研究人員預(yù)測(cè)，在新的一年中，軟件安全性仍將努力跟上云計(jì)算和物聯(lián)網(wǎng)的發(fā)展步伐。

　　IT安全專業(yè)人員在2020年花費(fèi)大量時(shí)間和精力管理從辦公室到在家遠(yuǎn)程工作的轉(zhuǎn)變。研究人員預(yù)測(cè)越來(lái)越多的組織在2021年更加專注采用云計(jì)算技術(shù)，并在新常態(tài)下重新設(shè)想工作流程。在這種環(huán)境下，軟件安全性將是至關(guān)重要的。

　　Checkmarx公司研究人員表示，該公司日前發(fā)布了2021年軟件安全性預(yù)測(cè)報(bào)告。它為軟件開(kāi)發(fā)團(tuán)隊(duì)構(gòu)想了一個(gè)新時(shí)代，其中包括關(guān)注更好的應(yīng)用程序安全工具，可以將內(nèi)部部署安全工具擴(kuò)展到云平臺(tái)，并更好地保護(hù)物聯(lián)網(wǎng)(IoT)設(shè)備。

1. 適應(yīng)云計(jì)算環(huán)境

　　Checkmarx公司為軟件開(kāi)發(fā)團(tuán)隊(duì)提供建議，他們需要跟上未來(lái)云計(jì)算應(yīng)用程序的開(kāi)發(fā)步伐。

　　Checkmarx公司首席技術(shù)官M(fèi)aty Siman在報(bào)告中說(shuō)：“由于無(wú)法推送代碼，然后回滾以修復(fù)漏洞，因?yàn)樗鼮閻阂庑袨檎咛峁┝藵B透到其系統(tǒng)的機(jī)會(huì)。到2021年，集成到工具鏈中的應(yīng)用程序安全工具必須更快速地工作，擴(kuò)展到云計(jì)算環(huán)境，并以開(kāi)發(fā)人員可以理解和使用的格式提供可操作的結(jié)果，以便快速修復(fù)?！?/p>

　　云計(jì)算應(yīng)用程序和運(yùn)營(yíng)環(huán)境正越來(lái)越受到網(wǎng)絡(luò)攻擊者的關(guān)注。例如，美國(guó)國(guó)家安全局日前發(fā)布警告稱，一些網(wǎng)絡(luò)攻擊者已經(jīng)開(kāi)發(fā)出利用本地網(wǎng)絡(luò)訪問(wèn)漏洞危害云計(jì)算服務(wù)的技術(shù)。

　　該建議指出：“網(wǎng)絡(luò)攻擊者正在濫用聯(lián)合身份驗(yàn)證環(huán)境中的信任，以訪問(wèn)受保護(hù)的數(shù)據(jù)。這些攻擊行為是在網(wǎng)絡(luò)攻擊者初步侵入受害者的本地網(wǎng)絡(luò)之后進(jìn)行的。網(wǎng)絡(luò)攻擊者利用本地環(huán)境中的特權(quán)訪問(wèn)來(lái)破壞組織用來(lái)授予對(duì)云計(jì)算和內(nèi)部部署資源的訪問(wèn)權(quán)限，或使用管理云計(jì)算資源的能力來(lái)破壞管理員憑據(jù)的機(jī)制。”

2. 開(kāi)源漏洞

　　Siman表示，開(kāi)源將會(huì)繼續(xù)獲得網(wǎng)絡(luò)攻擊者的關(guān)注。

　　Siman說(shuō)：“組織經(jīng)常發(fā)現(xiàn)惡意的開(kāi)源軟件包，并且致力于保護(hù)正在使用的開(kāi)源組件，而現(xiàn)有的解決方案可以幫助他們刪除錯(cuò)誤脆弱的軟件包(開(kāi)發(fā)人員在軟件包中意外地產(chǎn)生漏洞)。但是他們?nèi)匀豢床坏骄W(wǎng)絡(luò)攻擊者將受惡意代碼推送到程序包中的情況。這種情況需要在2021年改變?！?/p>

　　他警告說(shuō)，組織需要采用技術(shù)更成熟的開(kāi)源組件。

3. 基礎(chǔ)設(shè)施即代碼

　　Siman表示，開(kāi)發(fā)人員一直在使用新的基礎(chǔ)設(shè)施即代碼(IaC)環(huán)境來(lái)構(gòu)建應(yīng)用程序，這在安全性方面留下了重大漏洞。展望未來(lái)，這將推動(dòng)基礎(chǔ)設(shè)施即代碼(IaC)安全方面的額外培訓(xùn)。

　　他說(shuō)，“我看到網(wǎng)絡(luò)攻擊者在這些靈活的環(huán)境中利用開(kāi)發(fā)人員的失誤。為了解決這個(gè)問(wèn)題，我們將精力集中在云安全培訓(xùn)，基礎(chǔ)設(shè)施即代碼(IaC)的最佳實(shí)踐以及為支持遠(yuǎn)程員工和更復(fù)雜的軟件生態(tài)系統(tǒng)的需求，將在軟件和應(yīng)用程序安全上產(chǎn)生額外的支出?！?/p>

4. 安全部門將與開(kāi)發(fā)部門合作

　　Sima解釋說(shuō)，為了在軟件開(kāi)發(fā)過(guò)程中提高安全性，安全團(tuán)隊(duì)必須在開(kāi)發(fā)團(tuán)隊(duì)中調(diào)整自己的發(fā)展方向以增強(qiáng)協(xié)作。

　　他說(shuō)：“開(kāi)發(fā)人員有時(shí)固執(zhí)己見(jiàn)，并且越來(lái)越有影響力，因此不能強(qiáng)迫他們做不愿意做的事情。為了促進(jìn)安全部門與開(kāi)發(fā)部門之間的協(xié)作，2021年的安全趨勢(shì)將需要以適合他們的方式集成到開(kāi)發(fā)工具鏈中?！?/p>

5. 整體安全觀

　　Siman表示，組織的團(tuán)隊(duì)將越來(lái)越需要對(duì)組織的安全態(tài)勢(shì)有一個(gè)全面的了解，從而推動(dòng)對(duì)提供完整生態(tài)系統(tǒng)視圖的工具的需求。

　　特別是在開(kāi)源安全方面，更全面的視圖將使組織不僅可以知道他們是否正在使用易受攻擊的軟件包，而且更重要的是，應(yīng)用程序使用包的方式是否使攻擊或漏洞成為可能。

6. 云原生安全

　　該報(bào)告的合著者、Checkmarx公司安全研究主管Erez Yalon表示，云原生安全性目前尚未得到充分利用，并在安全社區(qū)中尚未得到充分理解，但是2021年將會(huì)推動(dòng)優(yōu)先鎖定云計(jì)算環(huán)境。

　　Yalon在報(bào)告中寫道：“如果說(shuō)2020年是API的元年，那么2021年將是云原生安全性搶占先機(jī)的一年。API在云原生安全性中扮演著重要角色，但重點(diǎn)將轉(zhuǎn)向基于云計(jì)算的技術(shù)如何繼續(xù)擴(kuò)散并在組織中廣泛采用。確?；ミB的基于云計(jì)算的解決方案產(chǎn)生的生態(tài)系統(tǒng)將成為當(dāng)務(wù)之急?！?/p>

7. 脆弱的API

　　Yalon做出了另一個(gè)預(yù)測(cè)，那就是不安全的API將最容易受到網(wǎng)絡(luò)攻擊者的破壞。

　　他說(shuō)，“隨著網(wǎng)絡(luò)攻擊者繼續(xù)加大針對(duì)API的攻擊，并且很多組織也逐漸了解如何利用這些程序，網(wǎng)絡(luò)攻擊者將在短期內(nèi)利用這一空白，迫使開(kāi)發(fā)人員迅速找出更好地保護(hù)API身份驗(yàn)證和授權(quán)過(guò)程的方法?！?/p>

8. 原有設(shè)備易受攻擊

　　Yalon補(bǔ)充說(shuō)，組織的物聯(lián)網(wǎng)設(shè)備通常在后臺(tái)運(yùn)行時(shí)會(huì)被遺忘，但它們?nèi)詫⒃?021年成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。

　　Yalon說(shuō)：“隨著這些使用多年的設(shè)備和工具日益陳舊，許多制造商已經(jīng)停止支持軟件更新和補(bǔ)丁，因?yàn)樗鼈儍?yōu)先考慮新模型，從而使原有模型成為尋找輕松訪問(wèn)點(diǎn)的網(wǎng)絡(luò)攻擊者的主要目標(biāo)。隨著時(shí)間的推移，這些現(xiàn)在已經(jīng)過(guò)時(shí)的產(chǎn)品中的漏洞將被發(fā)現(xiàn)和利用。”

　　盡管已提供了修復(fù)程序，但Armis公司發(fā)布的調(diào)查報(bào)告表明，工業(yè)、工廠和醫(yī)療設(shè)備仍未打補(bǔ)丁以防御URGENT/11和CDPwn惡意軟件。研究人員發(fā)現(xiàn)， 97%未修補(bǔ)的運(yùn)營(yíng)技術(shù)(OT)設(shè)備受到URGENT/11影響。

9. 物聯(lián)網(wǎng)安全進(jìn)展緩慢

　　Yalon表示，美國(guó)上個(gè)月發(fā)布的最新《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》是朝向正確的方向邁出的一步，但仍有許多工作要做。

　　美國(guó)政府立法要求物聯(lián)網(wǎng)設(shè)備滿足最低標(biāo)準(zhǔn)安全要求。但是Yalon補(bǔ)充說(shuō)，如果沒(méi)有面臨消費(fèi)者的巨大壓力就無(wú)法取得真正的進(jìn)步。

　　他說(shuō)：“直到消費(fèi)者對(duì)政府和制造商施加壓力，以改善物聯(lián)網(wǎng)設(shè)備的安全性，或者制造商非常重視物聯(lián)網(wǎng)安全性，這將繼續(xù)引起人們的關(guān)注。”

　　版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開(kāi)頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

　　來(lái)源：企業(yè)網(wǎng)D1Net