2019年軟體安全趨勢前瞻
過去一年,從 Facebook 資料洩露事件、幣圈頻發的網路攻擊,到知名酒店集團的資訊洩露,讓越來越多的企業意識到他們在防範潛在威脅和新型攻擊媒介方面的投資還遠遠不夠。他們也愈加關注安全 方面的趨勢,防患於未然,以保護投資回報。
近年來,雲端計算、人工智慧(AI)、機器學習(ML)、物聯網(IoT)和大資料在很大程度上推動了企業運營方式的演變。值得一得的是,所有這些技術都是由軟體驅動的。有鑑於此,防止和減少軟體漏洞以維持企業健康發展至關重要。
為了更好地推動軟體安全的發展,讓我們來參考一下新思科技軟體質量與安全部門 (Synopsys SoftwareIntegrity Group) 的預測。這些預測將有助於企業保持警惕,最大限度地減少軟體安全風險。
設計和標準的安全性
大部分軟體仍然主要是在沒有正式標準和流程的情況下編寫的。與構建橋樑不同,軟體開發並不是標準化、可重複的工作。開源持續了很長時間,現在已經司空見慣。可以想象,更多的信任將放在基於開源軟體的通用構建模組中。此外,垂直領域軟體開發標準將更快出現。
當生命依賴於正確的軟體執行時,我們會將更多的努力放在標準、可審計性和問責制上,這一點在汽車和飛機內的安全關鍵系統上已經得到充分證實。這些標準可能是自下而上的,也可能是由政府監管的。金融服務、區塊鏈以及移動解決方案安全性等領域也有機會執行這樣的標準。
2019 年,我們可能看到垂直市場組成聯盟,以建立更多面向特定領域的安全標準,並改善信任和互換性。其中大部分可以基於開源元件構建。
繼續向雲遷移
隨著經濟的增長,各大企業也面臨著新的競爭壓力。這迫使企業需要重新武裝自己。數字化如火如荼,新的雲環境也正在改變企業部署 APP 的方式。因此,企業需要在 APP 應用和軟體安全方面保持警惕。
我們預計將會有更多投資會放在雲端安全上。此外,給員工普及應用安全和軟體安全的概念以及這方面的培訓需求也會越來越多。
AI 和 ML 滲入到我們生活
很多人會意識到 AI 和 ML 已經在他們周圍出現,對生活、家庭、健康及工作的決策等都有影響。
那 AI/ML 能為軟體安全和網路安全做什麼呢?這讓人期待。網路安全很重要的一部分是資料關聯和分析。這就需要具備基於多個不同的資料來源(猶如海底撈針)來查詢單個威脅和威脅活動以及執行威脅行動者歸因的能力。
AI/ML 可以通過資料建模和模式識別來提高以上過程的速度、規模和準確性。然而,很多刊出的文章都對此表示懷疑和擔憂。有的時候,企業可能會有一種安全的假象,但是事實並非如此。我們還需要更多時間和投入完善資料模型和模式識別,以確保 AI/ML 技術能夠有效提升軟體安全。
我們應該期待看到大公司繼續投資 AI/ML 技術。與此同時,宣傳 AI/ML 能力的初創企業也將在 2019 年繼續崛起。但是,可能還需要幾年時間才能完全實現 AI/ML 的真正願景。
IoT 攻擊仍然是一個困擾
在亞太地區,許多國家正在推進智慧城市和智慧國家計劃。這也為新一輪的 IoT 網路攻擊提供了機會。不法分子可以利用資料中毒進行攻擊,其中的錯誤資訊將通過部署在目標城市或全國範圍內的感測器影響決策。
我們還將看到一些舊問題仍然存在:硬編碼憑證和未修補的元件,沒有良好設計的空中下載技術 (OTA) 更新以及持續更新策略。
針對醫療和零售業的攻擊將增多
原因是這些行業正在收集的資料的價值正在增加。我們必須進行投資以保護醫療、零售及其他行業的資料。需要再次強調的是:安全培訓必不可少。
對開發人員使用第三方應用程式程式設計介面 (API) 的敏感性提高
它是絕大多數 IT 企業的盲點,類似於十年前的開源使用。大多數公司都瞭解確保他們釋出的 API 免受外部攻擊的重要性,但很少有公司會通過從內到外呼叫第三方 API 來跟蹤他們自己的程式碼在 Web 服務的使用。
依賴第三方服務的方式還存在其它法律和業務風險。公司還必須考慮到他們可能無意中傳遞到防火牆外的未知和不受信任來源的機密資料。
從資料到決策
現在有許多質量和安全解決方案,每個都有自己的目的、優勢和產生的資料。可能是滲透測試、日誌監控和入侵檢測,或自動化軟體安全測試解決方案。雖然功能和技術不斷髮展,但它們也會創造出更多的資訊和資料點。
我們很容易淹沒在資訊海洋中,而忽視了一些必需品。其實,關鍵是將這些資料融合在一起,以制定基於風險和業務的決策。一方面,我們面臨的挑戰在於「海底撈針」;另一方面,我們需要組合來自不同方法和域的資料,以瞭解整體狀態。
2019 年,我們需要的並不是更多資料,而是更好的決策支援。
總結
2019 年,軟體將繼續在我們的日常生活和工作中發揮越來越重要的作用。我們需要工具和支援將安全性貫穿到整個軟體開發週期、公司文化和業務流程的各個方面,從而確保公司更快地構建安全、高質量的軟體。