《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 定義新的安全基礎(chǔ):10種最常見(jiàn)的防御舉措

定義新的安全基礎(chǔ):10種最常見(jiàn)的防御舉措

2021-11-06
來(lái)源:嘶吼專(zhuān)業(yè)版
關(guān)鍵詞: 防御舉措

  隨著科技的不斷進(jìn)步,軟件因其方便、快捷、實(shí)用性強(qiáng)等特點(diǎn),在各個(gè)領(lǐng)域中得到了廣泛的應(yīng)用。然而,隨之而來(lái)的安全問(wèn)題也日益凸顯,從軟件缺陷到漏洞,再到大規(guī)模的數(shù)據(jù)泄露,特別是現(xiàn)在,越來(lái)越多的企業(yè)將一些關(guān)鍵業(yè)務(wù)轉(zhuǎn)移到線上,軟件安全一旦出現(xiàn)問(wèn)題可能帶來(lái)災(zāi)難性的后果或重大經(jīng)濟(jì)損失,因此,有效地評(píng)估軟件的安全性十分必要。

  現(xiàn)在,企業(yè)組織通常會(huì)從其軟件開(kāi)發(fā)生命周期中收集安全指標(biāo),實(shí)施基本安全措施,并將保護(hù)用戶(hù)數(shù)據(jù)的義務(wù)定義為基本安全策略的一部分。

  根據(jù)年度《構(gòu)建安全成熟度模型》(BSIMM)報(bào)告顯示,超過(guò)四分之三的受訪組織定期采取10項(xiàng)常見(jiàn)安全措施來(lái)改善其整體防御態(tài)勢(shì),其中包括檢測(cè)其安全開(kāi)發(fā)生命周期(SDLC)以及使用自動(dòng)化工具等等。

  構(gòu)建安全成熟度模型(BSIMM)是一種數(shù)據(jù)驅(qū)動(dòng)的模型,采用一套面對(duì)面訪談技術(shù)開(kāi)展 BSIMM評(píng)估,唯一目標(biāo)就是觀察和報(bào)告。它是一把衡量企業(yè)在軟件開(kāi)發(fā)階段構(gòu)建軟件安全能力的標(biāo)尺。BSIMM軟件安全框架(SSF)包含四個(gè)領(lǐng)域--治理、 情報(bào)、SSDL觸點(diǎn)和部署。這四個(gè)領(lǐng)域又包括12個(gè)實(shí)踐模塊,而這12個(gè)實(shí)踐模塊中又包含122項(xiàng)BSIMM活動(dòng)。

  該報(bào)告就是基于對(duì)受訪企業(yè)的12個(gè)實(shí)踐模塊進(jìn)行評(píng)估,詢(xún)問(wèn)他們是否進(jìn)行了122項(xiàng)不同的安全活動(dòng)中的任何一種。結(jié)果顯示,在參與調(diào)查的128家公司中,92%的公司從其軟件開(kāi)發(fā)生命周期收集數(shù)據(jù)以提高安全性,而91%的公司定期確認(rèn)其基礎(chǔ)主機(jī)和網(wǎng)絡(luò)安全措施的狀態(tài)--根據(jù)BSIMM調(diào)查生成的排名列表,這正是受訪組織中最常見(jiàn)的兩項(xiàng)安全舉措。

  BSIMM報(bào)告的作者之一Eli Erlikhman表示,這些數(shù)據(jù)表明,企業(yè)組織在完善其軟件安全流程方面正取得重大進(jìn)展。他解釋稱(chēng),“我們看到軟件安全流程方面正在得到進(jìn)一步改進(jìn),組織在某些領(lǐng)域變得更好,例如控制開(kāi)源風(fēng)險(xiǎn)、供應(yīng)商安全以及缺陷發(fā)現(xiàn)等。與此同時(shí),我們也看到該行業(yè)仍有改進(jìn)的空間,組織應(yīng)該繼續(xù)增強(qiáng)自身的能力。”

  目前的評(píng)估結(jié)果發(fā)現(xiàn),越來(lái)越多涉及勒索軟件攻擊和軟件供應(yīng)鏈攻擊的公共事件(例如針對(duì)遠(yuǎn)程管理軟件制造商Kaseya的攻擊事件)使企業(yè)組織更加關(guān)注旨在預(yù)防或減輕事件的措施。在過(guò)去兩年中,61%的受訪組織正在積極尋求識(shí)別開(kāi)源風(fēng)險(xiǎn)--今年是74 家,而兩年前是 46家--而55家公司已經(jīng)開(kāi)始授權(quán)模板軟件許可協(xié)議,比兩年前增加了57%。

  在過(guò)去的18個(gè)月中,企業(yè)組織經(jīng)歷了數(shù)字化轉(zhuǎn)型計(jì)劃的“大跨步”??紤]到這些變化的復(fù)雜性和速度,對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō),擁有能夠讓他們了解自身立場(chǎng)并為下一步行動(dòng)提供參考的工具,變得前所未有的重要。

  BSIMM報(bào)告旨在讓公司能夠就如何隨著時(shí)間的推移改進(jìn)其軟件安全工作做出數(shù)據(jù)驅(qū)動(dòng)的決策。10 項(xiàng)最常見(jiàn)的舉措--以及參與這些舉措的組織比例如下所示:

  實(shí)施生命周期檢測(cè)并用于定義治理(92%);

  確保主機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)措施到位(91%);

  確定PII義務(wù)(89%);

  執(zhí)行安全功能審查(88%);

  使用外部滲透測(cè)試人員發(fā)現(xiàn)問(wèn)題(87%);

  創(chuàng)建或與事件響應(yīng)交互(84%);

  集成并提供安全功能(80%);

  使用自動(dòng)化工具(80%);

  確保QA執(zhí)行邊緣/邊界值條件測(cè)試(78%);

  將合規(guī)性約束轉(zhuǎn)化為需求(77%);

  數(shù)據(jù)表明,總的來(lái)說(shuō),企業(yè)組織在軟件安全方面正變得越來(lái)越成熟。兩年前,BSIMM報(bào)告發(fā)現(xiàn),只有70%的受訪組織執(zhí)行了前10項(xiàng)舉措中最不常見(jiàn)的舉措,而今年這一比例為77%。

  BSIMM調(diào)查還顯示,越來(lái)越多的企業(yè)組織專(zhuān)注于保護(hù)其軟件供應(yīng)鏈并確保其基礎(chǔ)設(shè)施安全。兩個(gè)增長(zhǎng)最快的活動(dòng)是為容器和虛擬化環(huán)境應(yīng)用編排,參與企業(yè)從兩年前的5家增加到33 家,其次是確保云安全基礎(chǔ),現(xiàn)在是59家企業(yè)參與,而兩年前僅有9家。

  檢查軟件物料清單(SBOM)是另一個(gè)快速增長(zhǎng)的軟件安全領(lǐng)域,有14家企業(yè)采取了這項(xiàng)活動(dòng),而兩年前只有3家公司。

  報(bào)告還發(fā)現(xiàn),其中許多活動(dòng)都從“專(zhuān)注于將安全性進(jìn)一步轉(zhuǎn)移到開(kāi)發(fā)”--所謂的“左移”(shift?left)--轉(zhuǎn)變?yōu)椤皩?zhuān)注于將安全活動(dòng)添加到需要的地方”--所謂的“無(wú)處不移”(shift?everywhere)。運(yùn)營(yíng)基礎(chǔ)設(shè)施的自動(dòng)化安全驗(yàn)證就是一個(gè)例子,其中安全性從左移到開(kāi)發(fā),右移到運(yùn)營(yíng),更全面地轉(zhuǎn)移到工程中。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。