數(shù)字化轉(zhuǎn)型如火如荼，負(fù)責(zé)網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理的團(tuán)隊(duì)也肩負(fù)起更多責(zé)任。同時(shí)，遠(yuǎn)程辦公以及云上的數(shù)字業(yè)務(wù)運(yùn)營(yíng)也給帶來(lái)了新威脅。

本文引用地址：http://www.eepw.com.cn/article/202301/442310.htm

提升網(wǎng)絡(luò)安全或者軟件安全已經(jīng)不再是單純的技術(shù)挑戰(zhàn)，自上而下的安全意識(shí)和文化也不可或缺。2023年，安全威脅形式依然復(fù)雜，軟件供應(yīng)鏈風(fēng)險(xiǎn)愈加受到關(guān)注。在數(shù)字經(jīng)濟(jì)時(shí)代，軟件安全與客戶信任及業(yè)務(wù)增長(zhǎng)之間的關(guān)聯(lián)度更高，因?yàn)檐浖L(fēng)險(xiǎn)已經(jīng)等同于業(yè)務(wù)風(fēng)險(xiǎn)。新年伊始，新思科技與大家分享觀察到的行業(yè)趨勢(shì)，希望能夠幫助企業(yè)推動(dòng)數(shù)字化轉(zhuǎn)型或者制定軟件安全計(jì)劃的時(shí)候，做出更加明智、有針對(duì)性的決策。

1.      企業(yè)開(kāi)始投資安全預(yù)防控制措施

新思科技軟件首席科學(xué)家Sammy Migues指出：“企業(yè)，尤其是董事會(huì)及內(nèi)部風(fēng)險(xiǎn)管理委員會(huì)發(fā)現(xiàn)僅依靠偵查性控制去識(shí)別已存在的風(fēng)險(xiǎn)已經(jīng)不足以抵抗各類(lèi)攻擊，比如惡意軟件、勒索軟件、漏洞利用或其它安全攻擊。他們開(kāi)始投資預(yù)防性控制措施?！?/p>

董事會(huì)或者企業(yè)高層決策者參與到軟件安全計(jì)劃，有助于將安全文化定位于企業(yè)數(shù)字化發(fā)展戰(zhàn)略的重要位置。DevOps 和 DevSecOps 是企業(yè)文化變革。能將安全貫穿在業(yè)務(wù)中的企業(yè)可以更好地應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)，更有機(jī)會(huì)獲得持續(xù)的業(yè)務(wù)增長(zhǎng)。

2.      虛擬現(xiàn)實(shí)里的安全威脅真實(shí)存在

新思科技軟件質(zhì)量與安全部門(mén)高級(jí)安全工程師Boris Cipot表示：“近年來(lái)，數(shù)字化已經(jīng)成為重要議題。每家企業(yè)都可以說(shuō)是軟件企業(yè)，或者依賴于軟件運(yùn)營(yíng)。傳統(tǒng)的硬件廠商也開(kāi)始采取‘軟硬兼施’的策略。比如在工業(yè)自動(dòng)化企業(yè)，可編程邏輯控制器(PLC)這樣的硬件部件開(kāi)始轉(zhuǎn)向在計(jì)算機(jī)系統(tǒng)上運(yùn)行的虛擬化軟件。虛擬現(xiàn)實(shí)、增強(qiáng)現(xiàn)實(shí)或者元宇宙是更高水平的數(shù)字化體現(xiàn)。物聯(lián)網(wǎng)(IoT)或者說(shuō)萬(wàn)物互聯(lián)(IoE)發(fā)展將給我們的日常生活帶來(lái)更多變化。但無(wú)論如何，這些技術(shù)或者設(shè)備都必須把一件事情做好，那就是安全?！?/p>

現(xiàn)在黑客攻擊或者漏洞利用依然普遍，危及到廠商和最終用戶。明年及未來(lái)幾年，IoE技術(shù)會(huì)進(jìn)一步發(fā)展，與其有關(guān)的安全技術(shù)概念也將產(chǎn)生。很多不符合規(guī)定標(biāo)準(zhǔn)的設(shè)備將被淘汰或者禁用。

3.      產(chǎn)品安全問(wèn)責(zé)制度更加明確

新思科技軟件質(zhì)量與安全部門(mén)技術(shù)總監(jiān)兼首席設(shè)計(jì)師Michael White表示：“許多國(guó)家和地區(qū)已經(jīng)頒布或者正在制定法律法規(guī)以落實(shí)安全責(zé)任，比如美國(guó)EO 14028行政命令、歐盟 CRA條例以及英國(guó) PSTI法案等。企業(yè)領(lǐng)導(dǎo)層必須簽名，以表明他們已經(jīng)采取了一切必要措施以確保產(chǎn)品的安全開(kāi)發(fā)，并提供持續(xù)的支持，例如：在指定的生命周期內(nèi)進(jìn)行監(jiān)控以及持續(xù)的漏洞響應(yīng)（例如推出補(bǔ)?。??！?/p>

此外，由于每家企業(yè)都處在供應(yīng)鏈之中，而且大部分是位于中間環(huán)節(jié)。這意味著不僅要在企業(yè)內(nèi)部，還要要求外部供應(yīng)商或合作伙伴提供可信證明，以支持產(chǎn)品安全開(kāi)發(fā)。更高的透明度是必不可少的。在創(chuàng)建軟件物料清單(SBOM)的同時(shí)，還需要一整套監(jiān)管制度，掌握使用了哪些工具、執(zhí)行了哪些測(cè)試等信息。為此，很多公司開(kāi)始成立開(kāi)源項(xiàng)目辦公室(OSPO)，以更高效地管理軟件供應(yīng)鏈安全。

4.      從安全平臺(tái)到開(kāi)發(fā)平臺(tái)

新思科技軟件質(zhì)量與安全部門(mén)AppSec客戶經(jīng)理Gunnar Braun指出：“關(guān)于應(yīng)用安全平臺(tái)的討論熱度不減。開(kāi)發(fā)人員通過(guò)這些平臺(tái)，為軟件開(kāi)發(fā)生命周期(SDLC) 中越來(lái)越多的 AppSec 工具編排掃描和整合結(jié)果。相信在2023年依然如此。同時(shí)，我們也看到了對(duì)AppSec 工具的需求正在攀升，以將其集成到 GitHub 等開(kāi)發(fā)平臺(tái)中?！?/p>

5.      軟件定義浪潮席卷汽車(chē)業(yè)

新思科技首席汽車(chē)安全策略師Dennis Kengo Oka表示：“2023 年，汽車(chē)業(yè)對(duì)網(wǎng)絡(luò)安全的需求將持續(xù)增加，因?yàn)檐?chē)輛開(kāi)發(fā)更多地轉(zhuǎn)向‘軟件定義汽車(chē)’。汽車(chē)業(yè)正在部署更先進(jìn)和更復(fù)雜的解決方案，包括自動(dòng)駕駛，不僅涉及車(chē)輛本身，還涉及后端系統(tǒng)和用戶的移動(dòng)設(shè)備。 這種汽車(chē)生態(tài)系統(tǒng)的攻擊面自然也會(huì)隨之增加。因此，汽車(chē)業(yè)必須繼續(xù)遵循最佳實(shí)踐和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，不僅面向車(chē)輛開(kāi)發(fā)，而且覆蓋整個(gè)汽車(chē)生態(tài)系統(tǒng)。 特別是在軟件開(kāi)發(fā)方面，汽車(chē)廠商采用更敏捷開(kāi)發(fā)方式，更快進(jìn)行開(kāi)發(fā)和更早執(zhí)行測(cè)試，以盡早發(fā)現(xiàn)和修復(fù)缺陷。持續(xù)監(jiān)控安全漏洞的需求也正變得越來(lái)越多。”

6.      ASOC將發(fā)揮越來(lái)越關(guān)鍵的作用

新思科技中國(guó)區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國(guó)梁表示：“應(yīng)用安全編排和關(guān)聯(lián)(ASOC)是AppSec解決方案的一個(gè)環(huán)節(jié)，通過(guò)工作流自動(dòng)化來(lái)簡(jiǎn)化漏洞測(cè)試和修復(fù)工作。其最重要的優(yōu)勢(shì)在于能夠提高DevSecOps的效率。產(chǎn)品迭代的速度越來(lái)越快，這一點(diǎn)在2023年也依然不會(huì)改變。敏捷開(kāi)發(fā)需要更快的速度和更有效的工具。但如何對(duì)資源和修復(fù)活動(dòng)進(jìn)行高效管理給安全團(tuán)隊(duì)帶來(lái)了巨大的挑戰(zhàn)。ASOC 則在幫助應(yīng)對(duì)這些挑戰(zhàn)方面發(fā)揮著關(guān)鍵作用：改進(jìn)資源分配、集中式漏洞管理、更好地了解風(fēng)險(xiǎn)、連續(xù)和自動(dòng)掃描以及自動(dòng)化AppSec流程。隨著對(duì)安全團(tuán)隊(duì)的要求不斷增多，越來(lái)越多的安全漏洞將使得安全和開(kāi)發(fā)團(tuán)隊(duì)負(fù)載過(guò)重， ASOC無(wú)疑將在緩解該負(fù)載方面發(fā)揮越來(lái)越關(guān)鍵的作用。”

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<