為什么網(wǎng)絡(luò)安全需求超過(guò)減緩努力

公司必須降低新軟件及其現(xiàn)有代碼中網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。然而，大多數(shù)公司沒(méi)有可靠的實(shí)踐。1月28日，美國(guó)國(guó)防部發(fā)布了五角大樓戰(zhàn)斗測(cè)試辦公室發(fā)布的一份報(bào)告，宣布美國(guó)軍方的網(wǎng)絡(luò)安全能力“沒(méi)有快速發(fā)展，無(wú)法保持領(lǐng)先于對(duì)手設(shè)想的'多重攻擊'的攻擊。”1月29日，有消息稱Apple的Facetime軟件中存在一個(gè)錯(cuò)誤，允許用戶在未經(jīng)他人同意的情況下訪問(wèn)其他人的麥克風(fēng)。這些組織在一周內(nèi)領(lǐng)導(dǎo)各自的行業(yè)，已經(jīng)證明了軟件安全面臨的巨大挑戰(zhàn)。

2019年的軟件團(tuán)隊(duì)正在構(gòu)建更復(fù)雜的項(xiàng)目，擁有更多分布式團(tuán)隊(duì)，在更具競(jìng)爭(zhēng)力的技術(shù)環(huán)境中。除了這個(gè)巨大的挑戰(zhàn)之外，團(tuán)隊(duì)還必須在新軟件和現(xiàn)有代碼中降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。迄今為止，大多數(shù)公司已表明他們沒(méi)有可靠的實(shí)踐。

想要從西門子，強(qiáng)生，美敦力，雷神和其他數(shù)百家先進(jìn)制造商那里獲得銷售線索?在波士頓BIOMEDevice，嵌入式系統(tǒng)會(huì)議和新英格蘭設(shè)計(jì)與制造部門與他們會(huì)面。近400家供應(yīng)商在展會(huì)上預(yù)訂了展位;現(xiàn)在預(yù)訂你的。

網(wǎng)絡(luò)安全領(lǐng)域仍處于初級(jí)階段。單獨(dú)的惡意行為者通過(guò)電子郵件和網(wǎng)站傳播的病毒始于90年代，但幾乎沒(méi)有經(jīng)濟(jì)利益。作為回應(yīng)，開(kāi)發(fā)并部署了防病毒軟件解決方案。在世紀(jì)之交之后，網(wǎng)絡(luò)攻擊開(kāi)始主要針對(duì)公司，將信用卡黑客和公司違規(guī)行為變成常規(guī)頭條新聞。這不僅暴露了TJX，Target，Home Depot和Staples等公司的系統(tǒng)漏洞，而且還揭示了大多數(shù)公司并未將網(wǎng)絡(luò)安全作為業(yè)務(wù)優(yōu)先事項(xiàng)。

然后，公司開(kāi)始推出新的安全計(jì)劃，以阻止攻擊，獎(jiǎng)勵(lì)黑客在其公司中獲得錯(cuò)誤獎(jiǎng)勵(lì)和職位。雖然這些新員工為團(tuán)隊(duì)帶來(lái)了技術(shù)專業(yè)知識(shí)，但黑客天生就喜歡自己出發(fā)并顛覆自己的系統(tǒng)。現(xiàn)在的挑戰(zhàn)是公司創(chuàng)建結(jié)構(gòu)化和可預(yù)測(cè)的安全工作流，以減輕非結(jié)構(gòu)化和不可預(yù)測(cè)的攻擊。

可擴(kuò)展的安全實(shí)踐和自動(dòng)化限制

團(tuán)隊(duì)為其開(kāi)發(fā)添加了一些安全結(jié)構(gòu)的一種方法是采用滲透測(cè)試，漏洞分析和監(jiān)控工具。在思科2018年度年度網(wǎng)絡(luò)安全報(bào)告中，39%接受采訪的首席信息安全官表示，他們的組織完全依賴自動(dòng)化。完全依賴機(jī)器學(xué)習(xí)和人工智能也很普遍，分別為34%和32%。

這應(yīng)該不足為奇，因?yàn)檎嬲枰焖贁U(kuò)展的組織無(wú)法通過(guò)單獨(dú)招聘來(lái)合理地做到這一點(diǎn)，特別是考慮到某些組織軟件的復(fù)雜性和廣度。自動(dòng)化確實(shí)并且應(yīng)該發(fā)揮關(guān)鍵作用。

但是，自動(dòng)化工具本身缺乏對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的背景感。評(píng)估風(fēng)險(xiǎn)是安全工作中最具挑戰(zhàn)性的方面之一，因?yàn)槊總€(gè)項(xiàng)目都可能存在漏洞。

開(kāi)放式Web應(yīng)用程序安全項(xiàng)目(OWASP)主張關(guān)注手動(dòng)安全代碼審查，稱“人類審閱者可以理解某些編碼實(shí)踐的背景，并進(jìn)行嚴(yán)重的風(fēng)險(xiǎn)評(píng)估，同時(shí)考慮攻擊的可能性和違規(guī)的業(yè)務(wù)影響。“將更多上下文擴(kuò)展到安全團(tuán)隊(duì)意味著將它們包含在軟件開(kāi)發(fā)生命周期的每個(gè)階段(SDLC)。

在SDLC上構(gòu)建安全審查質(zhì)量門

在SDLC中可以找到錯(cuò)誤和漏洞，可以更快地修復(fù)它們。這就是為什么這么多團(tuán)隊(duì)都希望將他們的測(cè)試轉(zhuǎn)移的原因。同樣的原則適用于安全性。OWASP概述了安全團(tuán)隊(duì)?wèi)?yīng)該如何參與審核：

通過(guò)所有這些接觸點(diǎn)，跨職能協(xié)作至關(guān)重要。對(duì)于具體的代碼審查，如果安全專業(yè)人員不熟悉應(yīng)用語(yǔ)言或框架，那么他們通?？梢杂行У赝耆斫獯a正在做什么。開(kāi)發(fā)和安全團(tuán)隊(duì)之間的有效溝通對(duì)于交叉授粉學(xué)科領(lǐng)域知識(shí)和最佳實(shí)踐至關(guān)重要。在SmartBear于2018年發(fā)布的一份報(bào)告中，73%的受訪者認(rèn)為“在團(tuán)隊(duì)中分享知識(shí)”是代碼審查的主要優(yōu)勢(shì)之一。

如果還沒(méi)有，團(tuán)隊(duì)?wèi)?yīng)該定期為會(huì)議設(shè)置節(jié)奏，以討論應(yīng)用程序架構(gòu)，相關(guān)服務(wù)以及關(guān)鍵輸入和輸出。團(tuán)隊(duì)確保所有這些審核都以文檔化和有組織的方式進(jìn)行，這可能具有挑戰(zhàn)性。對(duì)于通過(guò)手動(dòng)，電子郵件或電子表格跟蹤評(píng)論的團(tuán)隊(duì)來(lái)說(shuō)尤其如此。Collaborator等工具有助于對(duì)與項(xiàng)目相關(guān)的所有代碼和文檔進(jìn)行結(jié)構(gòu)化審核。團(tuán)隊(duì)可以自定義審批工作流程，并確保使用審核指標(biāo)和缺陷報(bào)告捕獲其流程。

美國(guó)政府問(wèn)責(zé)辦公室主任Cristina Chaplain反映了五角大樓最近的一份報(bào)告稱：“國(guó)防部測(cè)試人員經(jīng)常發(fā)現(xiàn)正在開(kāi)發(fā)的系統(tǒng)中的關(guān)鍵任務(wù)漏洞，在某些情況下，多年來(lái)反復(fù)出現(xiàn)的問(wèn)題往往會(huì)忽視其規(guī)模和嚴(yán)重程度。問(wèn)題。”

掃描工具可以識(shí)別關(guān)鍵漏洞，但如果沒(méi)有基于工具的審查結(jié)構(gòu)作為開(kāi)發(fā)質(zhì)量門，有形的最后期限壓力可以鼓勵(lì)團(tuán)隊(duì)繼續(xù)前進(jìn)而不解決問(wèn)題。

當(dāng)團(tuán)隊(duì)采用嵌入了安全實(shí)踐的結(jié)構(gòu)化審核流程時(shí)，知識(shí)共享成為項(xiàng)目文化的核心。鑒于各行各業(yè)對(duì)培訓(xùn)和技能發(fā)展的需求非常大，這一點(diǎn)尤為重要。

在前面提到的思科研究中，27%的受訪者表示“缺乏訓(xùn)練有素的人員”是安全方面的最大障礙，高于2015年的22%。這并不是說(shuō)公司不會(huì)招聘安全人員。該研究還發(fā)現(xiàn)，一個(gè)組織的安全專業(yè)人員中位數(shù)從2015年的25人增加到2017年的40人。公司需要加快招聘以滿足安全需求，并積極為這些專家創(chuàng)造機(jī)會(huì)，指導(dǎo)和培訓(xùn)初級(jí)團(tuán)隊(duì)成員。由于同行評(píng)審在整個(gè)SDLC中進(jìn)行，因此它們可以成為這種入職和知識(shí)轉(zhuǎn)移的有效結(jié)構(gòu)化工具。

MITER支持的Common Weakness Enumeration項(xiàng)目目前列出了800多種已知類型的軟件安全漏洞。隨著每種新的CWE類型的確定，安全實(shí)踐不足所帶來(lái)的潛在商業(yè)風(fēng)險(xiǎn)也會(huì)增加。

如果公司希望加快安全工作，則需要同時(shí)進(jìn)行上下文和可擴(kuò)展的方法。實(shí)際上，這意味著結(jié)構(gòu)化的工作流程優(yōu)先考慮跨功能審查和工具，可以大大擴(kuò)展安全測(cè)試覆蓋范圍，理想情況下利用AI或機(jī)器學(xué)習(xí)不斷改進(jìn)