信息化觀察網(wǎng)

研究人員預測，在新的一年中，軟件安全性仍將努力跟上云計算和物聯(lián)網(wǎng)的發(fā)展步伐。

IT安全專業(yè)人員在2020年花費大量時間和精力管理從辦公室到在家遠程工作的轉(zhuǎn)變。研究人員預測越來越多的組織在2021年更加專注采用云計算技術，并在新常態(tài)下重新設想工作流程。在這種環(huán)境下，軟件安全性將是至關重要的。

Checkmarx公司研究人員表示，該公司日前發(fā)布了2021年軟件安全性預測報告。它為軟件開發(fā)團隊構想了一個新時代，其中包括關注更好的應用程序安全工具，可以將內(nèi)部部署安全工具擴展到云平臺，并更好地保護物聯(lián)網(wǎng)(IoT)設備。

1.適應云計算環(huán)境

Checkmarx公司為軟件開發(fā)團隊提供建議，他們需要跟上未來云計算應用程序的開發(fā)步伐。

Checkmarx公司首席技術官Maty Siman在報告中說：“由于無法推送代碼，然后回滾以修復漏洞，因為它為惡意行為者提供了滲透到其系統(tǒng)的機會。到2021年，集成到工具鏈中的應用程序安全工具必須更快速地工作，擴展到云計算環(huán)境，并以開發(fā)人員可以理解和使用的格式提供可操作的結果，以便快速修復。”

云計算應用程序和運營環(huán)境正越來越受到網(wǎng)絡攻擊者的關注。例如，美國國家安全局日前發(fā)布警告稱，一些網(wǎng)絡攻擊者已經(jīng)開發(fā)出利用本地網(wǎng)絡訪問漏洞危害云計算服務的技術。

該建議指出：“網(wǎng)絡攻擊者正在濫用聯(lián)合身份驗證環(huán)境中的信任，以訪問受保護的數(shù)據(jù)。這些攻擊行為是在網(wǎng)絡攻擊者初步侵入受害者的本地網(wǎng)絡之后進行的。網(wǎng)絡攻擊者利用本地環(huán)境中的特權訪問來破壞組織用來授予對云計算和內(nèi)部部署資源的訪問權限，或使用管理云計算資源的能力來破壞管理員憑據(jù)的機制。”

2.開源漏洞

Siman表示，開源將會繼續(xù)獲得網(wǎng)絡攻擊者的關注。

Siman說：“組織經(jīng)常發(fā)現(xiàn)惡意的開源軟件包，并且致力于保護正在使用的開源組件，而現(xiàn)有的解決方案可以幫助他們刪除錯誤脆弱的軟件包(開發(fā)人員在軟件包中意外地產(chǎn)生漏洞)。但是他們?nèi)匀豢床坏骄W(wǎng)絡攻擊者將受惡意代碼推送到程序包中的情況。這種情況需要在2021年改變。”

他警告說，組織需要采用技術更成熟的開源組件。

3.基礎設施即代碼

Siman表示，開發(fā)人員一直在使用新的基礎設施即代碼(IaC)環(huán)境來構建應用程序，這在安全性方面留下了重大漏洞。展望未來，這將推動基礎設施即代碼(IaC)安全方面的額外培訓。

他說，“我看到網(wǎng)絡攻擊者在這些靈活的環(huán)境中利用開發(fā)人員的失誤。為了解決這個問題，我們將精力集中在云安全培訓，基礎設施即代碼(IaC)的最佳實踐以及為支持遠程員工和更復雜的軟件生態(tài)系統(tǒng)的需求，將在軟件和應用程序安全上產(chǎn)生額外的支出。”

4.安全部門將與開發(fā)部門合作

Sima解釋說，為了在軟件開發(fā)過程中提高安全性，安全團隊必須在開發(fā)團隊中調(diào)整自己的發(fā)展方向以增強協(xié)作。

他說：“開發(fā)人員有時固執(zhí)己見，并且越來越有影響力，因此不能強迫他們做不愿意做的事情。為了促進安全部門與開發(fā)部門之間的協(xié)作，2021年的安全趨勢將需要以適合他們的方式集成到開發(fā)工具鏈中。”

5.整體安全觀

Siman表示，組織的團隊將越來越需要對組織的安全態(tài)勢有一個全面的了解，從而推動對提供完整生態(tài)系統(tǒng)視圖的工具的需求。

特別是在開源安全方面，更全面的視圖將使組織不僅可以知道他們是否正在使用易受攻擊的軟件包，而且更重要的是，應用程序使用包的方式是否使攻擊或漏洞成為可能。

6.云原生安全

該報告的合著者、Checkmarx公司安全研究主管Erez Yalon表示，云原生安全性目前尚未得到充分利用，并在安全社區(qū)中尚未得到充分理解，但是2021年將會推動優(yōu)先鎖定云計算環(huán)境。

Yalon在報告中寫道：“如果說2020年是API的元年，那么2021年將是云原生安全性搶占先機的一年。API在云原生安全性中扮演著重要角色，但重點將轉(zhuǎn)向基于云計算的技術如何繼續(xù)擴散并在組織中廣泛采用。確?；ミB的基于云計算的解決方案產(chǎn)生的生態(tài)系統(tǒng)將成為當務之急。”

7.脆弱的API

Yalon做出了另一個預測，那就是不安全的API將最容易受到網(wǎng)絡攻擊者的破壞。

他說，“隨著網(wǎng)絡攻擊者繼續(xù)加大針對API的攻擊，并且很多組織也逐漸了解如何利用這些程序，網(wǎng)絡攻擊者將在短期內(nèi)利用這一空白，迫使開發(fā)人員迅速找出更好地保護API身份驗證和授權過程的方法。”

8.原有設備易受攻擊

Yalon補充說，組織的物聯(lián)網(wǎng)設備通常在后臺運行時會被遺忘，但它們?nèi)詫⒃?021年成為網(wǎng)絡攻擊者的主要目標。

Yalon說：“隨著這些使用多年的設備和工具日益陳舊，許多制造商已經(jīng)停止支持軟件更新和補丁，因為它們優(yōu)先考慮新模型，從而使原有模型成為尋找輕松訪問點的網(wǎng)絡攻擊者的主要目標。隨著時間的推移，這些現(xiàn)在已經(jīng)過時的產(chǎn)品中的漏洞將被發(fā)現(xiàn)和利用。”

盡管已提供了修復程序，但Armis公司發(fā)布的調(diào)查報告表明，工業(yè)、工廠和醫(yī)療設備仍未打補丁以防御URGENT/11和CDPwn惡意軟件。研究人員發(fā)現(xiàn)，97%未修補的運營技術(OT)設備受到URGENT/11影響。

9.物聯(lián)網(wǎng)安全進展緩慢

Yalon表示，美國上個月發(fā)布的最新《物聯(lián)網(wǎng)網(wǎng)絡安全改進法》是朝向正確的方向邁出的一步，但仍有許多工作要做。

美國政府立法要求物聯(lián)網(wǎng)設備滿足最低標準安全要求。但是Yalon補充說，如果沒有面臨消費者的巨大壓力就無法取得真正的進步。

他說：“直到消費者對政府和制造商施加壓力，以改善物聯(lián)網(wǎng)設備的安全性，或者制造商非常重視物聯(lián)網(wǎng)安全性，這將繼續(xù)引起人們的關注。”