您的位置:首页 >科教 >

为什么网络安全需求超过减缓努力

2019-03-28 11:24:45 来源:

为什么网络安全需求超过减缓努力

公司必须降低新软件及其现有代码中网络攻击的风险。然而,大多数公司没有可靠的实践。

1月28日,美国国防部发布了五角大楼战斗测试办公室发布的一份报告,宣布美国军方的网络安全能力“没有足够快地发展,无法保持领先于对手设想的'多重攻击'的攻击。”1月29日,有消息称Apple的Facetime软件中存在一个错误,允许用户在未经他人同意的情况下访问其他人的麦克风。这些组织在一周内领导各自的行业,已经证明了软件安全面临的巨大挑战。

2019年的软件团队正在构建更复杂的项目,拥有更多分布式团队,在更具竞争力的技术环境中。除了这个巨大的挑战之外,团队还必须在新软件和现有代码中降低网络攻击的风险。迄今为止,大多数公司已表明他们没有可靠的实践。

网络安全的非结构化遗产

赞助内容由Protolabs提供给您

深入了解金属3D打印

如何通过零件几何形状,表面光洁度,二次加工和其他考虑因素来优化您的设计

网络安全领域仍处于初级阶段。单独的恶意行为者通过电子邮件和网站传播的病毒始于90年代,但几乎没有经济利益。作为回应,开发并部署了防病毒软件解决方案。在世纪之交之后,网络攻击开始主要针对公司,将信用卡黑客和公司违规行为变成常规头条新闻。这不仅暴露了TJX,Target,Home Depot和Staples等公司的系统漏洞,而且还揭示了大多数公司并未将网络安全作为业务优先事项。

然后,公司开始推出新的安全计划,以阻止攻击,奖励黑客在他们的公司获得错误奖励和职位。虽然这些新员工为团队带来了技术专业知识,但黑客天生就喜欢自己出发并颠覆自己的系统。现在的挑战是公司创建结构化和可预测的安全工作流,以减轻非结构化和不可预测的攻击。

可扩展的安全实践和自动化限制

团队为其开发添加了一些安全结构的一种方法是采用渗透测试,漏洞分析和监控工具。在思科2018年度年度网络安全报告中,39%接受采访的首席信息安全官表示,他们的组织完全依赖自动化。完全依赖机器学习和人工智能也很普遍,分别为34%和32%。

这应该不足为奇,因为真正需要快速扩展的组织无法通过单独招聘来合理地做到这一点,特别是考虑到某些组织软件的复杂性和广度。自动化确实并且应该发挥关键作用。

但是,自动化工具本身缺乏对业务风险的背景感。评估风险是安全工作中最具挑战性的方面之一,因为每个项目都可能存在漏洞。

开放式Web应用程序安全项目(OWASP)主张关注手动安全代码审查,称“人类审阅者可以理解某些编码实践的背景,并进行严重的风险评估,同时考虑攻击的可能性和违规的业务影响。“将更多上下文扩展到安全团队意味着将它们包含在软件开发生命周期的每个阶段(SDLC)。

在SDLC上构建安全审查质量门

在SDLC中可以找到错误和漏洞,可以更快地修复它们。这就是为什么这么多团队都希望将他们的考试转移。同样的原则适用于安全性。OWASP概述了安全团队应该如何参与审核:

规划阶段的应用程序安全要求

设计阶段的安全架构

开发阶段的源代码,编码实践和测试计划

在测试阶段进行渗透测试

配置管理和安全部署

通过所有这些接触点,跨职能协作至关重要。对于具体的代码审查,如果安全专业人员不熟悉应用语言或框架,那么他们通常可以有效地完全理解代码正在做什么。开发和安全团队之间的有效沟通对于交叉授粉学科领域知识和最佳实践至关重要。在SmartBear于2018年发布的一份报告中,73%的受访者认为“在团队中分享知识”是代码审查的主要优势之一。

如果还没有,团队应该定期为会议设置节奏,以讨论应用程序架构,相关服务以及关键输入和输出。团队确保所有这些审核都以文档化和有组织的方式进行,这可能具有挑战性。对于通过手动,电子邮件或电子表格跟踪评论的团队来说尤其如此。Collaborator等工具有助于对与项目相关的所有代码和文档进行结构化审核。团队可以自定义审批工作流程,并确保使用审核指标和缺陷报告捕获其流程。

美国政府问责办公室主任Cristina Chaplain反映了五角大楼最近的一份报告称:“国防部测试人员经常发现正在开发的系统中的关键任务漏洞,在某些情况下,多年来反复出现的问题往往会忽视其规模和严重程度。问题。”

扫描工具可以识别关键漏洞,但如果没有基于工具的审查结构作为开发质量门,有形的最后期限压力可以鼓励团队继续前进而不解决问题。

当团队采用嵌入了安全实践的结构化审核流程时,知识共享成为项目文化的核心。鉴于各行各业对培训和技能发展的需求非常大,这一点尤为重要。

通过同行评审培养团队和培训

在前面提到的思科研究中,27%的受访者表示“缺乏训练有素的人员”是安全方面的最大障碍,高于2015年的22%。这并不是说公司不会招聘安全人员。该研究还发现,一个组织的安全专业人员中位数从2015年的25人增加到2017年的40人。公司需要加快招聘以满足安全需求,并积极为这些专家创造机会,指导和培训初级团队成员。由于同行评审在整个SDLC中进行,因此它们可以成为这种入职和知识转移的有效结构化工具。

MITER支持的Common Weakness Enumeration项目目前列出了800多种已知类型的软件安全漏洞。随着每种新的CWE类型的确定,安全实践不足所带来的潜在商业风险也会增加。

如果公司希望加快安全工作,则需要同时进行上下文和可扩展的方法。实际上,这意味着结构化的工作流程优先考虑跨功能审查和工具,可以大大扩展安全测试覆盖范围,理想情况下利用AI或机器学习不断改进。

热点新闻
06-01 您可以在接下来的四个月内每月投资主权黄金债券
您可以在接下来的四个月内每月投资主权黄金债券
在Akshaya Tritiya在Lok Sabha选举的热潮中失去了发行主权金债券(SGB)的机会,并且将直接征税目标错过了大约15%之后,政府似乎决心填补这
06-01 杜卡迪在印度扩大骑行体验
杜卡迪在印度扩大骑行体验
豪华摩托车品牌杜卡迪印度公司宣布其2019年下半年即将开展的DRE(杜卡迪骑行体验)课程。在印度DRE活动成功至今之后,杜卡迪已于7月推出DRE安
06-01 资金不足的FSSAI意味着对餐馆的税收监管
资金不足的FSSAI意味着对餐馆的税收监管
一个代表餐馆老板的贸易机构最近发布的一份报告称,食品安全和标准管理局在食品安全和标准管理局的许可证中,只有4 67万个用餐地点,包括餐
06-01 多伦多证券交易所上交易最活跃的公司
多伦多证券交易所上交易最活跃的公司
多伦多证券交易所(16,037 49,下跌51 75点)。Avalon Advanced Materials Inc (多伦多证券交易所代码:AVL)。材料。下跌1 5美分,或1 46%
06-01 Amgen贬值的不仅仅是更广阔的市场
Amgen贬值的不仅仅是更广阔的市场
Amgen(AMGN)最近一个交易日收于166 70美元,较前一交易日上涨了-1 38%。这一变化落后于标准普尔500指数每日下跌1 32%。其他方面,道琼斯指
06-01 星巴克股价变动0.14%
星巴克股价变动0.14%
在最近的交易时段,星巴克(SBUX)收于76 06美元,较上一交易日下跌-0 14%。此举比标准普尔500指数每日下跌1 32%窄。其他方面,道琼斯指数下
05-25 随着市场的增长IBM股票下跌
随着市场的增长IBM股票下跌
IBM(IBM)在最近的交易时段收于132 28美元,比前一天下跌了-0 08%。这一变化落后于标准普尔500指数每日涨幅0 16%。其他方面,道指上涨0 26%
05-25 GIII服装集团超越股市收益您应该知道什么
GIII服装集团超越股市收益您应该知道什么
G-III服装集团(GIII)最近一个交易日收于29 24美元,较前一交易日上涨1%。该股票超过标准普尔500指数的每日涨幅0 16%。与此同时,道指上涨0