主动保护:利用国家网络安全战略进行高级威胁预防
这篇文章最初是作为福布斯技术委员会的一部分出现的。它已被更新并在此转发。
你认为在2022年有多少数据记录被泄露?如果你猜测在5亿左右,那你就猜对了。根据公开的违规数据,仅去年就有约480,014,323条记录被盗,但这个数字可能要大得多。在任何情况下,对于普通公民来说,这是一个令人清醒的统计数字,对于任何企业安全专业人员来说,这也是一个令人深切关注的问题。
我们已经到了这样一个地步:发达国家的大多数人可能已经看到他们的一些个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界各国政府正在寻找解决方案,以阻止这种破坏性的在线犯罪活动。拜登政府以《国家网络安全战略》的形式发布了最新的内容,我正以极大的兴趣关注着。该战略包括围绕我最近最喜欢的话题之一的指令:安全问责制。
该战略是在CISA网络安全和基础设施安全总监Jen Easterly的一次开创性演讲后发布的,可以理解它在安全界引起了一些分歧。然而,我相信它代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。
供应商本应一直 为不安全的软件负责。
几十年来,在软件安全方面,问责制是一个烫手的山芋,没有哪个团队会去玩这个游戏。高管和团队往往对谁是软件安全的最终责任人有强烈的分歧,来自Venafi的一份报告显示,97%的高级IT主管同意软件构建过程不够安全,但对谁是实现安全最佳实践的最终责任人却存在分歧。61%的高管表示,IT安全团队应该承担起软件安全的责任,而31%的人表示这应该是开发团队的责任。而这只是问题的一部分:软件构建中的开源和第三方商业组件问题是攻击面的不断扩大。即使在AppSec和安全团队之间,也很少有一个明显的 "所有者",尽管在更新、监控和测试方面需要持续保持警惕。
这项调查还表明,尽管在谁应该对软件安全和完整性负责的问题上存在内部冲突,但94%的高管认为应该对那些未能保护其构建管道免受威胁者影响,并将客户和最终用户置于风险之中的软件供应商进行处罚。
最近,Uber的CISO因其对2016年毁灭性网络攻击的管理不善而被起诉,以及GDPR等监管举措,我们慢慢看到那些通过降低安全优先级来玩火的供应商的风险在增加。然而,这根本是不够的。我们正在输掉与网络犯罪分子的战斗,虽然这是一颗难以吞咽的药丸,但正是软件供应商的宽松做法为他们提供了无限的机会,让他们茁壮成长。
国家网络安全战略旨在划清界限,通过将不安全软件的全部责任分配给供应商来停止循环指责游戏。
让我们来看看:
战略目标3.3--转移不安全软件产品和服务的责任:
"太多的供应商 "无视安全开发的最佳实践,用不安全的默认配置或已知的漏洞来运送产品,并整合未经审核或来历不明的第三方软件。
我们必须开始将责任转移到那些未能采取合理预防措施以确保其软件安全的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有的漏洞。"
这可以理解为激怒了一些人。但是,正如大多数行业的标准和法规发展中的其他决定性时刻一样,这是中期的痛苦,以确保更好的长期结果。作为一个软件供应商,当涉及到安全问题时,责任必须由我们来承担是有道理的。这是我们的构建管道、我们的流程和我们的质量控制,如果我们失误了,那么我们就有责任进行补救。
此外,我们应该在一个地方寻求创建尽可能高的质量的软件,而安全编码必须是定义成功结果的指标的一部分。在这个不惜一切代价注重速度的世界里,实现这一目标是一个很高的要求,但这取决于指导我们未来的安全领导人,以确保软件创建过程中的每个人都得到充分的培训,以便在他们的角色范围内提供安全最佳实践,特别是开发人员。
我们仍然缺乏对长期最佳做法的指导。
战略目标3.3确实参考了成熟的NIST安全软件开发框架作为其一般最佳实践的基础,这些是全面的、包罗万象的准则。他们确实明确指出需要 "确保组织的人员、流程和技术准备好在组织层面上进行安全软件开发",但对于安全意识经理在选择启用解决方案时应注意的因素并没有特别的规定。
为了使该方法真正具有变革性,应将开发人员视为安全计划的组成部分,并给予一切机会来提高他们的技能并分担检测和根除漏洞的责任。如果没有超级相关的上下文学习和工具,他们就无法以可衡量的方式实现这一目标,如果这被认为是年度合规性工作,而不是持续的技能发展途径,他们也无法实现。
当涉及到破解安全之谜时,开发人员是一块强大的拼图,而一个具有安全技能的开发人员团队基本上是大多数组织中缺少的成分。他们使安全的速度成为可能,但只有当时间和资源被用于在团队中解锁的时候。在此之前,世界上所有的一般最佳实践指南都将无法起到推动作用。
通往软件安全涅槃的漫长道路。
拜登政府已经承诺为CISA提供30亿美元的资金,目的是实现整个关键基础设施的快速恢复能力。虽然来自政府最高层的资金和支持是至关重要的,但我们要想有机会挫败威胁者,就必须在全球范围内推动改写安全文化的故事。
前面的路还很长,但它始于每个软件供应商在组织层面向安全责任迈出勇敢的第一步。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
主动保护:利用国家网络安全战略进行高级威胁预防
这篇文章最初是作为福布斯技术委员会的一部分出现的。它已被更新并在此转发。
你认为在2022年有多少数据记录被泄露?如果你猜测在5亿左右,那你就猜对了。根据公开的违规数据,仅去年就有约480,014,323条记录被盗,但这个数字可能要大得多。在任何情况下,对于普通公民来说,这是一个令人清醒的统计数字,对于任何企业安全专业人员来说,这也是一个令人深切关注的问题。
我们已经到了这样一个地步:发达国家的大多数人可能已经看到他们的一些个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界各国政府正在寻找解决方案,以阻止这种破坏性的在线犯罪活动。拜登政府以《国家网络安全战略》的形式发布了最新的内容,我正以极大的兴趣关注着。该战略包括围绕我最近最喜欢的话题之一的指令:安全问责制。
该战略是在CISA网络安全和基础设施安全总监Jen Easterly的一次开创性演讲后发布的,可以理解它在安全界引起了一些分歧。然而,我相信它代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。
供应商本应一直 为不安全的软件负责。
几十年来,在软件安全方面,问责制是一个烫手的山芋,没有哪个团队会去玩这个游戏。高管和团队往往对谁是软件安全的最终责任人有强烈的分歧,来自Venafi的一份报告显示,97%的高级IT主管同意软件构建过程不够安全,但对谁是实现安全最佳实践的最终责任人却存在分歧。61%的高管表示,IT安全团队应该承担起软件安全的责任,而31%的人表示这应该是开发团队的责任。而这只是问题的一部分:软件构建中的开源和第三方商业组件问题是攻击面的不断扩大。即使在AppSec和安全团队之间,也很少有一个明显的 "所有者",尽管在更新、监控和测试方面需要持续保持警惕。
这项调查还表明,尽管在谁应该对软件安全和完整性负责的问题上存在内部冲突,但94%的高管认为应该对那些未能保护其构建管道免受威胁者影响,并将客户和最终用户置于风险之中的软件供应商进行处罚。
最近,Uber的CISO因其对2016年毁灭性网络攻击的管理不善而被起诉,以及GDPR等监管举措,我们慢慢看到那些通过降低安全优先级来玩火的供应商的风险在增加。然而,这根本是不够的。我们正在输掉与网络犯罪分子的战斗,虽然这是一颗难以吞咽的药丸,但正是软件供应商的宽松做法为他们提供了无限的机会,让他们茁壮成长。
国家网络安全战略旨在划清界限,通过将不安全软件的全部责任分配给供应商来停止循环指责游戏。
让我们来看看:
战略目标3.3--转移不安全软件产品和服务的责任:
"太多的供应商 "无视安全开发的最佳实践,用不安全的默认配置或已知的漏洞来运送产品,并整合未经审核或来历不明的第三方软件。
我们必须开始将责任转移到那些未能采取合理预防措施以确保其软件安全的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有的漏洞。"
这可以理解为激怒了一些人。但是,正如大多数行业的标准和法规发展中的其他决定性时刻一样,这是中期的痛苦,以确保更好的长期结果。作为一个软件供应商,当涉及到安全问题时,责任必须由我们来承担是有道理的。这是我们的构建管道、我们的流程和我们的质量控制,如果我们失误了,那么我们就有责任进行补救。
此外,我们应该在一个地方寻求创建尽可能高的质量的软件,而安全编码必须是定义成功结果的指标的一部分。在这个不惜一切代价注重速度的世界里,实现这一目标是一个很高的要求,但这取决于指导我们未来的安全领导人,以确保软件创建过程中的每个人都得到充分的培训,以便在他们的角色范围内提供安全最佳实践,特别是开发人员。
我们仍然缺乏对长期最佳做法的指导。
战略目标3.3确实参考了成熟的NIST安全软件开发框架作为其一般最佳实践的基础,这些是全面的、包罗万象的准则。他们确实明确指出需要 "确保组织的人员、流程和技术准备好在组织层面上进行安全软件开发",但对于安全意识经理在选择启用解决方案时应注意的因素并没有特别的规定。
为了使该方法真正具有变革性,应将开发人员视为安全计划的组成部分,并给予一切机会来提高他们的技能并分担检测和根除漏洞的责任。如果没有超级相关的上下文学习和工具,他们就无法以可衡量的方式实现这一目标,如果这被认为是年度合规性工作,而不是持续的技能发展途径,他们也无法实现。
当涉及到破解安全之谜时,开发人员是一块强大的拼图,而一个具有安全技能的开发人员团队基本上是大多数组织中缺少的成分。他们使安全的速度成为可能,但只有当时间和资源被用于在团队中解锁的时候。在此之前,世界上所有的一般最佳实践指南都将无法起到推动作用。
通往软件安全涅槃的漫长道路。
拜登政府已经承诺为CISA提供30亿美元的资金,目的是实现整个关键基础设施的快速恢复能力。虽然来自政府最高层的资金和支持是至关重要的,但我们要想有机会挫败威胁者,就必须在全球范围内推动改写安全文化的故事。
前面的路还很长,但它始于每个软件供应商在组织层面向安全责任迈出勇敢的第一步。
