这篇文章的一个版本发表在 Infosecurity杂志.它已被更新并在此转发。

‍

在过去的两年里，对每个人来说都是一次火的洗礼，但大多数组织的网络安全蓝图受到了考验，因为我们中的许多人几乎在一夜之间就被扔进了远程工作模式。作为一个行业，我们真的必须提高警惕和适应，特别是在绝望的威胁者导致自大流行病开始以来网络犯罪报告激增300%之后。

我们都吸取了一些教训，我感到欣慰的是，不仅一般的网络安全得到了重视，代码级的软件安全和质量也得到了重视。拜登关于确保软件供应链安全的行政命令让人们看到了关键问题，尤其是在SolarWinds大规模漏洞事件之后。我们都需要更加关注安全问题，并 努力通过可衡量的安全意识来减少漏洞，这种想法无疑是对话中的一个重要部分。

也就是说，在与网络犯罪分子作斗争时，我们需要尽可能地与他们保持同步，以预防的心态抢占他们的游戏场地。 

这里是我认为他们在未来一年可能开始掀起波澜的地方。

元域是一个新的攻击面

元空间可能是互联网的下一个演变，但在大多数行业对待软件和数字环境安全的方式上，类似的转变还没有实现。 

虽然像网络钓鱼诈骗这样的一般网络安全隐患将不可避免（而且在每个人都在寻找他们的脚步的时候，可能会有很多），但使这种沉浸式虚拟世界成为可能的实际基础设施和设备将需要是安全的。与智能手机帮助我们在线生活的方式类似，像VR头盔这样的外围设备是通往用户数据山的新门户。越来越复杂的嵌入式系统安全需要使物联网小工具安全，主流VR/AR的勇敢新世界也不例外。正如我们在Log4Shell漏洞中看到的那样，代码层面的简单错误可以成为威胁者的后台通行证，而在模拟现实中，每一个动作都会产生可以被窃取的数据。  

虽然处于起步阶段，但一个成功的元空间将需要实际采用加密货币（而不是随意囤积最新的纪念币），以及像NFT这样的价值项目，这意味着我们现实生活中的财富、身份、数据和生计有可能被开放给一个新的 "狂野西部"，从而使人们处于危险之中。在我们的工程师开始疯狂地开发史诗般的功能和增强功能之前，从头开始将这个新的、巨大的攻击面最小化应该是一个优先事项。

Log4Shell事件后的立法

对于那些陷入混乱，争相寻找是否有任何可利用的广泛使用的Log4j日志工具版本的实例或与之相关的依赖关系的数十名开发人员来说，我不认为假日期间会是一个快乐的时刻。 

这个零日攻击是有史以来最糟糕的攻击之一，人们将Log4Shell与毁灭性的Heartbleed OpenSSL漏洞相提并论，后者在6年后仍在被人利用。如果这条时间线是什么，我们将在未来很长一段时间内处理Log4Shell的宿醉问题。很明显，即使从Heartbleed中吸取了教训--至少在需要尽快推出和实施补丁方面--许多组织仍然没有足够快的行动来保护自己。根据公司的规模，打补丁可能是令人难以置信的困难和官僚主义，需要跨部门的文件和实施。很多时候，IT部门和开发人员对所有正在使用的库、组件和工具没有百科全书式的了解，并且被严格的部署时间表所束缚，以尽量减少中断和应用程序的停机时间。这种工作方法有其合理的理由（阅读：没有人想在工作中扔一个扳手，破坏一些东西），但打补丁太慢就是坐以待毙。

正如SolarWinds攻击事件改变了软件供应链的游戏规则一样，我预测在Log4Shell事件之后也会发生类似的情况。虽然在一些关键行业已经有补丁管理的授权和建议，但广泛的立法是另一回事。预防性的软件安全将永远是我们完全避免紧急安全补丁的最好机会，但安全的最佳实践决定了补丁是一个不可商量的优先措施。我认为这将是一个热门话题，并导致不那么隐晦的建议，即快速和经常打补丁。 

更加强调架构安全（而开发者还没有准备好）。

新的OWASP Top 10 2021有一些重要的新成员，以及一个令人惊讶的现象，即注入漏洞从第一的位置下降到一个低的第三位。这些新增加的内容说明了开发人员在安全编码和安全最佳实践方面的 "第二阶段"，可悲的是，除非经过适当的培训，否则大多数人都没有能力对降低风险产生积极的影响。

我们已经知道，如果我们要打击代码中常见的安全漏洞，开发人员必须具备安全技能，而且组织对开发人员驱动的预防前提做出了更好的反应。然而，随着不安全设计在OWASP的前十名中占据一席之地，并且成为架构安全问题的一个类别，而不是单一类型的安全漏洞，开发人员一旦掌握了这些基础知识，就需要被推动到更高的水平。涵盖威胁建模的学习环境--最好是在安全团队的支持下--在开发人员成功提高技能后，可以减轻严重的压力，但就目前而言，这对大多数软件工程师来说是一个重要的知识差距。

对抗这种情况 "需要一个村庄"，而组织可以在为开发者创造积极的安全文化方面发挥作用，在不对他们的工作流程造成重大干扰的情况下吸引他们的好奇心。