如果處理不當(dāng)，每個(gè)方面都會(huì)帶來(lái)安全風(fēng)險(xiǎn)。全球有數(shù)十億人使用在線和數(shù)字技術(shù)，網(wǎng)絡(luò)攻擊者有足夠的機(jī)會(huì)攻破防火墻或防御措施，并對(duì)全球各地的機(jī)構(gòu)或企業(yè)進(jìn)行網(wǎng)絡(luò)攻擊。如今，有關(guān)網(wǎng)絡(luò)安全方面的新聞不勝枚舉，例如比特幣挖掘、信用卡憑據(jù)竊取、向系統(tǒng)注入惡意代碼、竊取機(jī)密數(shù)據(jù)等一些不良行為。在當(dāng)今的數(shù)字世界中，這不僅僅是速度、快速接觸客戶、輕松設(shè)置、令人興奮的功能等，而是關(guān)于企業(yè)的系統(tǒng)、數(shù)據(jù)或功能的安全性。

 

 

保護(hù)電子數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和任何形式的數(shù)字基礎(chǔ)設(shè)施免受惡意網(wǎng)絡(luò)攻擊的方法和實(shí)踐被稱(chēng)為網(wǎng)絡(luò)安全。銀行、教育機(jī)構(gòu)、科技公司、政府機(jī)構(gòu)、出版社、醫(yī)院和各個(gè)部門(mén)都投資于網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，以保護(hù)其客戶數(shù)據(jù)、商業(yè)機(jī)密和商業(yè)情報(bào)免受網(wǎng)絡(luò)攻擊者的侵害。

 

健全的網(wǎng)絡(luò)安全戰(zhàn)略是應(yīng)對(duì)網(wǎng)絡(luò)犯罪和惡意攻擊的重要安全態(tài)勢(shì)，這些網(wǎng)絡(luò)攻擊旨在訪問(wèn)、挖掘、注入、刪除或勒索公司或開(kāi)發(fā)人員的系統(tǒng)和機(jī)密數(shù)據(jù)。以下將討論關(guān)于網(wǎng)絡(luò)安全和防范網(wǎng)絡(luò)攻擊的內(nèi)容。

 

 

在許多情況下，由于網(wǎng)絡(luò)安全法規(guī)的不完善，使得網(wǎng)絡(luò)攻擊者能夠入侵企業(yè)的網(wǎng)絡(luò)，并以各種方式損害系統(tǒng)，因此一些企業(yè)喪失了聲譽(yù)和信任，并且在收入方面遭受了嚴(yán)重?fù)p失，但仍然無(wú)法有效應(yīng)付。企業(yè)需要圍繞網(wǎng)絡(luò)安全制定強(qiáng)有力的標(biāo)準(zhǔn)和原則，以避免網(wǎng)絡(luò)攻擊者攻擊系統(tǒng)。網(wǎng)絡(luò)安全變得比以往任何時(shí)候都更加重要。以下是一些調(diào)查報(bào)告和示例：

 

•到2021年，全球各地的企業(yè)由于網(wǎng)絡(luò)攻擊造成的損失預(yù)計(jì)將超過(guò)6萬(wàn)億美元，

•研究機(jī)構(gòu)Gartner公司預(yù)測(cè)，到2022年，全球的安全支出將達(dá)到1700億美元，在短短一年內(nèi)將增長(zhǎng)8%。

•美國(guó)全國(guó)互助保險(xiǎn)公司最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，58%的企業(yè)至少遭受過(guò)一次網(wǎng)絡(luò)攻擊。

•與2015年相比，預(yù)計(jì)2021年勒索軟件危害事件將增加57倍。據(jù)稱(chēng)勒索軟件是美國(guó)快速增長(zhǎng)的網(wǎng)絡(luò)犯罪之一。因此，美國(guó)司法部(DOJ)將勒索軟件稱(chēng)之為一種新的網(wǎng)絡(luò)犯罪商業(yè)模式。

•WannaCry攻擊英國(guó)各地的醫(yī)院服務(wù)系統(tǒng)，導(dǎo)致其醫(yī)療服務(wù)關(guān)閉近一周。這是一次勒索軟件攻擊，網(wǎng)絡(luò)犯罪分子控制了英國(guó)衛(wèi)生系統(tǒng)，并要求交付贖金交還控制權(quán)。

 

 

以下是企業(yè)在實(shí)施網(wǎng)絡(luò)安全最佳實(shí)踐時(shí)需要考慮的一些建議：

 

•進(jìn)行網(wǎng)絡(luò)釣魚(yú)模擬。

•對(duì)開(kāi)發(fā)人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。

•聘請(qǐng)安全專(zhuān)業(yè)人員。

•采用DevSecOps最佳實(shí)踐。

•僅對(duì)所需人員進(jìn)行控制訪問(wèn)。

•使用多重身份驗(yàn)證。

•利用最好的安全漏洞工具。

•啟用防火墻保護(hù)。

•通過(guò)道德黑客進(jìn)行更多測(cè)試。

 

 

以下是一些需要了解的主要網(wǎng)絡(luò)安全威脅：

 

•惡意軟件是指病毒、特洛伊木馬和間諜軟件，它們可以通過(guò)惡意軟件注入任何系統(tǒng)以對(duì)其造成危害。

•勒索軟件是一種惡意軟件，它通過(guò)加密鎖定目標(biāo)計(jì)算機(jī)系統(tǒng)和文件，并要求支付贖金才能解鎖。

•社交工程涉及人類(lèi)互動(dòng)，黑客誘騙受害者破壞安全協(xié)議，并獲取受保護(hù)的敏感數(shù)據(jù)。

•網(wǎng)絡(luò)釣魚(yú)是網(wǎng)絡(luò)攻擊者以電子郵件(類(lèi)似于具有相同名稱(chēng)的知名來(lái)源)的形式發(fā)送給受害者的欺詐活動(dòng)。這樣做是為了竊取敏感信息和登錄詳細(xì)信息。

•內(nèi)部威脅是員工、承包商或與企業(yè)有密切聯(lián)系的任何人實(shí)施的一種安全漏洞。

•分布式拒絕服務(wù)(DDoS)攻擊是指網(wǎng)絡(luò)攻擊者將可疑流量發(fā)送到目標(biāo)網(wǎng)站，使它們變慢、破壞/崩潰系統(tǒng)。

•高級(jí)持久性威脅(APT)是指網(wǎng)絡(luò)攻擊者在很長(zhǎng)一段時(shí)間內(nèi)通過(guò)破壞網(wǎng)絡(luò)安全而不被發(fā)現(xiàn)，從而竊取數(shù)據(jù)的威脅。

•中間人(MitM)攻擊是指網(wǎng)絡(luò)攻擊者充當(dāng)未知且無(wú)法識(shí)別的中間人，攔截兩方之間的通信線路。

 

 

如今的網(wǎng)絡(luò)安全不僅僅是擁有防火墻和安全措施，就認(rèn)為一切都是安全的。這是一項(xiàng)持續(xù)的努力，需要持續(xù)和關(guān)鍵的關(guān)注來(lái)克服安全挑戰(zhàn)。數(shù)字時(shí)代的網(wǎng)絡(luò)安全補(bǔ)充了DevOps開(kāi)發(fā)、測(cè)試、保護(hù)、管理和維護(hù)持續(xù)交付和質(zhì)量的途徑。

 

使用DevOps流程的企業(yè)必須實(shí)施以上討論的強(qiáng)大的安全實(shí)踐。IT團(tuán)隊(duì)實(shí)施的安全標(biāo)準(zhǔn)也應(yīng)該用于DevOps安全。如果沒(méi)有適當(dāng)?shù)陌踩胧珼evOps實(shí)踐有時(shí)可能會(huì)使企業(yè)面臨嚴(yán)重的安全風(fēng)險(xiǎn)。管理DevOps網(wǎng)絡(luò)安全的理想方法是與安全團(tuán)隊(duì)合作并參與持續(xù)威脅監(jiān)控。

 

在當(dāng)今的軟件企業(yè)中，網(wǎng)絡(luò)安全被集成到DevOps中是有充分理由的。加強(qiáng)開(kāi)發(fā)和運(yùn)營(yíng)兩個(gè)部門(mén)之間的溝通與協(xié)作，將顯著加強(qiáng)風(fēng)險(xiǎn)管理，并處理SDLC任何階段出現(xiàn)的安全問(wèn)題。

 

 

最近發(fā)生的最嚴(yán)重的一次網(wǎng)絡(luò)安全攻擊是美國(guó)大型信息技術(shù)商SolarWinds公司，其攻擊持續(xù)幾個(gè)月未被發(fā)現(xiàn)，并于去年12月首次被路透社報(bào)道。這個(gè)網(wǎng)絡(luò)安全漏洞被認(rèn)為是21世紀(jì)受影響最大的漏洞之一。

 

在秘密侵入SolarWind公司的系統(tǒng)后，網(wǎng)絡(luò)攻擊者在該公司影響多個(gè)客戶的重要軟件系統(tǒng)之一中添加了惡意代碼。其名為“OrionIT”的系統(tǒng)受到了嚴(yán)重影響，它是全球許多大型企業(yè)和政府機(jī)構(gòu)采用的監(jiān)控和管理軟件。

 

根據(jù)美國(guó)證券交易委員會(huì)的文件，Solarwinds公司擁有33,000個(gè)使用Orion的客戶。通過(guò)這種方式，網(wǎng)絡(luò)攻擊者獲得了對(duì)數(shù)千個(gè)SolarWinds客戶的登錄憑據(jù)、網(wǎng)絡(luò)、系統(tǒng)和數(shù)字簽名的訪問(wèn)權(quán)限。

 

網(wǎng)絡(luò)攻擊者利用供應(yīng)鏈攻擊技術(shù)將惡意代碼注入OrionIT系統(tǒng)。通過(guò)第三方訪問(wèn)，黑客可以攻擊SolarWind的系統(tǒng)(OrionIT)，這通常發(fā)生在供應(yīng)鏈攻擊中。

 

 

SolarWind公司的網(wǎng)絡(luò)攻擊震驚了世界各國(guó)。對(duì)此，美國(guó)政府開(kāi)始致力于整頓網(wǎng)絡(luò)安全法規(guī)，以防止此類(lèi)攻擊的發(fā)生，并提供數(shù)十億美元的資金來(lái)提高安全性。美國(guó)總統(tǒng)拜登簽署行政命令以實(shí)現(xiàn)網(wǎng)絡(luò)防御現(xiàn)代化;該命令的動(dòng)機(jī)是需要更強(qiáng)大的安全流程，特別是圍繞軟件供應(yīng)鏈攻擊。這個(gè)行政命令致力于為實(shí)現(xiàn)安全最佳實(shí)踐的現(xiàn)代化和保護(hù)美國(guó)聯(lián)邦網(wǎng)絡(luò)做出顯著貢獻(xiàn)。

 

因此，主要的軟件公司/供應(yīng)商面臨著更新和重新調(diào)整以加強(qiáng)其網(wǎng)絡(luò)安全規(guī)則的壓力。這意味著未來(lái)幾年軟件供應(yīng)商將把網(wǎng)絡(luò)安全放在最高優(yōu)先級(jí)，這似乎是應(yīng)對(duì)網(wǎng)絡(luò)攻擊者入侵的一個(gè)主要舉措。

 

美國(guó)政府和所有相關(guān)機(jī)構(gòu)已提醒其軟件供應(yīng)商遵循穩(wěn)健的網(wǎng)絡(luò)安全協(xié)議和原則。

 

美國(guó)政府的行政命令非常明確：它規(guī)定網(wǎng)絡(luò)安全相當(dāng)于美國(guó)政府的國(guó)家安全。為了獲得更強(qiáng)大的安全態(tài)勢(shì)，向美國(guó)聯(lián)邦政府出售的任何軟件不僅需要穩(wěn)定、有價(jià)值的應(yīng)用程序，還需要遵守嚴(yán)格的軟件材料清單(SBOM)要求，其中包括用于構(gòu)建軟件的所有組件。

 

 

軟件物料清單(SBOM) 是構(gòu)成軟件程序或應(yīng)用程序的組件的完整列表。它要求供應(yīng)商仔細(xì)列出用于構(gòu)建應(yīng)用程序的工具和第三方組件。出于安全原因，軟件物料清單(SBOM) 被認(rèn)為非常有價(jià)值，因?yàn)樗恳粋€(gè)細(xì)節(jié)。因此，如果出現(xiàn)任何災(zāi)難或安全問(wèn)題，供應(yīng)商很容易追蹤導(dǎo)致問(wèn)題的原因，并幫助解決或減輕這些挑戰(zhàn)。

 

在當(dāng)前的行政命令中，重要的不僅僅是整個(gè)軟件而是細(xì)節(jié)，每一個(gè)微小的細(xì)節(jié)或組件都必須遵守新的行政命令。

 

如今，有許多解決方案可以掃描和列出應(yīng)用程序中使用的組件，而JFrog就是其中一種更進(jìn)一步的解決方案。

 

使用JFrog產(chǎn)品(特別是Artifactory和Xray)，可以輕松了解組件、這些組件的來(lái)源以及組件的所有相關(guān)細(xì)節(jié)。這樣就可以做出數(shù)據(jù)驅(qū)動(dòng)的決策，并在出現(xiàn)任何問(wèn)題時(shí)采取預(yù)防措施。

 

 

軟件開(kāi)發(fā)商必須為其代碼庫(kù)準(zhǔn)備和維護(hù)軟件BOM(SBOM)。任何典型的JavaScript　Web應(yīng)用程序都包含至少1000個(gè)依賴項(xiàng)，每個(gè)依賴項(xiàng)都可以包含更多的依賴項(xiàng)。因此，僅僅關(guān)注應(yīng)用程序的頂級(jí)部分是無(wú)關(guān)緊要的，這意味著可能會(huì)錯(cuò)過(guò)應(yīng)用程序正在使用的大部分代碼。

 

用戶需要問(wèn)問(wèn)自己，是否檢查應(yīng)用程序包含的開(kāi)源組件的許可證是寬松的還是嚴(yán)格的?是否知道代碼庫(kù)中的開(kāi)源組件正在維護(hù)?

 

用戶如何驗(yàn)證其應(yīng)用程序或軟件使用的開(kāi)源組件是否存在任何已知漏洞?這就是軟件物料清單(SBOM)發(fā)揮重要作用的地方，因此重要的不僅是了解整個(gè)過(guò)程，還包括了解每一個(gè)環(huán)境細(xì)節(jié)。

 

這是將要發(fā)布的軟件物料清單(SBOM)標(biāo)準(zhǔn)的高級(jí)要求可能發(fā)揮作用的地方。雖然許多安全公司可能會(huì)提供一些說(shuō)明，但在二進(jìn)制生命周期中公開(kāi)環(huán)境和變量的DevOps平臺(tái)將處于滿足這些政府要求的主要位置。例如，JFrog平臺(tái)可以作為JFrog所說(shuō)的安全狀況的“單一事實(shí)來(lái)源”。通過(guò)不僅了解頂級(jí)二進(jìn)制文件，而且了解所有構(gòu)建和管道信息，用戶將不僅能夠了解其中的成分，還能夠了解它們的來(lái)源以及這些成分的供應(yīng)鏈。這樣，用戶或許能夠基于這些新的網(wǎng)絡(luò)安全需求更好地滿足未來(lái)的需求。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。