DevSecOps如何应对零日威胁

译者 | 晶颜

审校 | 重楼

零日威胁正变得比以往任何时候都更加危险。5月底至6月初，恶意行为者通过零日攻击接管了众多名人和品牌的TikTok账户。用户声称在打开一条私信后便丧失了账户的控制权。而用于攻击的恶意软件能够在用户不下载或安装任何程序的情况下感染设备。

目前尚不清楚此次事件的损害程度。TikTok发言人亚历克斯·豪雷克（Alex Haurek）表示，被入侵的账户数量“非常少”，但他也拒绝提供具体数字。据悉，TikTok方面一直在与受影响帐户的所有者合作，恢复其访问权限，并采取措施确保问题不再发生。

从逻辑上讲，即便拥有大量资源的大型组织也可能沦为零日攻击的受害者，那么资源有限的小型企业则处于更脆弱的位置。这强调了最大限度地集成DevOps和安全性的重要性。

零日漏洞的威胁

零日漏洞是指软件中那些尚未发现、识别和分析的安全缺陷或问题。没有人知道它们的存在，更不用说它们的运行原理了。没有任何可用的安全补丁能够解决这些问题，因此，当有人发现它们时，通常可以不受阻碍和限制地发动攻击。大多数现有的网络防御措施往往对此类攻击无效。

TikTok只是受到零日攻击的主要组织之一。2017年，微软遭遇了MS Word零日漏洞攻击，导致个人银行账户被盗。2020年，在苹果的iOS系统中发现了至少两个零日漏洞，允许恶意行为者进行远程攻击。同年，广受欢迎的视频会议平台Zoom遭受严重的零日攻击，允许攻击者控制设备并访问文件。

然而，缺乏有关漏洞的信息并不意味着没有办法检测、阻止和缓解它们。零日漏洞是可以阻止的，或者至少可以通过正确的策略和解决方案加以缓解。虽然零日漏洞并不容易解决，但正确的策略可以显著增加威胁行为者的攻击难度。而阻止它们最好的方法之一就是通过DevSecOps。

现代IT安全的基础

在过去的几年里，DevOps一直是软件开发领域最受欢迎的流行语，但在优化软件开发过程和加快上市时间的权衡中，安全性显然是不容忽视的。网络威胁正变得越来越复杂且极具侵略性，开发人员参与构建网络保护已成为必要举措。

单独的审查解决方案通常不能立即处理软件代码本身的问题。考虑到这一点，开发人员最适合从底层开始强调安全性的实践，同时保持高可交付性。

首先，开发人员可以采用“左移”原则，将安全测试工具和过程集成到CI/CD管道中。他们可以在开发阶段识别和处理漏洞，将其作为标准例程的一部分，而不是进行单独的安全测试。这大大消除了软件部署之前的安全问题。

其次，开发人员也可以按照OWASP安全编码实践和开放项目（Open Project）的安全编码实践等指南或标准来实现安全编码。这也被称为“设计安全”（security by design）原则，要求开发人员在其中构建专门针对已知和未知漏洞的弹性软件。

此外，DevOps团队可以实现连续的漏洞扫描，以不断检查其代码中可能存在的安全缺陷。这涉及到在整个开发流程中使用漏洞扫描工具。此举需要额外的成本，但安全回报也是无可争议的。实时检测漏洞的能力确保了快速修复和补救，防止威胁参与者发现和利用漏洞。

DevOps团队还可以利用基础设施即代码（IaC）来简化云环境管理。IaC支持通过代码配置提供基础设施，这使得在部署之前迭代安全配置和检查代码中的问题变得更加容易。安全实践融入到代码中，可以确保安全标准和机制的同步实现。

同时，DevOps团队可以利用容器化和微服务架构来隔离应用程序，并使其更容易应对零日攻击。这些措施不一定能防止“零日”的出现，但它们有助于控制和解决问题。每个容器都在孤立的环境中运行，这意味着如果漏洞被利用，危害可能仅限于受影响的容器。此外，为受影响的容器打补丁并进行取证将更快，以确保在其他容器中不会再次出现相同的问题。

DevSecOps最佳实践

一个成功的DevSecOps策略需要的不仅仅是工具。将安全软件和测试集成到整个开发过程中是不够的。组织还应该考虑最佳实践，如持续监控、定期测试和审核，以及员工教育。

重要的是要使用能够持续监控的安全工具，包括能够全面监控安全问题开发过程的自动化和人工智能驱动的服务。人工智能还可以为强大的漏洞警报系统提供动力，通过结合上下文来避免安全信息过载，并确保最重要和紧急的警报不会被掩盖在无关紧要的细节之下，例如误报和低风险事件的日志。

需要强调的是，安全审计和测试与持续监视是不同的。审计和测试是定期进行的，它们针对的是特定的领域或功能。持续监视则是一个正在进行的过程，它可以揭示趋势和即时辨认的漏洞，但是这些过程不像定期渗透测试那样彻底和深入。

最后，DevOps团队应该在安全性能优化方面具有较高的熟练程度。这需要他们接受培训，并与安全团队密切合作。

结语

未来，零日攻击的实例不太可能减少。组织应该清楚地认识到威胁行为者在寻找和利用漏洞方面正变得越来越狡猾和具有攻击性，并为此做好准备。拥抱DevSecOps是非常重要的举措，这可能需要对许多组织进行范式转变。组织需要观察新的实践，并投资于新的工具和流程，以主动和更有效地解决与零日漏洞相关的安全问题。

虽然DevSecOps很难做到万无一失，但如果组织集成了他们的安全工具，简化了他们的安全流程，实现了持续的监控，并进行了定期的渗透测试和安全审计，那么他们肯定有更好的机会避免不可预测的安全问题。

原文标题：How DevSecOps Can Combat Zero-Day Threats，作者：Annie Qureshi