面对安全漏洞,保持被动的团队将始终处于落后状态
在过去的几个月里,网络安全领域已成为人们关注的焦点。从Colonial Pipeline攻击到肉类加工公司 JBS遭受的破坏,2021 年似乎是网络犯罪分子嚣张的一年,而且他们并没有放慢脚步。
这种上升趋势的一个特别令人担忧的部分是“0 day攻击”的明显增加,这是一种恶意型的网络安全攻击,它利用供应商或开发人员不知道或尚未解决的安全弱点。几个月前,谷歌威胁分析小组发表了一篇博客文章,强调了0 day攻击的增加。研究发现,到2021 年中期,“公开披露的攻击中使用了33个 0day漏洞利用”,比 2020年的总数增加了11个。
Verizon的“2021年数据泄露调查报告”强调了企业目前面临的网络安全挑战数量。该报告发现,网络钓鱼和勒索软件攻击“分别增加了11%和6%”。从数据来看,安全形势肯定比以往更加严峻。
尽管这些数据看上去让人担忧,但需要注意的前提是,数据泄露事件的披露比以往更加透明,并且媒体也比以往更关注严重泄露的规律性和新闻价值。
网络攻击的增加将是网络安全专业人士特别关注的问题。在过去的一年中,我们目睹了犯罪分子越来越积极主动的努力,他们不仅利用漏洞、向企业索要赎金,而且传播他们的勒索软件服务并且利用他们的专业知识。
网络犯罪已经“平民化”,恶意软件可以轻易被大众使用。因此,恶意行为者越来越能够针对开发人员尚未解决的安全漏洞。
那么,有什么解决办法呢?
首先,企业最好采用主动方法来识别和解决漏洞,预防是比治疗更实用的解决方案,保持被动的团队将始终处于后发制人的状态,这就是网络犯罪分子所依赖的实时问题与“太少、太晚”修复之间的脱节。
每个大型企业都应该有一个专门的网络安全专业人员团队,他们的重点是识别、修复和修补安全漏洞或缺陷。这些安全工作应该尽可能在开发前期准备。
其次,具有安全意识的开发人员团队对于任何组织来说都是隐藏的宝藏。赢得开发人员关注安全性并将安全编码视为代码质量的基础,需要在整个组织范围内承诺将安全放在首位。当整个团队在编写代码时在消除常见漏洞方面发挥积极影响时,还有什么工具能与之竞争?
问题在于,多数开发人员认为可以查找代码安全的静态代码检测工具过于麻烦,增加过多的工作量。但随着技术的发展与进步,存在一些安全可信的静态代码检测工具可以在帮助开发人员查找问题的同时保证开发效率,降低修复安全漏洞的成本。根据IBM的一项研究,在发布后的代码中修复漏洞的成本是在开始时发现和修复漏洞的30倍。
最后,企业应该强化网络安全意识,做好网络安全诊断,在发生网络安全风险时及时做出响应,减少网络系统受到的损害,同时有利于降低未来的安全风险。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?id=e1823af31bf842d692e6a8765d6d4764
https://www.darkreading.com/attacks-breaches/modern-security-breaches-demand-diligent-planning-and-executive-support