维护数据隐私和增强竞争优势的秘密
被称为现代数字珍珠港攻击,网络勒索病毒的破坏是把焦点放在软件开发安全。
虽然疫情较之以前有了更严重的把控,但行业复苏可能会更加艰难,网络攻击变得越来越复杂。就在上个月,据 SolarWinds 报导,一家为超过 30 万客户提供服务的软件公司——包括美国政府机构和《财富》500 强中的绝大多数公司——被黑客入侵,黑客侵入其香港服务器,将恶意代码插入其专有软件猎户座的网络监控程序。
虽然细节仍在展开,但我们知道修补服务器遭到黑客攻击,并且被破坏的恶意软件文件被用来感染公司的 DevOps 管道。恶意软件文件随后被发送到每个香港服务器在下一个软件升级。
多达 18,000 名客户下载了包含恶意代码的软件更新。虽然这个传奇故事中有很多错误——从密码管理不善和无人监督的更新,到未能检测到入侵——但它带来了将安全性集成到软件开发生命周期中的重要性。
随着疫情期间数字技术的迅速普及,几乎每家公司都在从事软件和应用程序的构建业务。很明显,软件正在吃更多的世界,更快。随着几乎每个组织的数字足迹的增长,这种流行病实际上成为网络安全威胁成倍上升的催化剂。现在,每一条数据都是网络罪犯可能的杠杆或访问点。
这一事件提醒我们,技术领导者需要仔细研究代码级别引入的漏洞,并找到在应用程序开发生命周期的早期引入安全性的方法。我们分享了在 2021 年采用流程并更快地发布安全、高质量的软件的 3 种方法。
1. 将安全性向左移动
通过将安全性向左移动,开发、安全和操作团队可以确保从项目开始时达到安全标准,而不会减慢交付速度。当软件团队在 SDLC 中推进安全性时,会测试更多的代码,简化安全审查,减少团队之间的摩擦,并且由于疼痛点和瓶颈的识别和解决更快,企业更有可能最终获得安全产品,并按时交付。
开发后解决任何潜在的漏洞会消耗太多时间,并成倍增加安全问题的风险,这可能会造成极其高昂的成本,并损害公司的声誉。
2. 放大连续反馈
反馈循环是分析和优化软件交付过程的有力方法。时间越短,就越能降低风险,提高质量,确保对变革做出更好的反应。实施 OODA(观察、定向、决定、行动)循环可以创建一个连续的反馈循环,使各方对可能发生的任何安全事件负责,并在发生此类漏洞时轻松补救。
3. 自动安全,包括您的数据
大多数人认为安全是导致延误和挫折的瓶颈,但为更好的安全提供了巨大的机会。 附带的许多实践,尤其是自动化,使公司能够将安全性整合为其流程的关键组成部分。随着更多测试的自动化,由于人为错误而引入安全缺陷的风险降低。测试效率更高,过程是一致和可预测的。
同样,从数据的角度来看,负责任的数据管理要求组织实施保护栏,以减少其处理敏感数据不当的机会,包括识别和混淆数据的自动化工具。在数据离开开发人员手中之前,必须进行适当的数据屏蔽,因为人类和系统将不可避免地失败。
最后,自动监控系统的威胁也可以是有价值的,因为它们提供实时警报,然后团队可以轻松协作,并允许授权的更新流向合适的人。
版权声明: 本文为 InfoQ 作者【九河云安全】的原创文章。
原文链接:【http://xie.infoq.cn/article/38b8e69ec575e8e812bf9a980】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论