為什么網(wǎng)絡(luò)安全需求超過減緩努力

公司必須降低新軟件及其現(xiàn)有代碼中網(wǎng)絡(luò)攻擊的風險。然而，大多數(shù)公司沒有可靠的實踐。1月28日，美國國防部發(fā)布了五角大樓戰(zhàn)斗測試辦公室發(fā)布的一份報告，宣布美國軍方的網(wǎng)絡(luò)安全能力“沒有快速發(fā)展，無法保持領(lǐng)先于對手設(shè)想的'多重攻擊'的攻擊。”1月29日，有消息稱Apple的Facetime軟件中存在一個錯誤，允許用戶在未經(jīng)他人同意的情況下訪問其他人的麥克風。這些組織在一周內(nèi)領(lǐng)導各自的行業(yè)，已經(jīng)證明了軟件安全面臨的巨大挑戰(zhàn)。

2019年的軟件團隊正在構(gòu)建更復雜的項目，擁有更多分布式團隊，在更具競爭力的技術(shù)環(huán)境中。除了這個巨大的挑戰(zhàn)之外，團隊還必須在新軟件和現(xiàn)有代碼中降低網(wǎng)絡(luò)攻擊的風險。迄今為止，大多數(shù)公司已表明他們沒有可靠的實踐。

想要從西門子，強生，美敦力，雷神和其他數(shù)百家先進制造商那里獲得銷售線索?在波士頓BIOMEDevice，嵌入式系統(tǒng)會議和新英格蘭設(shè)計與制造部門與他們會面。近400家供應(yīng)商在展會上預(yù)訂了展位;現(xiàn)在預(yù)訂你的。

網(wǎng)絡(luò)安全領(lǐng)域仍處于初級階段。單獨的惡意行為者通過電子郵件和網(wǎng)站傳播的病毒始于90年代，但幾乎沒有經(jīng)濟利益。作為回應(yīng)，開發(fā)并部署了防病毒軟件解決方案。在世紀之交之后，網(wǎng)絡(luò)攻擊開始主要針對公司，將信用卡黑客和公司違規(guī)行為變成常規(guī)頭條新聞。這不僅暴露了TJX，Target，Home Depot和Staples等公司的系統(tǒng)漏洞，而且還揭示了大多數(shù)公司并未將網(wǎng)絡(luò)安全作為業(yè)務(wù)優(yōu)先事項。

然后，公司開始推出新的安全計劃，以阻止攻擊，獎勵黑客在其公司中獲得錯誤獎勵和職位。雖然這些新員工為團隊帶來了技術(shù)專業(yè)知識，但黑客天生就喜歡自己出發(fā)并顛覆自己的系統(tǒng)?，F(xiàn)在的挑戰(zhàn)是公司創(chuàng)建結(jié)構(gòu)化和可預(yù)測的安全工作流，以減輕非結(jié)構(gòu)化和不可預(yù)測的攻擊。

可擴展的安全實踐和自動化限制

團隊為其開發(fā)添加了一些安全結(jié)構(gòu)的一種方法是采用滲透測試，漏洞分析和監(jiān)控工具。在思科2018年度年度網(wǎng)絡(luò)安全報告中，39%接受采訪的首席信息安全官表示，他們的組織完全依賴自動化。完全依賴機器學習和人工智能也很普遍，分別為34%和32%。

這應(yīng)該不足為奇，因為真正需要快速擴展的組織無法通過單獨招聘來合理地做到這一點，特別是考慮到某些組織軟件的復雜性和廣度。自動化確實并且應(yīng)該發(fā)揮關(guān)鍵作用。

但是，自動化工具本身缺乏對業(yè)務(wù)風險的背景感。評估風險是安全工作中最具挑戰(zhàn)性的方面之一，因為每個項目都可能存在漏洞。

開放式Web應(yīng)用程序安全項目(OWASP)主張關(guān)注手動安全代碼審查，稱“人類審閱者可以理解某些編碼實踐的背景，并進行嚴重的風險評估，同時考慮攻擊的可能性和違規(guī)的業(yè)務(wù)影響。“將更多上下文擴展到安全團隊意味著將它們包含在軟件開發(fā)生命周期的每個階段(SDLC)。

在SDLC上構(gòu)建安全審查質(zhì)量門

在SDLC中可以找到錯誤和漏洞，可以更快地修復它們。這就是為什么這么多團隊都希望將他們的測試轉(zhuǎn)移的原因。同樣的原則適用于安全性。OWASP概述了安全團隊應(yīng)該如何參與審核：

通過所有這些接觸點，跨職能協(xié)作至關(guān)重要。對于具體的代碼審查，如果安全專業(yè)人員不熟悉應(yīng)用語言或框架，那么他們通?？梢杂行У赝耆斫獯a正在做什么。開發(fā)和安全團隊之間的有效溝通對于交叉授粉學科領(lǐng)域知識和最佳實踐至關(guān)重要。在SmartBear于2018年發(fā)布的一份報告中，73%的受訪者認為“在團隊中分享知識”是代碼審查的主要優(yōu)勢之一。

如果還沒有，團隊應(yīng)該定期為會議設(shè)置節(jié)奏，以討論應(yīng)用程序架構(gòu)，相關(guān)服務(wù)以及關(guān)鍵輸入和輸出。團隊確保所有這些審核都以文檔化和有組織的方式進行，這可能具有挑戰(zhàn)性。對于通過手動，電子郵件或電子表格跟蹤評論的團隊來說尤其如此。Collaborator等工具有助于對與項目相關(guān)的所有代碼和文檔進行結(jié)構(gòu)化審核。團隊可以自定義審批工作流程，并確保使用審核指標和缺陷報告捕獲其流程。

美國政府問責辦公室主任Cristina Chaplain反映了五角大樓最近的一份報告稱：“國防部測試人員經(jīng)常發(fā)現(xiàn)正在開發(fā)的系統(tǒng)中的關(guān)鍵任務(wù)漏洞，在某些情況下，多年來反復出現(xiàn)的問題往往會忽視其規(guī)模和嚴重程度。問題。”

掃描工具可以識別關(guān)鍵漏洞，但如果沒有基于工具的審查結(jié)構(gòu)作為開發(fā)質(zhì)量門，有形的最后期限壓力可以鼓勵團隊繼續(xù)前進而不解決問題。

當團隊采用嵌入了安全實踐的結(jié)構(gòu)化審核流程時，知識共享成為項目文化的核心。鑒于各行各業(yè)對培訓和技能發(fā)展的需求非常大，這一點尤為重要。

在前面提到的思科研究中，27%的受訪者表示“缺乏訓練有素的人員”是安全方面的最大障礙，高于2015年的22%。這并不是說公司不會招聘安全人員。該研究還發(fā)現(xiàn)，一個組織的安全專業(yè)人員中位數(shù)從2015年的25人增加到2017年的40人。公司需要加快招聘以滿足安全需求，并積極為這些專家創(chuàng)造機會，指導和培訓初級團隊成員。由于同行評審在整個SDLC中進行，因此它們可以成為這種入職和知識轉(zhuǎn)移的有效結(jié)構(gòu)化工具。

MITER支持的Common Weakness Enumeration項目目前列出了800多種已知類型的軟件安全漏洞。隨著每種新的CWE類型的確定，安全實踐不足所帶來的潛在商業(yè)風險也會增加。

如果公司希望加快安全工作，則需要同時進行上下文和可擴展的方法。實際上，這意味著結(jié)構(gòu)化的工作流程優(yōu)先考慮跨功能審查和工具，可以大大擴展安全測試覆蓋范圍，理想情況下利用AI或機器學習不斷改進