正在使用易受攻擊的軟件包，而且更重要的是，應(yīng)用程序使用包的方式是否使攻擊或漏洞成為可能。

6.云原生安全

該報告的合著者、Checkmarx公司安全研究主管Erez Yalon表示，云原生安全性目前尚未得到充分利用，并在安全社區(qū)中尚未得到充分理解，但是2021年將會推動優(yōu)先鎖定云計算環(huán)境。

Yalon在報告中寫道：“如果說2020年是API的元年，那么2021年將是云原生安全性搶占先機(jī)的一年。API在云原生安全性中扮演著重要角色，但重點(diǎn)將轉(zhuǎn)向基于云計算的技術(shù)如何繼續(xù)擴(kuò)散并在組織中廣泛采用。確?；ミB的基于云計算的解決方案產(chǎn)生的生態(tài)系統(tǒng)將成為當(dāng)務(wù)之急。”

7.脆弱的API

Yalon做出了另一個預(yù)測，那就是不安全的API將最容易受到網(wǎng)絡(luò)攻擊者的破壞。

他說，“隨著網(wǎng)絡(luò)攻擊者繼續(xù)加大針對API的攻擊，并且很多組織也逐漸了解如何利用這些程序，網(wǎng)絡(luò)攻擊者將在短期內(nèi)利用這一空白，迫使開發(fā)人員迅速找出更好地保護(hù)API身份驗證和授權(quán)過程的方法。”

8.原有設(shè)備易受攻擊

Yalon補(bǔ)充說，組織的物聯(lián)網(wǎng)設(shè)備通常在后臺運(yùn)行時會被遺忘，但它們?nèi)詫⒃?021年成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。

Yalon說：“隨著這些使用多年的設(shè)備和工具日益陳舊，許多制造商已經(jīng)停止支持軟件更新和補(bǔ)丁，因為它們優(yōu)先考慮新模型，從而使原有模型成為尋找輕松訪問點(diǎn)的網(wǎng)絡(luò)攻擊者的主要目標(biāo)。隨著時間的推移，這些現(xiàn)在已經(jīng)過時的產(chǎn)品中的漏洞將被發(fā)現(xiàn)和利用。”

盡管已提供了修復(fù)程序，但Armis公司發(fā)布的調(diào)查報告表明，工業(yè)、工廠和醫(yī)療設(shè)備仍未打補(bǔ)丁以防御URGENT/11和CDPwn惡意軟件。研究人員發(fā)現(xiàn)，97%未修補(bǔ)的運(yùn)營技術(shù)(OT)設(shè)備受到URGENT/11影響。

9.物聯(lián)網(wǎng)安全進(jìn)展緩慢

Yalon表示，美國上個月發(fā)布的最新《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》是朝向正確的方向邁出的一步，但仍有許多工作要做。

美國政府立法要求物聯(lián)網(wǎng)設(shè)備滿足最低標(biāo)準(zhǔn)安全要求。但是Yalon補(bǔ)充說，如果沒有面臨消費(fèi)者的巨大壓力就無法取得真正的進(jìn)步。

他說：“直到消費(fèi)者對政府和制造商施加壓力，以改善物聯(lián)網(wǎng)設(shè)備的安全性，或者制造商非常重視物聯(lián)網(wǎng)安全性，這將繼續(xù)引起人們的關(guān)注。”