您的位置:首页 >科教 >

为什么网络安全需求超过减缓努力

2019-03-28 11:24:45 来源:

为什么网络安全需求超过减缓努力

公司必须降低新软件及其现有代码中网络攻击的风险。然而,大多数公司没有可靠的实践。

1月28日,美国国防部发布了五角大楼战斗测试办公室发布的一份报告,宣布美国军方的网络安全能力“没有足够快地发展,无法保持领先于对手设想的'多重攻击'的攻击。”1月29日,有消息称Apple的Facetime软件中存在一个错误,允许用户在未经他人同意的情况下访问其他人的麦克风。这些组织在一周内领导各自的行业,已经证明了软件安全面临的巨大挑战。

2019年的软件团队正在构建更复杂的项目,拥有更多分布式团队,在更具竞争力的技术环境中。除了这个巨大的挑战之外,团队还必须在新软件和现有代码中降低网络攻击的风险。迄今为止,大多数公司已表明他们没有可靠的实践。

网络安全的非结构化遗产

赞助内容由Protolabs提供给您

深入了解金属3D打印

如何通过零件几何形状,表面光洁度,二次加工和其他考虑因素来优化您的设计

网络安全领域仍处于初级阶段。单独的恶意行为者通过电子邮件和网站传播的病毒始于90年代,但几乎没有经济利益。作为回应,开发并部署了防病毒软件解决方案。在世纪之交之后,网络攻击开始主要针对公司,将信用卡黑客和公司违规行为变成常规头条新闻。这不仅暴露了TJX,Target,Home Depot和Staples等公司的系统漏洞,而且还揭示了大多数公司并未将网络安全作为业务优先事项。

然后,公司开始推出新的安全计划,以阻止攻击,奖励黑客在他们的公司获得错误奖励和职位。虽然这些新员工为团队带来了技术专业知识,但黑客天生就喜欢自己出发并颠覆自己的系统。现在的挑战是公司创建结构化和可预测的安全工作流,以减轻非结构化和不可预测的攻击。

可扩展的安全实践和自动化限制

团队为其开发添加了一些安全结构的一种方法是采用渗透测试,漏洞分析和监控工具。在思科2018年度年度网络安全报告中,39%接受采访的首席信息安全官表示,他们的组织完全依赖自动化。完全依赖机器学习和人工智能也很普遍,分别为34%和32%。

这应该不足为奇,因为真正需要快速扩展的组织无法通过单独招聘来合理地做到这一点,特别是考虑到某些组织软件的复杂性和广度。自动化确实并且应该发挥关键作用。

但是,自动化工具本身缺乏对业务风险的背景感。评估风险是安全工作中最具挑战性的方面之一,因为每个项目都可能存在漏洞。

开放式Web应用程序安全项目(OWASP)主张关注手动安全代码审查,称“人类审阅者可以理解某些编码实践的背景,并进行严重的风险评估,同时考虑攻击的可能性和违规的业务影响。“将更多上下文扩展到安全团队意味着将它们包含在软件开发生命周期的每个阶段(SDLC)。

在SDLC上构建安全审查质量门

在SDLC中可以找到错误和漏洞,可以更快地修复它们。这就是为什么这么多团队都希望将他们的考试转移。同样的原则适用于安全性。OWASP概述了安全团队应该如何参与审核:

规划阶段的应用程序安全要求

设计阶段的安全架构

开发阶段的源代码,编码实践和测试计划

在测试阶段进行渗透测试

配置管理和安全部署

通过所有这些接触点,跨职能协作至关重要。对于具体的代码审查,如果安全专业人员不熟悉应用语言或框架,那么他们通常可以有效地完全理解代码正在做什么。开发和安全团队之间的有效沟通对于交叉授粉学科领域知识和最佳实践至关重要。在SmartBear于2018年发布的一份报告中,73%的受访者认为“在团队中分享知识”是代码审查的主要优势之一。

如果还没有,团队应该定期为会议设置节奏,以讨论应用程序架构,相关服务以及关键输入和输出。团队确保所有这些审核都以文档化和有组织的方式进行,这可能具有挑战性。对于通过手动,电子邮件或电子表格跟踪评论的团队来说尤其如此。Collaborator等工具有助于对与项目相关的所有代码和文档进行结构化审核。团队可以自定义审批工作流程,并确保使用审核指标和缺陷报告捕获其流程。

美国政府问责办公室主任Cristina Chaplain反映了五角大楼最近的一份报告称:“国防部测试人员经常发现正在开发的系统中的关键任务漏洞,在某些情况下,多年来反复出现的问题往往会忽视其规模和严重程度。问题。”

扫描工具可以识别关键漏洞,但如果没有基于工具的审查结构作为开发质量门,有形的最后期限压力可以鼓励团队继续前进而不解决问题。

当团队采用嵌入了安全实践的结构化审核流程时,知识共享成为项目文化的核心。鉴于各行各业对培训和技能发展的需求非常大,这一点尤为重要。

通过同行评审培养团队和培训

在前面提到的思科研究中,27%的受访者表示“缺乏训练有素的人员”是安全方面的最大障碍,高于2015年的22%。这并不是说公司不会招聘安全人员。该研究还发现,一个组织的安全专业人员中位数从2015年的25人增加到2017年的40人。公司需要加快招聘以满足安全需求,并积极为这些专家创造机会,指导和培训初级团队成员。由于同行评审在整个SDLC中进行,因此它们可以成为这种入职和知识转移的有效结构化工具。

MITER支持的Common Weakness Enumeration项目目前列出了800多种已知类型的软件安全漏洞。随着每种新的CWE类型的确定,安全实践不足所带来的潜在商业风险也会增加。

如果公司希望加快安全工作,则需要同时进行上下文和可扩展的方法。实际上,这意味着结构化的工作流程优先考虑跨功能审查和工具,可以大大扩展安全测试覆盖范围,理想情况下利用AI或机器学习不断改进。

热点新闻
03-28 为什么网络安全需求超过减缓努力
为什么网络安全需求超过减缓努力
为什么网络安全需求超过减缓努力公司必须降低新软件及其现有代码中网络攻击的风险。然而,大多数公司没有可靠的实践。1月28日,美国国防部
03-28 物联网是开发人员的首选技术
物联网是开发人员的首选技术
物联网是开发人员的首选技术在所有新兴技术中,产品开发人员将物联网视为最重要的,尽管安全性仍然是一项挑战。根据安富利对开发人员的调查
03-28 弹性银纳米线是下一代柔性器件的关键
弹性银纳米线是下一代柔性器件的关键
弹性银纳米线是下一代柔性器件的关键纳米级银的新用途可能是开发可伸缩电子产品的关键,如智能手机,平板电脑和其他电子设备。纳米级银的新
03-28 纤维素的生物材料比钢和蜘蛛丝更强
纤维素的生物材料比钢和蜘蛛丝更强
基于纤维素的生物材料比钢和蜘蛛丝更强这些可生物降解的纤维素纳米纤维可以为飞机,汽车,家具和其他产品中的塑料提供环保替代品。研究人员
03-28 麻省理工学院的研究人员观察到蜘蛛丝的新反应使其非常适合机器人肌肉和执行器的开发
麻省理工学院的研究人员观察到蜘蛛丝的新反应使其非常适合机器人肌肉和执行器的开发
用于机器人肌肉驱动的蜘蛛丝麻省理工学院的研究人员观察到蜘蛛丝的新反应,使其非常适合机器人肌肉和执行器的开发。蜘蛛丝已被公认为人类已
03-28 您必须了解Google的AIY套件的5个事实
您必须了解Google的AIY套件的5个事实
您必须了解Google的AIY套件的5个事实谷歌的人工智能自己(AIY)工具包可以很好地介绍人工智能和机器学习概念。以下是您应该了解的五个主要功
03-28 由于中国垄断电动汽车和国家安全所需的关键材料可能无法打破麻烦可能正在酝酿之中
由于中国垄断电动汽车和国家安全所需的关键材料可能无法打破麻烦可能正在酝酿之中
稀土元素的增长影响由于中国垄断电动汽车和国家安全所需的关键材料可能无法打破,麻烦可能正在酝酿之中。随着电动汽车(EV)开始大量进入市场
03-28 起亚Soul EV去年是美国销量第十大的EV
起亚Soul EV去年是美国销量第十大的EV
起亚Soul EV去年是美国销量第十大的EV,最高达1,134辆。从本质上讲,它是起亚于2014年在美国上市时的一款学习车,售价仅为93英里。去年,