如果處理不當,每個方面都會帶來安全風險。全球有數(shù)十億人使用在線和數(shù)字技術(shù),網(wǎng)絡(luò)攻擊者有足夠的機會攻破防火墻或防御措施,并對全球各地的機構(gòu)或企業(yè)進行網(wǎng)絡(luò)攻擊。如今,有關(guān)網(wǎng)絡(luò)安全方面的新聞不勝枚舉,例如比特幣挖掘、信用卡憑據(jù)竊取、向系統(tǒng)注入惡意代碼、竊取機密數(shù)據(jù)等一些不良行為。在當今的數(shù)字世界中,這不僅僅是速度、快速接觸客戶、輕松設(shè)置、令人興奮的功能等,而是關(guān)于企業(yè)的系統(tǒng)、數(shù)據(jù)或功能的安全性。
什么是網(wǎng)絡(luò)安全?
保護電子數(shù)據(jù)、網(wǎng)絡(luò)、計算機系統(tǒng)和任何形式的數(shù)字基礎(chǔ)設(shè)施免受惡意網(wǎng)絡(luò)攻擊的方法和實踐被稱為網(wǎng)絡(luò)安全。銀行、教育機構(gòu)、科技公司、政府機構(gòu)、出版社、醫(yī)院和各個部門都投資于網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,以保護其客戶數(shù)據(jù)、商業(yè)機密和商業(yè)情報免受網(wǎng)絡(luò)攻擊者的侵害。
健全的網(wǎng)絡(luò)安全戰(zhàn)略是應(yīng)對網(wǎng)絡(luò)犯罪和惡意攻擊的重要安全態(tài)勢,這些網(wǎng)絡(luò)攻擊旨在訪問、挖掘、注入、刪除或勒索公司或開發(fā)人員的系統(tǒng)和機密數(shù)據(jù)。以下將討論關(guān)于網(wǎng)絡(luò)安全和防范網(wǎng)絡(luò)攻擊的內(nèi)容。
網(wǎng)絡(luò)安全的重要性
在許多情況下,由于網(wǎng)絡(luò)安全法規(guī)的不完善,使得網(wǎng)絡(luò)攻擊者能夠入侵企業(yè)的網(wǎng)絡(luò),并以各種方式損害系統(tǒng),因此一些企業(yè)喪失了聲譽和信任,并且在收入方面遭受了嚴重損失,但仍然無法有效應(yīng)付。企業(yè)需要圍繞網(wǎng)絡(luò)安全制定強有力的標準和原則,以避免網(wǎng)絡(luò)攻擊者攻擊系統(tǒng)。網(wǎng)絡(luò)安全變得比以往任何時候都更加重要。以下是一些調(diào)查報告和示例:
•到2021年,全球各地的企業(yè)由于網(wǎng)絡(luò)攻擊造成的損失預(yù)計將超過6萬億美元,
•研究機構(gòu)Gartner公司預(yù)測,到2022年,全球的安全支出將達到1700億美元,在短短一年內(nèi)將增長8%。
•美國全國互助保險公司最近的一項調(diào)查發(fā)現(xiàn),58%的企業(yè)至少遭受過一次網(wǎng)絡(luò)攻擊。
•與2015年相比,預(yù)計2021年勒索軟件危害事件將增加57倍。據(jù)稱勒索軟件是美國快速增長的網(wǎng)絡(luò)犯罪之一。因此,美國司法部(DOJ)將勒索軟件稱之為一種新的網(wǎng)絡(luò)犯罪商業(yè)模式。
•WannaCry攻擊英國各地的醫(yī)院服務(wù)系統(tǒng),導(dǎo)致其醫(yī)療服務(wù)關(guān)閉近一周。這是一次勒索軟件攻擊,網(wǎng)絡(luò)犯罪分子控制了英國衛(wèi)生系統(tǒng),并要求交付贖金交還控制權(quán)。
網(wǎng)絡(luò)安全最佳實踐
以下是企業(yè)在實施網(wǎng)絡(luò)安全最佳實踐時需要考慮的一些建議:
•進行網(wǎng)絡(luò)釣魚模擬。
•對開發(fā)人員進行網(wǎng)絡(luò)安全培訓(xùn)。
•聘請安全專業(yè)人員。
•采用DevSecOps最佳實踐。
•僅對所需人員進行控制訪問。
•使用多重身份驗證。
•利用最好的安全漏洞工具。
•啟用防火墻保護。
•通過道德黑客進行更多測試。
網(wǎng)絡(luò)安全威脅的類型
以下是一些需要了解的主要網(wǎng)絡(luò)安全威脅:
•惡意軟件是指病毒、特洛伊木馬和間諜軟件,它們可以通過惡意軟件注入任何系統(tǒng)以對其造成危害。
•勒索軟件是一種惡意軟件,它通過加密鎖定目標計算機系統(tǒng)和文件,并要求支付贖金才能解鎖。
•社交工程涉及人類互動,黑客誘騙受害者破壞安全協(xié)議,并獲取受保護的敏感數(shù)據(jù)。
•網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊者以電子郵件(類似于具有相同名稱的知名來源)的形式發(fā)送給受害者的欺詐活動。這樣做是為了竊取敏感信息和登錄詳細信息。
•內(nèi)部威脅是員工、承包商或與企業(yè)有密切聯(lián)系的任何人實施的一種安全漏洞。
•分布式拒絕服務(wù)(DDoS)攻擊是指網(wǎng)絡(luò)攻擊者將可疑流量發(fā)送到目標網(wǎng)站,使它們變慢、破壞/崩潰系統(tǒng)。
•高級持久性威脅(APT)是指網(wǎng)絡(luò)攻擊者在很長一段時間內(nèi)通過破壞網(wǎng)絡(luò)安全而不被發(fā)現(xiàn),從而竊取數(shù)據(jù)的威脅。
•中間人(MitM)攻擊是指網(wǎng)絡(luò)攻擊者充當未知且無法識別的中間人,攔截兩方之間的通信線路。
DevOps和網(wǎng)絡(luò)安全
如今的網(wǎng)絡(luò)安全不僅僅是擁有防火墻和安全措施,就認為一切都是安全的。這是一項持續(xù)的努力,需要持續(xù)和關(guān)鍵的關(guān)注來克服安全挑戰(zhàn)。數(shù)字時代的網(wǎng)絡(luò)安全補充了DevOps開發(fā)、測試、保護、管理和維護持續(xù)交付和質(zhì)量的途徑。
使用DevOps流程的企業(yè)必須實施以上討論的強大的安全實踐。IT團隊實施的安全標準也應(yīng)該用于DevOps安全。如果沒有適當?shù)陌踩胧?,DevOps實踐有時可能會使企業(yè)面臨嚴重的安全風險。管理DevOps網(wǎng)絡(luò)安全的理想方法是與安全團隊合作并參與持續(xù)威脅監(jiān)控。
在當今的軟件企業(yè)中,網(wǎng)絡(luò)安全被集成到DevOps中是有充分理由的。加強開發(fā)和運營兩個部門之間的溝通與協(xié)作,將顯著加強風險管理,并處理SDLC任何階段出現(xiàn)的安全問題。
有關(guān)網(wǎng)絡(luò)安全事件的新聞報道
最近發(fā)生的最嚴重的一次網(wǎng)絡(luò)安全攻擊是美國大型信息技術(shù)商SolarWinds公司,其攻擊持續(xù)幾個月未被發(fā)現(xiàn),并于去年12月首次被路透社報道。這個網(wǎng)絡(luò)安全漏洞被認為是21世紀受影響最大的漏洞之一。
在秘密侵入SolarWind公司的系統(tǒng)后,網(wǎng)絡(luò)攻擊者在該公司影響多個客戶的重要軟件系統(tǒng)之一中添加了惡意代碼。其名為“OrionIT”的系統(tǒng)受到了嚴重影響,它是全球許多大型企業(yè)和政府機構(gòu)采用的監(jiān)控和管理軟件。
根據(jù)美國證券交易委員會的文件,Solarwinds公司擁有33,000個使用Orion的客戶。通過這種方式,網(wǎng)絡(luò)攻擊者獲得了對數(shù)千個SolarWinds客戶的登錄憑據(jù)、網(wǎng)絡(luò)、系統(tǒng)和數(shù)字簽名的訪問權(quán)限。
網(wǎng)絡(luò)攻擊者利用供應(yīng)鏈攻擊技術(shù)將惡意代碼注入OrionIT系統(tǒng)。通過第三方訪問,黑客可以攻擊SolarWind的系統(tǒng)(OrionIT),這通常發(fā)生在供應(yīng)鏈攻擊中。
現(xiàn)在是什么,接下來是什么?行政命令
SolarWind公司的網(wǎng)絡(luò)攻擊震驚了世界各國。對此,美國政府開始致力于整頓網(wǎng)絡(luò)安全法規(guī),以防止此類攻擊的發(fā)生,并提供數(shù)十億美元的資金來提高安全性。美國總統(tǒng)拜登簽署行政命令以實現(xiàn)網(wǎng)絡(luò)防御現(xiàn)代化;該命令的動機是需要更強大的安全流程,特別是圍繞軟件供應(yīng)鏈攻擊。這個行政命令致力于為實現(xiàn)安全最佳實踐的現(xiàn)代化和保護美國聯(lián)邦網(wǎng)絡(luò)做出顯著貢獻。
因此,主要的軟件公司/供應(yīng)商面臨著更新和重新調(diào)整以加強其網(wǎng)絡(luò)安全規(guī)則的壓力。這意味著未來幾年軟件供應(yīng)商將把網(wǎng)絡(luò)安全放在最高優(yōu)先級,這似乎是應(yīng)對網(wǎng)絡(luò)攻擊者入侵的一個主要舉措。
美國政府和所有相關(guān)機構(gòu)已提醒其軟件供應(yīng)商遵循穩(wěn)健的網(wǎng)絡(luò)安全協(xié)議和原則。
美國政府的行政命令非常明確:它規(guī)定網(wǎng)絡(luò)安全相當于美國政府的國家安全。為了獲得更強大的安全態(tài)勢,向美國聯(lián)邦政府出售的任何軟件不僅需要穩(wěn)定、有價值的應(yīng)用程序,還需要遵守嚴格的軟件材料清單(SBOM)要求,其中包括用于構(gòu)建軟件的所有組件。
軟件物料清單(SBOM)
軟件物料清單(SBOM) 是構(gòu)成軟件程序或應(yīng)用程序的組件的完整列表。它要求供應(yīng)商仔細列出用于構(gòu)建應(yīng)用程序的工具和第三方組件。出于安全原因,軟件物料清單(SBOM) 被認為非常有價值,因為它包含每一個細節(jié)。因此,如果出現(xiàn)任何災(zāi)難或安全問題,供應(yīng)商很容易追蹤導(dǎo)致問題的原因,并幫助解決或減輕這些挑戰(zhàn)。
在當前的行政命令中,重要的不僅僅是整個軟件而是細節(jié),每一個微小的細節(jié)或組件都必須遵守新的行政命令。
如今,有許多解決方案可以掃描和列出應(yīng)用程序中使用的組件,而JFrog就是其中一種更進一步的解決方案。
使用JFrog產(chǎn)品(特別是Artifactory和Xray),可以輕松了解組件、這些組件的來源以及組件的所有相關(guān)細節(jié)。這樣就可以做出數(shù)據(jù)驅(qū)動的決策,并在出現(xiàn)任何問題時采取預(yù)防措施。
軟件物料清單(SBOM) 的重要性
軟件開發(fā)商必須為其代碼庫準備和維護軟件BOM(SBOM)。任何典型的JavaScript Web應(yīng)用程序都包含至少1000個依賴項,每個依賴項都可以包含更多的依賴項。因此,僅僅關(guān)注應(yīng)用程序的頂級部分是無關(guān)緊要的,這意味著可能會錯過應(yīng)用程序正在使用的大部分代碼。
用戶需要問問自己,是否檢查應(yīng)用程序包含的開源組件的許可證是寬松的還是嚴格的?是否知道代碼庫中的開源組件正在維護?
用戶如何驗證其應(yīng)用程序或軟件使用的開源組件是否存在任何已知漏洞?這就是軟件物料清單(SBOM)發(fā)揮重要作用的地方,因此重要的不僅是了解整個過程,還包括了解每一個環(huán)境細節(jié)。
這是將要發(fā)布的軟件物料清單(SBOM)標準的高級要求可能發(fā)揮作用的地方。雖然許多安全公司可能會提供一些說明,但在二進制生命周期中公開環(huán)境和變量的DevOps平臺將處于滿足這些政府要求的主要位置。例如,JFrog平臺可以作為JFrog所說的安全狀況的“單一事實來源”。通過不僅了解頂級二進制文件,而且了解所有構(gòu)建和管道信息,用戶將不僅能夠了解其中的成分,還能夠了解它們的來源以及這些成分的供應(yīng)鏈。這樣,用戶或許能夠基于這些新的網(wǎng)絡(luò)安全需求更好地滿足未來的需求。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。