阿皮罗 介绍
近年来,公司加速采用云原生应用程序。 但伴随着这一飞跃而来的是云原生计算所特有的风险。 要了解有关危险和挑战以及如何克服它们的更多信息,请不要错过此 VB On-Demand 活动。
在此处访问此点播网络研讨会 。
随着对快速、敏捷开发的需求不断增长,公司越来越多地采用云服务和应用程序。 但是,随着开源代码的普及,开发变得如此容易,带来了新的和独特的安全风险。
Apiiro 安全研究副总裁 Moshe Zioni 说:“为正常组织结构贡献代码的开发人员远远超过了安全专业人员。” “由于发展迅速,他们无法应对所有类型的问题,除非他们使用大规模的解决方案,让他们能够主动大规模地修复风险,而不是在问题出现时打地鼠。 ”
Zioni 说,云原生应用程序和移动应用程序可以通过各种独特的方式受到攻击,并产生级联后果。
云原生应用的云原生风险
当一个允许开发依赖的软件包成为目标时,它会对供应链产生指数级的影响。 对软件开发生命周期 (SDLC) 和持续集成/持续交付/部署 (CICD) 工具集的攻击对快速开发至关重要,它们为攻击者提供了破坏您正在部署和编译的所有代码的关键。
Zioni 说:“在过去的两三年里,攻击者已经大量瞄准了这类工具,首先是因为它们对许多组织来说并不那么重要,其次,当恶意用户获得对这些工具的控制权时过程中,它可以持续数月,甚至数年而不被注意,这当然对我们今天认为安全的任何东西都是毁灭性的打击。”
为了领先于大规模攻击,安全领导者需要找到一种方法来将其软件的风险情境化。
为什么情境化风险是关键
考虑风险的传统方法是评估代码、包、流程等的内在危险。例如,人工编写的代码的内在风险是它会有错误。 但这是一种一维的方式来看待它,Zioni 说。 没有上下文,您将无法理解弱点或漏洞带来的更广泛风险。
上下文包括各种各样的东西。 它包括代码所处的环境,以及引入新代码将对外围、基础设施和环境产生的影响。 这也意味着知道是哪个开发人员编写了代码,开发人员是否接受过安全培训,代码是否对授权机制进行了更改——以及开发人员是否知道这些授权。 开发人员是否曾经以相同的方式贡献过代码,以及代码是根据组织的协议编写还是从某个地方复制而来,这也很重要。
“所有这些情报信息构成了我们所说的情境风险,”齐奥尼说。 “一旦你掌握了所有关于提交的数据点,你就可以评估提交所带来的风险,除了代码本身。 如果没有这种多维性,你将无法区分一个提交和另一个提交。”
可以通过创建风险概况来获得这种背景。
风险概况的重要性
Zioni 说,应该从三个方面来看待风险。 首先是开发者层,包括对开发者的行为分析。 第二个是代码本身,在这里对代码进行解析以了解它的含义以及它涉及到什么样的机制。 第三个是语义方法,自动化机器学习和 NLP 处理在票务系统上解析堆栈消息和特征请求,以了解代码提交所包含的历史和上下文类型。
通过这三层,您可以获得关于提交背后的基本信息、开发人员可能拥有的上下文消息类型、编写代码的开发人员类型以及您可以从中了解代码的信息。
“总而言之,这三层将使您立即获得更好的上下文风险位置,通过它,您将能够更好地确定优先级,”他解释道。
最后一部分是简单地知道什么是重要的,并从那里确定优先级。 如果更改在安全性方面不重要,那么您可以优先考虑的优先级远低于本质上更改代码中特定于安全性机制的更改。
当心这些安全隐患
Zioni 说,您可以采取一些步骤来提高云安全性。
已知的未知数。 首先是了解你知道的,但也要了解你不知道的。 这意味着要了解您的代码、您的开发人员基础、您的组织,甚至是部落知识(正在计划什么,谁在贡献什么,正在使用什么沟通渠道,等等)。
大规模整治。 第二个是战略性地计划大规模的补救措施——或者一直追溯到问题的根本原因。 如果您在非常特定的代码或代码库的一部分上一次又一次地发现有问题的 SQL 注入,请深入了解它为何不断发生。 也许开发人员没有经过适当的培训,或者审阅者不知道如何发现这种漏洞,或者它正在滑过您的风险优先级。
监控和测量。 最后,您需要弄清楚可以衡量什么,哪些衡量很重要,然后确定您的 KPI。 您将了解什么代表了进步,以及什么可以让您不被困在只修复最新漏洞的那种一心一意、打地鼠的方法上。
“目标不应该是扑灭火灾,而是要在整个应用程序安全计划上取得进展,”Zioni 说。
要了解有关基于云的应用程序的安全风险、如何确定威胁的优先级、深入挖掘根本原因以及建立一支具有安全意识的开发人员团队的更多信息,请访问此点播网络研讨会。
声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9119.html
微信扫一扫 
支付宝扫一扫 
