IT安全專業人員在2020年花費大量時間和精力管理從辦公室到在家遠程工作的轉變。研究人員預測越來越多的組織在2021年更加專注采用云計算技術,并在新常態下重新設想工作流程。在這種環境下,軟件安全性將是至關重要的。
Checkmarx公司研究人員表示,該公司日前發布了2021年軟件安全性預測報告。它為軟件開發團隊構想了一個新時代,其中包括關注更好的應用程序安全工具,可以將內部部署安全工具擴展到云平臺,并更好地保護物聯網(IoT)設備。
1.適應云計算環境
Checkmarx公司為軟件開發團隊提供建議,他們需要跟上未來云計算應用程序的開發步伐。
Checkmarx公司首席技術官Maty Siman在報告中說:“由于無法推送代碼,然后回滾以修復漏洞,因為它為惡意行為者提供了滲透到其系統的機會。到2021年,集成到工具鏈中的應用程序安全工具必須更快速地工作,擴展到云計算環境,并以開發人員可以理解和使用的格式提供可操作的結果,以便快速修復。”
云計算應用程序和運營環境正越來越受到網絡攻擊者的關注。例如,美國國家安全局日前發布警告稱,一些網絡攻擊者已經開發出利用本地網絡訪問漏洞危害云計算服務的技術。
該建議指出:“網絡攻擊者正在濫用聯合身份驗證環境中的信任,以訪問受保護的數據。這些攻擊行為是在網絡攻擊者初步侵入受害者的本地網絡之后進行的。網絡攻擊者利用本地環境中的特權訪問來破壞組織用來授予對云計算和內部部署資源的訪問權限,或使用管理云計算資源的能力來破壞管理員憑據的機制。”
2.開源漏洞
Siman表示,開源將會繼續獲得網絡攻擊者的關注。
Siman說:“組織經常發現惡意的開源軟件包,并且致力于保護正在使用的開源組件,而現有的解決方案可以幫助他們刪除錯誤脆弱的軟件包(開發人員在軟件包中意外地產生漏洞)。但是他們仍然看不到網絡攻擊者將受惡意代碼推送到程序包中的情況。這種情況需要在2021年改變。”
他警告說,組織需要采用技術更成熟的開源組件。
3.基礎設施即代碼
Siman表示,開發人員一直在使用新的基礎設施即代碼(IaC)環境來構建應用程序,這在安全性方面留下了重大漏洞。展望未來,這將推動基礎設施即代碼(IaC)安全方面的額外培訓。
他說,“我看到網絡攻擊者在這些靈活的環境中利用開發人員的失誤。為了解決這個問題,我們將精力集中在云安全培訓,基礎設施即代碼(IaC)的最佳實踐以及為支持遠程員工和更復雜的軟件生態系統的需求,將在軟件和應用程序安全上產生額外的支出。”
4.安全部門將與開發部門合作
Sima解釋說,為了在軟件開發過程中提高安全性,安全團隊必須在開發團隊中調整自己的發展方向以增強協作。
他說:“開發人員有時固執己見,并且越來越有影響力,因此不能強迫他們做不愿意做的事情。為了促進安全部門與開發部門之間的協作,2021年的安全趨勢將需要以適合他們的方式集成到開發工具鏈中。”
5.整體安全觀
Siman表示,組織的團隊將越來越需要對組織的安全態勢有一個全面的了解,從而推動對提供完整生態系統視圖的工具的需求。
特別是在開源安全方面,更全面的視圖將使組織不僅可以知道他們是否正在使用易受攻擊的軟件包,而且更重要的是,應用程序使用包的方式是否使攻擊或漏洞成為可能。
6.云原生安全
該報告的合著者、Checkmarx公司安全研究主管Erez Yalon表示,云原生安全性目前尚未得到充分利用,并在安全社區中尚未得到充分理解,但是2021年將會推動優先鎖定云計算環境。
Yalon在報告中寫道:“如果說2020年是API的元年,那么2021年將是云原生安全性搶占先機的一年。API在云原生安全性中扮演著重要角色,但重點將轉向基于云計算的技術如何繼續擴散并在組織中廣泛采用。確保互連的基于云計算的解決方案產生的生態系統將成為當務之急。”
7.脆弱的API
Yalon做出了另一個預測,那就是不安全的API將最容易受到網絡攻擊者的破壞。
他說,“隨著網絡攻擊者繼續加大針對API的攻擊,并且很多組織也逐漸了解如何利用這些程序,網絡攻擊者將在短期內利用這一空白,迫使開發人員迅速找出更好地保護API身份驗證和授權過程的方法。”
8.原有設備易受攻擊
Yalon補充說,組織的物聯網設備通常在后臺運行時會被遺忘,但它們仍將在2021年成為網絡攻擊者的主要目標。
Yalon說:“隨著這些使用多年的設備和工具日益陳舊,許多制造商已經停止支持軟件更新和補丁,因為它們優先考慮新模型,從而使原有模型成為尋找輕松訪問點的網絡攻擊者的主要目標。隨著時間的推移,這些現在已經過時的產品中的漏洞將被發現和利用。”
盡管已提供了修復程序,但Armis公司發布的調查報告表明,工業、工廠和醫療設備仍未打補丁以防御URGENT/11和CDPwn惡意軟件。研究人員發現, 97%未修補的運營技術(OT)設備受到URGENT/11影響。
9.物聯網安全進展緩慢
Yalon表示,美國上個月發布的最新《物聯網網絡安全改進法》是朝向正確的方向邁出的一步,但仍有許多工作要做。
美國政府立法要求物聯網設備滿足最低標準安全要求。但是Yalon補充說,如果沒有面臨消費者的巨大壓力就無法取得真正的進步。
他說:“直到消費者對政府和制造商施加壓力,以改善物聯網設備的安全性,或者制造商非常重視物聯網安全性,這將繼續引起人們的關注。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。