成人无码视频,亚洲精品久久久久av无码,午夜精品久久久久久毛片,亚洲 中文字幕 日韩 无码

資訊專欄INFORMATION COLUMN

超三分之一外部攻擊通過利用漏洞進行 第三方軟件風險顯著增加

oneasp / 1107人閱讀

摘要:根據(jù)對個安全決策的調查,超過三分之一的外部攻擊是通過利用漏洞進行的,而另外三分之一來自對第三方服務或軟件制造商提供的軟件漏洞進行破壞。

當前,應用軟件大多數(shù)基于開源的框架,開源框架的源代碼、疊加的自研源代碼。都需要進行安全漏洞測試。企業(yè)的軟件開發(fā)比以往任何時候都更加依賴開源項目,也因此需要管理組件和第三方供應商中的漏洞帶來的風險。

FORRESTER安全與風險會議分析師在Forrester安全與風險2021會議上建議,公司需要采取措施將供應鏈中第三方軟件帶來的風險降至最低。在過去幾年里,供應鏈攻擊已顯著增長。

開源軟件漏洞引發(fā)安全問題

隨著外部攻擊越來越多地通過第三方軟件中的漏洞(例如開源項目或第三方供應商的漏洞)引發(fā)擔憂。

根據(jù)Forrester對530個安全決策的調查,超過三分之一 (35%) 的外部攻擊是通過利用漏洞進行的,而另外三分之一 (33%) 來自對第三方服務或軟件制造商提供的軟件漏洞進行破壞。由此可見,在軟件開發(fā)期間加強對代碼中安全漏洞的檢測及修復,可以大大有效避免漏洞利用引起的網絡攻擊。

Forrester高級分析師Alla Valente表示,如果公司不采取措施解決這個問題,第三方風險的增長可能會破壞企業(yè)應用程序的安全性。

她表示,我們面臨很多第三方風險,而且還在不斷升級。部分原因是當前第三方的數(shù)量比以往任何時候都多。

安全法規(guī)促使企業(yè)重視軟件安全

隨著全球不同國家政府機構開始起草安全軟件指南,這個問題將在2022年變得更加重要。

例如,拜登政府在5月簽署了一項行政命令,要求國家標準與技術研究所(NIST)為聯(lián)邦承包商起草指導方針,以更好地保護軟件安全。這些指導方針包括為政府的產品提供軟件材料清單,并證明開發(fā)人員構建環(huán)境的安全性。NIST已經制定了保護物聯(lián)網設備和軟件安全的指導原則草案。

我國的《關鍵基礎設施保護條例》、《數(shù)據(jù)安全法》、等保2.0等政策也明確表示了在軟件安全、數(shù)據(jù)安全等各個方面企業(yè)應準備的工作和承擔的相應責任。

開源軟件包漏洞難確定

“大多數(shù)開發(fā)人員只是連接到一個存儲庫,然后下載他們正在使用的任何軟件包的最新軟件版本,但這些軟件包是否存在漏洞,或者每個人是否都在使用相同的版本?” Forrester首席分析師Condo表示,如果不關注此類問題,公司只是在推遲安全問題。

開源軟件的不一致性質仍然是一個關鍵問題。雖然主要的軟件包通常管理良好,但許多企業(yè)最終使用的包(通常是通過更常見的組件的依賴關系)管理得不太好,可能存在漏洞。

盡管開源軟件項目平均修復漏洞的時間顯著下降(從2011年的371天下降到2021年的28天),但主要生態(tài)系統(tǒng)托管的軟件包數(shù)量顯著增長,根據(jù)軟件安全公司Sonatype發(fā)布的一份報告,去年增長了20%。

Condo表示,公司需要深入研究在軟件開發(fā)中所依賴的軟件包,并確定它們是否構成安全問題。他說:“了解你真正依賴的是什么真的很重要。哪里是最薄弱的環(huán)節(jié),這些問題會在哪里出現(xiàn),我們應該使用專有包或策劃好的東西。”

AI/ML因素

隨著越來越多的企業(yè)追求基于人工智能和機器學習(AI/ML)的分析,他們也面臨著類似的問題。AI/ML代表了開源問題的一個特定方面,因為開源項目中編碼了大量的算法。分析師Valente表示,企業(yè)應確定這些組件是否對其業(yè)務構成風險。

“組織正在利用人工智能和機器學習,問題不在于他們是否會使用人工智能和機器學習,而是他們是否會購買或構建它,”Valent表示。“如果他們打算購買ML或AI模型,在很多情況下它是開源的,甚至商業(yè)軟件也有75%到90%是開源的?!?/p>

提前發(fā)現(xiàn)問題降低成本

企業(yè)需要在軟件開發(fā)的早期關注安全問題。Condo表示,確定開源依賴項帶來安全問題并將其排除在外,比試圖在部署后關閉軟件中發(fā)現(xiàn)的安全問題要便宜得多。

同樣要注意的是,在自研代碼中存在的安全漏洞一樣需要及時檢測靜態(tài)代碼安全和修正缺陷。數(shù)據(jù)顯示,在軟件測試、發(fā)布階段糾正缺陷的成本是編碼階段發(fā)現(xiàn)并糾正缺陷的成本的15-90倍,如果在交付用戶之后才發(fā)現(xiàn)并解決缺陷,這個數(shù)字將達到50-200倍。因此,在編碼實現(xiàn)階段發(fā)現(xiàn)并解決盡可能多的缺陷,能夠極大降低缺陷管理成本,據(jù)相關統(tǒng)計數(shù)字估計,這個成本至少可以降低1/3。

Condo表示,在軟件開發(fā)初期不夠關注靜態(tài)代碼及開源組件的安全,就會制造更多的技術債務和安全問題,將不得不以更昂貴的方式處理下游問題。安全應該成為整個軟件開發(fā)鏈的一部分,諸如如何更安全的開發(fā)軟件、保護API安全和數(shù)據(jù)安全,并建立安全相應機制。

參讀鏈接:

www.darkreading.com/application…

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉載請注明本文地址:http://m.hztianpu.com/yun/123750.html

相關文章

  • 《阿里聚安全2016年報》

    摘要:每天新增近個新移動病毒樣本,每秒生成個阿里聚安全移動病毒樣本庫年新增病毒樣本達個,平均每天新增個樣本,這相當于每秒生成一個病毒樣本。阿里聚安全的人機識別系統(tǒng),接口調用是億級別,而誤識別的數(shù)量只有個位數(shù)。 《阿里聚安全2016年報》發(fā)布,本報告重點聚焦在2016年阿里聚安全所關注的移動安全及數(shù)據(jù)風控上呈現(xiàn)出來的安全風險,在移動安全方面重點分析了病毒、仿冒、漏洞三部分,幫助用戶了解業(yè)務安全...

    2json 評論0 收藏0

  • 利用App漏洞獲利2800多萬元,企業(yè)該如何避免類似事件?

    摘要:上個月,上海警方抓捕了一個利用網上銀行漏洞非法獲利的犯罪團伙,該團伙利用銀行漏洞非法獲利多萬元。目前,警方已將方某某鄧某某等名犯罪嫌疑人依法刑事拘留,并敦促涉案銀行完成了安全漏洞的修復。 上個月,上海警方抓捕了一個利用網上銀行漏洞非法獲利的犯罪團伙,該團伙利用銀行App漏洞非法獲利2800多萬元。 據(jù)悉,該團伙使用技術軟件成倍放大定期存單金額,從而非法獲利。理財邦的一篇文章分析了犯罪嫌...

    tylin 評論0 收藏0

  • EHR供應商披露安全問題 警示醫(yī)療系統(tǒng)軟件安全風險

    摘要:報告患者門戶被黑,飛利浦揭示安全漏洞,醫(yī)療系統(tǒng)軟件安全風險不斷暴露。與此同時,在一個單獨的開發(fā)中,醫(yī)療技術供應商飛利浦醫(yī)療保健和網絡安全和基礎設施安全機構周四各自發(fā)布了關于飛利浦電子醫(yī)療記錄系統(tǒng)版本及之前中發(fā)現(xiàn)的兩個漏洞的安全警告。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-...

    zhjx922 評論0 收藏0

  • Gartner 未來七大安全預測

    摘要:研究主管羅布麥克米蘭在年在國家港舉行的安全與風險管理峰會上展示了安全預測。到年,基于機器學習的智能機器將進行的滲透測試,而在年這一比例為。然而,機器學習已經發(fā)展到現(xiàn)實生活中。到年,至少一項重大安全事故將由安全故障引起,造成重大傷害。自動化和人工智能(AI)為數(shù)字業(yè)務提供了無限的可能性,但它們也帶來了復雜性。2017年的Gartner安全預測突出了潛在的商業(yè)利益,比如更快、更好的滲透測試。但是...

    shengguo 評論0 收藏0

  • 隨著云應用的增長,企業(yè)如何利用云計算使業(yè)務成長?

    摘要:事實上,云計算應用的快速增長正在徹底改變全球市場和基礎設施的發(fā)展趨勢。在調查中,只有的受訪者認為自己最終對云計算服務中存儲的數(shù)據(jù)的合規(guī)性負責。云計算服務提供商的服務級別協(xié)議不包括數(shù)據(jù)保護。如今,只要人們了解一下云計算市場,可以看到其發(fā)展非常健康。事實上,云計算應用的快速增長正在徹底改變全球市場和IT基礎設施的發(fā)展趨勢。云計算正在改變人們在企業(yè)所有職能上的工作方式。從公司辦公室到工廠車間,從分...

    TalkingData 評論0 收藏0

發(fā)表評論

0條評論

閱讀需要支付1元查看
<