网络安全行业分析。我们必须纠正的另一个反复出现的漏洞
这篇文章的一个版本出现在 帮助网络安全.它已被更新并在此转发。
我的职业生涯中一直在寻找、修复、讨论和分解软件漏洞,以这种或那种方式。我知道,当涉及到一些常见的安全漏洞时,尽管自90年代以来就在我们的轨道上,但它们仍然困扰着我们的软件并导致重大问题,尽管(通常是简单的)修复方法几乎已经知道了同样的时间长度。这真的感觉像土拨鼠日,我们作为一个行业似乎一遍又一遍地做着同样的事情,却期待着不同的结果。
然而,还有一个小问题。我们没有得到现实的建议,也没有得到最快的解决方案,来对抗现代网络安全的不间断冲击。当然,每个漏洞都有自己的不同之处,而且有许多攻击载体可以在脆弱的软件中被利用。可行的通用建议将是有限的,但最佳实践方法看起来越发有缺陷了。
为此,我不得不怀疑,为什么围绕网络安全的这么多评论和分析都忽略了真正解决这么多漏洞根源的解决方案:人类。Gartner最新的应用安全炒作周期和Forrester的2021年应用安全状况,这两本安全专家的圣经,无疑有助于形成他们的计划和潜在的产品采用,几乎完全以工具为重点。阿伯丁公司在2017年的一份报告显示,平均安全技术栈变得多么无序,CISO管理数百种产品作为其安全战略的一部分;四年后,我们正在努力应对更多的风险,更多的漏洞,以及更多的增加技术栈的野兽。
安全工具是必备的,但我们需要把眼光放宽,恢复安全防御中人的部分的平衡。
自动化是未来的趋势。我们为什么要关心网络安全的人的因素?
我们生活中几乎所有的东西都是由软件驱动的,而且自动化确实正在取代许多行业中曾经存在的人为因素。这是世界数字化进程中的一个标志,人工智能和机器学习的热门话题让许多组织着眼于未来。
那么,为什么以人为本的网络安全方法不是对技术进步问题的一种过时的解决方案?在过去的一年里,数十亿条数据记录在漏洞中被盗,包括最近的Facebook漏洞影响了超过5亿个账户,这一事实应该表明,我们没有做足够的工作(或采取正确的方法)来对威胁者进行严重反击。
网络安全工具是网络防御的一个非常需要的组成部分,而工具将永远有一个位置。分析师们在为企业减轻风险的方法中推荐最新的工具是绝对正确的,这一点也不会改变。然而,由于代码质量(以及根据定义,安全)在代码生产量方面难以管理,工具不能单独完成工作。到目前为止,还没有一个工具可以做到。
- 扫描每一种语言中的每一个漏洞:框架
- 高速扫描
- 尽量减少由假阳性和假阴性引起的重复处理。
工具可能是缓慢的、麻烦的和不方便的。然而,最重要的是,它们只能发现问题--不能解决问题,也不能推荐解决方案。后者需要安全专家,而这些专家在地面上是稀疏的,而且工作过度,在无尽的测试和扫描结果中涉足垃圾以寻找宝藏。
事实是,根据IBM网络安全情报指数报告,在所有成功的数据泄露中,人为错误起了作用。其中几乎有一半与软件漏洞直接相关,如果在SDLC的早期阶段更严格地遵守安全编码和意识,其中许多问题可以得到缓解。然而,要做到这一点,除了使其成为工作流程的内在因素外,对开发人员的教育给予更敏锐和更相关的关注是关键。
无论我们是否愿意,人类在软件开发过程中根深蒂固,而网络安全绝大多数是人类的问题。工具不会是纠正我们方法中根本缺陷的万能工具,但它们可以在重塑人类解决方案方面发挥关键的支持作用。
如果我们只是建造更好的工具(而且是大量的工具)呢?
安全工具一直在改进。SAST/DAST/IAST工具已经有了长足的进步,在速度和智能方面都有所提高,在许多应用环境中,RASP应该是一个严肃的防御性考虑。防火墙、秘密管理器、云和网络安全应用:都是不需要考虑的问题。
人类总是可以努力制造更好的工具,但创新并没有跟上我们所处的数字世界的安全和数据保护需求。在大多数情况下,工具是以机器人为中心建立的。他们可能在那里协助开发人员和安全团队扫描、监控或保护代码,但互动非常有限,而且很少有解决方案旨在提升安全意识或改善核心技能,从而导致更好的安全结果。
事实上,超过一半的企业甚至不知道这些工具是否在为他们工作,他们也没有信心可以避免毁灭性的数据泄露。这是一种非常糟糕的情绪,在一个对工具痴迷的行业中,缺乏对不同方法的支持,往往会巩固现状和里面的问题。
一个组织如何利用以人为本的安全方法?
毫无疑问,在应用安全技术方面保持领先的趋势是有益的,甚至可以帮助优先升级或合并臃肿的技术堆栈,但放弃针对脆弱软件的根源--我们这些普通人--将使我们在网络安全战线上处于失败的一方。
如果我们想认真地减少代码级安全漏洞的数量,那么就需要为开发人员提供成功分担安全责任的基础。他们需要相关的实践教育和在职培训,以及不会扰乱他们工作流程的功能性工具,或使安全成为开发的苦差事。理想情况下,一些工具会以开发人员为中心,以他们的用户体验为前提而构建。
时至今日,还没有针对开发人员的正式安全认证计划,但每家公司都可以从基准测试和增长安全编码技能中受益,尽早和经常地杀死常见的漏洞,在那个大的技术堆栈不得不陷入行动并减缓一切之前。
一个有安全意识的开发人员团队对任何组织来说都是一个隐藏的宝藏,但就像任何值得拥有的东西一样,它需要时间和努力来实施一个有效的梦想团队。赢得开发人员对安全的关注,并将安全编码视为代码质量的基础,需要整个组织承诺将安全放在首位。当整个团队在编写代码的过程中对消除常见漏洞产生积极影响时,地球上没有任何工具可以与之竞争。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
网络安全行业分析。我们必须纠正的另一个反复出现的漏洞
这篇文章的一个版本出现在 帮助网络安全.它已被更新并在此转发。
我的职业生涯中一直在寻找、修复、讨论和分解软件漏洞,以这种或那种方式。我知道,当涉及到一些常见的安全漏洞时,尽管自90年代以来就在我们的轨道上,但它们仍然困扰着我们的软件并导致重大问题,尽管(通常是简单的)修复方法几乎已经知道了同样的时间长度。这真的感觉像土拨鼠日,我们作为一个行业似乎一遍又一遍地做着同样的事情,却期待着不同的结果。
然而,还有一个小问题。我们没有得到现实的建议,也没有得到最快的解决方案,来对抗现代网络安全的不间断冲击。当然,每个漏洞都有自己的不同之处,而且有许多攻击载体可以在脆弱的软件中被利用。可行的通用建议将是有限的,但最佳实践方法看起来越发有缺陷了。
为此,我不得不怀疑,为什么围绕网络安全的这么多评论和分析都忽略了真正解决这么多漏洞根源的解决方案:人类。Gartner最新的应用安全炒作周期和Forrester的2021年应用安全状况,这两本安全专家的圣经,无疑有助于形成他们的计划和潜在的产品采用,几乎完全以工具为重点。阿伯丁公司在2017年的一份报告显示,平均安全技术栈变得多么无序,CISO管理数百种产品作为其安全战略的一部分;四年后,我们正在努力应对更多的风险,更多的漏洞,以及更多的增加技术栈的野兽。
安全工具是必备的,但我们需要把眼光放宽,恢复安全防御中人的部分的平衡。
自动化是未来的趋势。我们为什么要关心网络安全的人的因素?
我们生活中几乎所有的东西都是由软件驱动的,而且自动化确实正在取代许多行业中曾经存在的人为因素。这是世界数字化进程中的一个标志,人工智能和机器学习的热门话题让许多组织着眼于未来。
那么,为什么以人为本的网络安全方法不是对技术进步问题的一种过时的解决方案?在过去的一年里,数十亿条数据记录在漏洞中被盗,包括最近的Facebook漏洞影响了超过5亿个账户,这一事实应该表明,我们没有做足够的工作(或采取正确的方法)来对威胁者进行严重反击。
网络安全工具是网络防御的一个非常需要的组成部分,而工具将永远有一个位置。分析师们在为企业减轻风险的方法中推荐最新的工具是绝对正确的,这一点也不会改变。然而,由于代码质量(以及根据定义,安全)在代码生产量方面难以管理,工具不能单独完成工作。到目前为止,还没有一个工具可以做到。
- 扫描每一种语言中的每一个漏洞:框架
- 高速扫描
- 尽量减少由假阳性和假阴性引起的重复处理。
工具可能是缓慢的、麻烦的和不方便的。然而,最重要的是,它们只能发现问题--不能解决问题,也不能推荐解决方案。后者需要安全专家,而这些专家在地面上是稀疏的,而且工作过度,在无尽的测试和扫描结果中涉足垃圾以寻找宝藏。
事实是,根据IBM网络安全情报指数报告,在所有成功的数据泄露中,人为错误起了作用。其中几乎有一半与软件漏洞直接相关,如果在SDLC的早期阶段更严格地遵守安全编码和意识,其中许多问题可以得到缓解。然而,要做到这一点,除了使其成为工作流程的内在因素外,对开发人员的教育给予更敏锐和更相关的关注是关键。
无论我们是否愿意,人类在软件开发过程中根深蒂固,而网络安全绝大多数是人类的问题。工具不会是纠正我们方法中根本缺陷的万能工具,但它们可以在重塑人类解决方案方面发挥关键的支持作用。
如果我们只是建造更好的工具(而且是大量的工具)呢?
安全工具一直在改进。SAST/DAST/IAST工具已经有了长足的进步,在速度和智能方面都有所提高,在许多应用环境中,RASP应该是一个严肃的防御性考虑。防火墙、秘密管理器、云和网络安全应用:都是不需要考虑的问题。
人类总是可以努力制造更好的工具,但创新并没有跟上我们所处的数字世界的安全和数据保护需求。在大多数情况下,工具是以机器人为中心建立的。他们可能在那里协助开发人员和安全团队扫描、监控或保护代码,但互动非常有限,而且很少有解决方案旨在提升安全意识或改善核心技能,从而导致更好的安全结果。
事实上,超过一半的企业甚至不知道这些工具是否在为他们工作,他们也没有信心可以避免毁灭性的数据泄露。这是一种非常糟糕的情绪,在一个对工具痴迷的行业中,缺乏对不同方法的支持,往往会巩固现状和里面的问题。
一个组织如何利用以人为本的安全方法?
毫无疑问,在应用安全技术方面保持领先的趋势是有益的,甚至可以帮助优先升级或合并臃肿的技术堆栈,但放弃针对脆弱软件的根源--我们这些普通人--将使我们在网络安全战线上处于失败的一方。
如果我们想认真地减少代码级安全漏洞的数量,那么就需要为开发人员提供成功分担安全责任的基础。他们需要相关的实践教育和在职培训,以及不会扰乱他们工作流程的功能性工具,或使安全成为开发的苦差事。理想情况下,一些工具会以开发人员为中心,以他们的用户体验为前提而构建。
时至今日,还没有针对开发人员的正式安全认证计划,但每家公司都可以从基准测试和增长安全编码技能中受益,尽早和经常地杀死常见的漏洞,在那个大的技术堆栈不得不陷入行动并减缓一切之前。
一个有安全意识的开发人员团队对任何组织来说都是一个隐藏的宝藏,但就像任何值得拥有的东西一样,它需要时间和努力来实施一个有效的梦想团队。赢得开发人员对安全的关注,并将安全编码视为代码质量的基础,需要整个组织承诺将安全放在首位。当整个团队在编写代码的过程中对消除常见漏洞产生积极影响时,地球上没有任何工具可以与之竞争。
