IT安全专业人员在2020年花费大量时间和精力管理从办公室到在家远程工作的转变。研究人员预测越来越多的组织在2021年更加专注采用云计算技术,并在新常态下重新设想工作流程。在这种环境下,软件安全性将是至关重要的。
Checkmarx公司研究人员表示,该公司日前发布了2021年软件安全性预测报告。它为软件开发团队构想了一个新时代,其中包括关注更好的应用程序安全工具,可以将内部部署安全工具扩展到云平台,并更好地保护物联网(IoT)设备。
1. 适应云计算环境
Checkmarx公司为软件开发团队提供建议,他们需要跟上未来云计算应用程序的开发步伐。
Checkmarx公司首席技术官Maty Siman在报告中说:“由于无法推送代码,然后回滚以修复漏洞,因为它为恶意行为者提供了渗透到其系统的机会。到2021年,集成到工具链中的应用程序安全工具必须更快速地工作,扩展到云计算环境,并以开发人员可以理解和使用的格式提供可操作的结果,以便快速修复。”
云计算应用程序和运营环境正越来越受到网络攻击者的关注。例如,美国国家安全局日前发布警告称,一些网络攻击者已经开发出利用本地网络访问漏洞危害云计算服务的技术。
该建议指出:“网络攻击者正在滥用联合身份验证环境中的信任,以访问受保护的数据。这些攻击行为是在网络攻击者初步侵入受害者的本地网络之后进行的。网络攻击者利用本地环境中的特权访问来破坏组织用来授予对云计算和内部部署资源的访问权限,或使用管理云计算资源的能力来破坏管理员凭据的机制。”
2. 开源漏洞
Siman表示,开源将会继续获得网络攻击者的关注。
Siman说:“组织经常发现恶意的开源软件包,并且致力于保护正在使用的开源组件,而现有的解决方案可以帮助他们删除错误脆弱的软件包(开发人员在软件包中意外地产生漏洞)。但是他们仍然看不到网络攻击者将受恶意代码推送到程序包中的情况。这种情况需要在2021年改变。”
他警告说,组织需要采用技术更成熟的开源组件。
3. 基础设施即代码
Siman表示,开发人员一直在使用新的基础设施即代码(IaC)环境来构建应用程序,这在安全性方面留下了重大漏洞。展望未来,这将推动基础设施即代码(IaC)安全方面的额外培训。
他说,“我看到网络攻击者在这些灵活的环境中利用开发人员的失误。为了解决这个问题,我们将精力集中在云安全培训,基础设施即代码(IaC)的最佳实践以及为支持远程员工和更复杂的软件生态系统的需求,将在软件和应用程序安全上产生额外的支出。”
4. 安全部门将与开发部门合作
Sima解释说,为了在软件开发过程中提高安全性,安全团队必须在开发团队中调整自己的发展方向以增强协作。
他说:“开发人员有时固执己见,并且越来越有影响力,因此不能强迫他们做不愿意做的事情。为了促进安全部门与开发部门之间的协作,2021年的安全趋势将需要以适合他们的方式集成到开发工具链中。”
5. 整体安全观
Siman表示,组织的团队将越来越需要对组织的安全态势有一个全面的了解,从而推动对提供完整生态系统视图的工具的需求。
特别是在开源安全方面,更全面的视图将使组织不仅可以知道他们是否正在使用易受攻击的软件包,而且更重要的是,应用程序使用包的方式是否使攻击或漏洞成为可能。
6. 云原生安全
该报告的合著者、Checkmarx公司安全研究主管Erez Yalon表示,云原生安全性目前尚未得到充分利用,并在安全社区中尚未得到充分理解,但是2021年将会推动优先锁定云计算环境。
Yalon在报告中写道:“如果说2020年是API的元年,那么2021年将是云原生安全性抢占先机的一年。API在云原生安全性中扮演着重要角色,但重点将转向基于云计算的技术如何继续扩散并在组织中广泛采用。确保互连的基于云计算的解决方案产生的生态系统将成为当务之急。”
7. 脆弱的API
Yalon做出了另一个预测,那就是不安全的API将最容易受到网络攻击者的破坏。
他说,“随着网络攻击者继续加大针对API的攻击,并且很多组织也逐渐了解如何利用这些程序,网络攻击者将在短期内利用这一空白,迫使开发人员迅速找出更好地保护API身份验证和授权过程的方法。”
8. 原有设备易受攻击
Yalon补充说,组织的物联网设备通常在后台运行时会被遗忘,但它们仍将在2021年成为网络攻击者的主要目标。
Yalon说:“随着这些使用多年的设备和工具日益陈旧,许多制造商已经停止支持软件更新和补丁,因为它们优先考虑新模型,从而使原有模型成为寻找轻松访问点的网络攻击者的主要目标。随着时间的推移,这些现在已经过时的产品中的漏洞将被发现和利用。”
尽管已提供了修复程序,但Armis公司发布的调查报告表明,工业、工厂和医疗设备仍未打补丁以防御URGENT/11和CDPwn恶意软件。研究人员发现, 97%未修补的运营技术(OT)设备受到URGENT/11影响。
9. 物联网安全进展缓慢
Yalon表示,美国上个月发布的最新《物联网网络安全改进法》是朝向正确的方向迈出的一步,但仍有许多工作要做。
美国政府立法要求物联网设备满足最低标准安全要求。但是Yalon补充说,如果没有面临消费者的巨大压力就无法取得真正的进步。
他说:“直到消费者对政府和制造商施加压力,以改善物联网设备的安全性,或者制造商非常重视物联网安全性,这将继续引起人们的关注。”