應(yīng)用程序安全平臺提供商Contrast Security公司首席技術(shù)官Jeff Williams表示,大多數(shù)技術(shù)債務(wù)都是通過在將架構(gòu)、代碼質(zhì)量、性能、可用??性以及最終的安全性等關(guān)鍵方面擱置時(shí)而造成的。他解釋說,“許多大型企業(yè)在其漏洞管理系統(tǒng)中存在數(shù)萬或數(shù)十萬個(gè)已發(fā)現(xiàn)但未修復(fù)的風(fēng)險(xiǎn)。”許多行業(yè)組織都有一種想法,“就是資金不足的安全工作加上風(fēng)險(xiǎn)管理可能與實(shí)際完成所需的安全工作一樣好”,但這是一種錯(cuò)誤的想法,這可能會(huì)使企業(yè)及其合作伙伴受到重大傷害。
為了最大限度地減少技術(shù)債務(wù)對安全的影響,首先要了解執(zhí)行不力的項(xiàng)目可能為網(wǎng)絡(luò)入侵者和攻擊者提供攻擊機(jī)會(huì)的各種方式,以及如何快速安全地彌補(bǔ)發(fā)現(xiàn)的漏洞。以下是技術(shù)債務(wù)可能成為首席信息安全官需要解決的問題的7種方式:
1.狡猾的軟件
美國卡內(nèi)基梅隆大學(xué)海因茨信息系統(tǒng)與公共政策學(xué)院信息系統(tǒng)教授Rahul Telang指出,技術(shù)債務(wù)是一個(gè)被過度使用的術(shù)語。他解釋說,“這意味著企業(yè)的技術(shù)和產(chǎn)品在現(xiàn)實(shí)和目標(biāo)方面出現(xiàn)了一些差距,現(xiàn)在必須償還債務(wù)。不難想象,除非迅速償還債務(wù),否則會(huì)增加安全風(fēng)險(xiǎn)。”
Telang指出,首席信息安全官應(yīng)該意識到,每個(gè)軟件開發(fā)項(xiàng)目都會(huì)經(jīng)歷一些階段,隨著時(shí)間的推移,必須重構(gòu)代碼以解決潛在的安全漏洞。他表示,首席信息安全官必須有一個(gè)適當(dāng)?shù)慕Y(jié)構(gòu)在部署之前檢測可能的問題,因?yàn)楫?dāng)產(chǎn)品已經(jīng)推出并使用時(shí)很容易忽略這些問題。
DNS和流量管理技術(shù)開發(fā)商N(yùn)S1公司首席信息安全官Ryan Davis認(rèn)為,軟件造成的技術(shù)債務(wù)帶來最大的業(yè)務(wù)安全風(fēng)險(xiǎn)。他說,“這包括源自企業(yè)外部的項(xiàng)目,例如語言、第三方庫和軟件內(nèi)置的其他組件,以及由內(nèi)部開發(fā)人員編寫的代碼。”
軟件會(huì)隨著時(shí)間的推移而老化,并且需要定期發(fā)布補(bǔ)丁以解決錯(cuò)誤和安全問題。但是最終,所有軟件都將在其不再受到開發(fā)者的支持時(shí)進(jìn)入生命周期結(jié)束階段。不幸的是,在某些情況下,可能很難淘汰軟件產(chǎn)品,這是由于其開發(fā)者或者放棄了該產(chǎn)品,或者開發(fā)商倒閉。在發(fā)生這種情況時(shí),繼續(xù)運(yùn)行遺留的軟件可能會(huì)產(chǎn)生危險(xiǎn)的技術(shù)債務(wù),因?yàn)榫W(wǎng)絡(luò)入侵者和攻擊者可能已經(jīng)發(fā)現(xiàn)了利用這些軟件的新方法。其結(jié)果可能是毀滅性的。Davis說,“我們已經(jīng)看到許多真實(shí)世界的例子,表明某種軟件的安全狀況將會(huì)對全球各地的企業(yè)帶來的影響。”
2.治理不力
強(qiáng)有力的治理對于防止技術(shù)債務(wù)成為安全問題至關(guān)重要。商業(yè)和IT咨詢機(jī)構(gòu)West Monroe公司網(wǎng)絡(luò)安全實(shí)踐主管David Chaddock認(rèn)為,確保資產(chǎn)的生命周期問題在其初始設(shè)計(jì)和實(shí)施過程中得到解決非常重要,其中包括長期運(yùn)營成本和減少所需的支持資源系統(tǒng)突然或逐漸成為安全問題。他說,“這就要求安全團(tuán)隊(duì)盡早參與設(shè)計(jì)過程。”
3.戰(zhàn)略一致性差
全球業(yè)務(wù)和IT外包商Guidehouse公司網(wǎng)絡(luò)安全解決方案主管Eugene Okwodu建議,首席信息安全官應(yīng)該了解企業(yè)內(nèi)部的技術(shù)債務(wù),并制定正確的指標(biāo)來管理它。他補(bǔ)充說,“首席信息安全官還應(yīng)該將所需的技術(shù)更新成本納入他們的預(yù)算。”
當(dāng)IT和網(wǎng)絡(luò)安全策略發(fā)生沖突時(shí),經(jīng)常會(huì)出現(xiàn)技術(shù)債務(wù)。Okwodu觀察到,為了確保充分協(xié)調(diào)并解決沖突,可能有必要與內(nèi)部項(xiàng)目管理辦公室(PMO)合作或?qū)で笸獠繋椭?/div>
4.忽視或延遲現(xiàn)代化
在某些情況下,技術(shù)債務(wù)可能需要數(shù)年時(shí)間才能顯現(xiàn)出來。Okwodu說:“無論是硬件還是軟件,老化陳舊的技術(shù)都會(huì)帶來很大的安全風(fēng)險(xiǎn)。”他解釋說,這些技術(shù)不僅在某些情況下無法更換和修復(fù),而且通常相互關(guān)聯(lián)性更高,目前的員工對它的了解也更少。
Okwodu說:“數(shù)年甚至數(shù)十年的變通、更新、升級以及并購活動(dòng)可能會(huì)使技術(shù)債務(wù)問題特別嚴(yán)重。技術(shù)債務(wù)需要實(shí)現(xiàn)成本高昂的系統(tǒng)現(xiàn)代化,特別是在軟件系統(tǒng)中,再加上當(dāng)今勞動(dòng)力中不太常見的專業(yè)知識,對于企業(yè)都會(huì)構(gòu)成重大的安全風(fēng)險(xiǎn)。”
5.未能采用良好的開發(fā)實(shí)踐
DevSecOps不僅僅是一個(gè)流行術(shù)語。當(dāng)應(yīng)用良好的開發(fā)實(shí)踐時(shí),許多安全問題都可以得到解決和控制。技術(shù)培訓(xùn)商Infosec Institute公司首席安全研究員Keatron Evans建議說,“從開發(fā)項(xiàng)目一開始就堅(jiān)持正確的DevSecOps原則,并堅(jiān)持控制有助于可視化安全漏洞的指標(biāo)。”
隨著應(yīng)用程序的發(fā)展,它們通常變得更加有用和廣泛使用。然而,這些屬性也可能使安全漏洞更難修復(fù)或緩解。Evans說,“從長遠(yuǎn)來看,導(dǎo)致一段代碼增長并變得高效、有用和有價(jià)值的能量也會(huì)導(dǎo)致被忽視的安全問題變得更具顛覆性。DevSecOps在軟件開發(fā)生命周期的每個(gè)階段自動(dòng)集成安全性,有效防止突然出現(xiàn)的漏洞。”
6.延遲測試
將軟件安全測試推遲到開發(fā)后期階段可能會(huì)導(dǎo)致漏洞的產(chǎn)生,而這些漏洞的糾正可能困難、耗時(shí)且成本高昂。DevOps咨詢服務(wù)提供商N(yùn)extLink Labs的首席信息安全官Jeremy Dodson警告說:“將測試延遲到流程結(jié)束可能會(huì)導(dǎo)致大規(guī)模的重新開發(fā)工作以解決安全問題,這可能意味著利潤損失和開發(fā)時(shí)間顯著增加。”
Dodson表示,安全應(yīng)該是一項(xiàng)協(xié)作努力。他說,“首席信息安全官對于在企業(yè)內(nèi)部創(chuàng)建安全文化至關(guān)重要,特別是對于開發(fā)團(tuán)隊(duì)?wèi)B(tài)度的轉(zhuǎn)變可以顯著有助于在整個(gè)設(shè)計(jì)和開發(fā)過程中整合安全措施。”
7.失控的復(fù)雜性
低代碼應(yīng)用程序開發(fā)平臺提供商OutSystems公司平臺戰(zhàn)略高級總監(jiān)Barry Goffe表示,技術(shù)債務(wù)的一個(gè)主要原因是依賴過多的開發(fā)語言、工具、平臺和框架。他說,“復(fù)雜性帶來了出錯(cuò)的機(jī)會(huì),而這種風(fēng)險(xiǎn)的疊加使得識別這些錯(cuò)誤何時(shí)發(fā)生變得更加困難。即使發(fā)現(xiàn)了問題,復(fù)雜性也會(huì)使修復(fù)這些漏洞變得更加困難。”
Goffe說,“復(fù)雜性本身并不會(huì)帶來安全漏洞,但它肯定會(huì)增加漏洞發(fā)生的可能性,并增加防范漏洞的成本。鑒于復(fù)雜性是技術(shù)債務(wù)的主要原因,標(biāo)準(zhǔn)化和簡化應(yīng)用程序開發(fā)工具和基礎(chǔ)設(shè)施的努力可以為最大程度地減少技術(shù)債務(wù)的產(chǎn)生帶來巨大收益。”
Goffe將技術(shù)債務(wù)視為風(fēng)險(xiǎn)驅(qū)動(dòng)因素,也是阻礙創(chuàng)新和安全的主要因素。隨著企業(yè)在發(fā)生疫情之后致力于將其運(yùn)營的業(yè)務(wù)恢復(fù)正常,現(xiàn)在是解決多年來快速建設(shè)所造成的障礙和安全風(fēng)險(xiǎn)的時(shí)候了。Goffe總結(jié)說,“企業(yè)解決的技術(shù)債務(wù)越多,他們面臨的安全風(fēng)險(xiǎn)就越少,創(chuàng)新能力就會(huì)越強(qiáng)。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。