安全边界的界限变得模糊
Apr 28, 2022
通过保护边界来降低安全风险的传统方法正在失去效力。 随着社会转向远程和混合工作,以及越来越多的智能设备连接到物联网 (IoT),安全团队现在必须使用内置代码安全措施在开发和部署的所有阶段保护多个访问点。 这些挑战因有如此多不同的设备相互通信而不在同一网络下而被放大。
安全边界的崩溃
几十年来,网络安全一直处于发展的尽头。 它专注于建立一个坚不可摧的屏障,以保护内部网络免受外部威胁行为者的侵害。 然而,在周边内部,几乎没有人担心孤立不同的资源。 当工作由现场员工在办公室完成时,这种模式在很大程度上是有效的。
然而,随着远程工作的兴起,员工、计算机和服务器不再位于同一栋楼内。 计算机和服务器周围的边界——以及员工周围的边界——不复存在。 相反,计算正在成为一种全球性的努力,它打开了多个攻击面。 人们在旅途中工作,他们都来自不同的地点,使用多种设备,经常在任务中途切换设备。
在这种新的工作演变中,周界的概念毫无意义。 但实际上,新的工作模式只是暴露了边界模型已经存在的安全风险。 一旦边界被突破,就没有什么能阻止横向移动和从内部妥协。 最好的解决方案,甚至在与大流行相关的办公室外流之前,就是锁定内部基础设施,这样如果一个资源受到威胁,它就不会提供对整个系统的不受限制的访问。
自动化的重要性
模糊的边界线暴露出的另一个弱点是安全实践中缺乏自动化。 集成工具以促进协作在分布式环境中变得势在必行。 当无法在现场进行签核和移交时,将安全工具作为持续集成、持续交付 (CI/CD) 管道的一部分的必要性就更加明显了。
向零信任架构的转变
基于云计算构建的无边界网络要求从开发之初就将安全性作为零信任架构 (ZTA) 的一部分融入其中。 DevOps 团队必须放弃访问权限模型以及事后才考虑安全问题的做法。 运行受损代码可能会威胁到公司所有应用程序的安全。
旧扫描工具等过时的安全措施速度太慢,无法以当今开发团队的速度工作。 它们也有明显的缺点,因为它们通常不适用于无服务器系统或 API。 相反,DevSecOps 团队应该使用交互式应用程序安全测试等工具,这些工具可以实时提供反馈,并且可以集成到组织现有的开发工作流程中。
ZTA 的基本原则是假设所有事物和每个人都是威胁。 通过实施安全性,就好像您经常受到攻击一样,您更有可能强化您的系统。 这是通过“从不信任,始终验证”的理念实现的。
将安全嵌入到开发中
幸运的是,DevSecOps 团队拥有比以往更多的工具,可以从开发一开始就进行集成。 2021 年,拜登总统发布了一项关于需要改善网络安全的行政命令,包括征求私营部门的意见。 美国国家标准与技术研究院 (NIST) 发布了评估软件安全和评估所有 DevSecOps 团队都可以付诸实践的安全实践的指南。
随着对实施安全实践和要求软件安全透明度的日益关注,将会有更多关于最低标准、最佳实践和增强软件安全的有效工具的指导方针。
成功的 DevSecOps 组织的三个要素
虽然构建高效、敏捷的 DevSecOps 团队需要考虑很多因素,但首先要保证良好的代码卫生。 这应该是一个自动化过程,以确保开发人员编写的原始代码是安全的。 第二个要素是确保软件供应链的安全,包括库和框架。 随着开源和第三方代码的广泛使用,这一步尤为重要,因为漏洞通常是众所周知的。 最后,团队需要有一种方法来检测和响应生产中的安全威胁。
教育和自动化至关重要
仅仅拥有解决方案并不总能解决安全威胁。 许多最大的漏洞都发生在未更新或未打补丁的系统上。 开源代码中的漏洞通常很快就会被发现,而且补丁也很容易获得。 但是,开发人员仍在使用受损版本。 当组织不知道他们的代码中有什么时,他们就会面临风险。 有了如此广泛的访问点和依赖项,不可能手动跟踪当前版本、更新和必要的补丁。
Kiuwan解决方案
Kiuwan 创建端到端解决方案来帮助您的团队识别漏洞并制定计划来降低您的网络风险。 我们的代码安全 (SAST) 通过自动扫描您的代码来识别和修复风险,从而提供极快的结果。 SAST 适用于所有重要的编程语言,并在整个软件开发生命周期中与您团队现有的 DevSecOps 工具一起使用。 设定您的目标,监控您的进度,并根据既定规则采取行动。 SAST 符合所有主要的安全标准,包括 OWASP 和 CWE。
对于与开源代码相关的风险,Kiuwan 提供了 Insights Open Source (SCA)。 我们的 SCA 工具可自动管理您的开源代码,以降低任何安全漏洞、过时以及许可和政策问题的风险。 Kiuwan 与您当前的 DevSecOps 工具集成,通过多技术解决方案支持持续的开源管理。
Kiuwan 的代码分析 (QA) 为您提供一系列附加功能来改进您的开发过程。 QA 通过管理纠正缺陷所需的工作来减少您的技术债务。 您可以在每次使用 Jenkins Analysis 构建时持续分析。 使用差异报告找出引入了哪些缺陷。
立即联系 Kiuwan 的安全工具演示。 了解您的团队如何为您的应用程序开发管道增加安全性。
