新思科技解讀2023年軟件安全行業(yè)六大趨勢
數(shù)字化轉型如火如荼,負責網(wǎng)絡安全和風險管理的團隊也肩負起更多責任。同時,遠程辦公以及云上的數(shù)字業(yè)務運營也給帶來了新威脅。
本文引用地址:http://m.butianyuan.cn/article/202301/442310.htm
提升網(wǎng)絡安全或者軟件安全已經(jīng)不再是單純的技術挑戰(zhàn),自上而下的安全意識和文化也不可或缺。2023年,安全威脅形式依然復雜,軟件供應鏈風險愈加受到關注。在數(shù)字經(jīng)濟時代,軟件安全與客戶信任及業(yè)務增長之間的關聯(lián)度更高,因為軟件風險已經(jīng)等同于業(yè)務風險。新年伊始,新思科技與大家分享觀察到的行業(yè)趨勢,希望能夠幫助企業(yè)推動數(shù)字化轉型或者制定軟件安全計劃的時候,做出更加明智、有針對性的決策。
1. 企業(yè)開始投資安全預防控制措施
新思科技軟件首席科學家Sammy Migues指出:“企業(yè),尤其是董事會及內(nèi)部風險管理委員會發(fā)現(xiàn)僅依靠偵查性控制去識別已存在的風險已經(jīng)不足以抵抗各類攻擊,比如惡意軟件、勒索軟件、漏洞利用或其它安全攻擊。他們開始投資預防性控制措施?!?/span>
董事會或者企業(yè)高層決策者參與到軟件安全計劃,有助于將安全文化定位于企業(yè)數(shù)字化發(fā)展戰(zhàn)略的重要位置。DevOps 和 DevSecOps 是企業(yè)文化變革。能將安全貫穿在業(yè)務中的企業(yè)可以更好地應對網(wǎng)絡安全挑戰(zhàn),更有機會獲得持續(xù)的業(yè)務增長。
2. 虛擬現(xiàn)實里的安全威脅真實存在
新思科技軟件質(zhì)量與安全部門高級安全工程師Boris Cipot表示:“近年來,數(shù)字化已經(jīng)成為重要議題。每家企業(yè)都可以說是軟件企業(yè),或者依賴于軟件運營。傳統(tǒng)的硬件廠商也開始采取‘軟硬兼施’的策略。比如在工業(yè)自動化企業(yè),可編程邏輯控制器(PLC)這樣的硬件部件開始轉向在計算機系統(tǒng)上運行的虛擬化軟件。虛擬現(xiàn)實、增強現(xiàn)實或者元宇宙是更高水平的數(shù)字化體現(xiàn)。物聯(lián)網(wǎng)(IoT)或者說萬物互聯(lián)(IoE)發(fā)展將給我們的日常生活帶來更多變化。但無論如何,這些技術或者設備都必須把一件事情做好,那就是安全。”
現(xiàn)在黑客攻擊或者漏洞利用依然普遍,危及到廠商和最終用戶。明年及未來幾年,IoE技術會進一步發(fā)展,與其有關的安全技術概念也將產(chǎn)生。很多不符合規(guī)定標準的設備將被淘汰或者禁用。
3. 產(chǎn)品安全問責制度更加明確
新思科技軟件質(zhì)量與安全部門技術總監(jiān)兼首席設計師Michael White表示:“許多國家和地區(qū)已經(jīng)頒布或者正在制定法律法規(guī)以落實安全責任,比如美國EO 14028行政命令、歐盟 CRA條例以及英國 PSTI法案等。企業(yè)領導層必須簽名,以表明他們已經(jīng)采取了一切必要措施以確保產(chǎn)品的安全開發(fā),并提供持續(xù)的支持,例如:在指定的生命周期內(nèi)進行監(jiān)控以及持續(xù)的漏洞響應(例如推出補丁)?!?/span>
此外,由于每家企業(yè)都處在供應鏈之中,而且大部分是位于中間環(huán)節(jié)。這意味著不僅要在企業(yè)內(nèi)部,還要要求外部供應商或合作伙伴提供可信證明,以支持產(chǎn)品安全開發(fā)。更高的透明度是必不可少的。在創(chuàng)建軟件物料清單(SBOM)的同時,還需要一整套監(jiān)管制度,掌握使用了哪些工具、執(zhí)行了哪些測試等信息。為此,很多公司開始成立開源項目辦公室(OSPO),以更高效地管理軟件供應鏈安全。
4. 從安全平臺到開發(fā)平臺
新思科技軟件質(zhì)量與安全部門AppSec客戶經(jīng)理Gunnar Braun指出:“關于應用安全平臺的討論熱度不減。開發(fā)人員通過這些平臺,為軟件開發(fā)生命周期(SDLC) 中越來越多的 AppSec 工具編排掃描和整合結果。相信在2023年依然如此。同時,我們也看到了對AppSec 工具的需求正在攀升,以將其集成到 GitHub 等開發(fā)平臺中?!?/span>
5. 軟件定義浪潮席卷汽車業(yè)
新思科技首席汽車安全策略師Dennis Kengo Oka表示:“2023 年,汽車業(yè)對網(wǎng)絡安全的需求將持續(xù)增加,因為車輛開發(fā)更多地轉向‘軟件定義汽車’。汽車業(yè)正在部署更先進和更復雜的解決方案,包括自動駕駛,不僅涉及車輛本身,還涉及后端系統(tǒng)和用戶的移動設備。 這種汽車生態(tài)系統(tǒng)的攻擊面自然也會隨之增加。因此,汽車業(yè)必須繼續(xù)遵循最佳實踐和網(wǎng)絡安全標準,不僅面向車輛開發(fā),而且覆蓋整個汽車生態(tài)系統(tǒng)。 特別是在軟件開發(fā)方面,汽車廠商采用更敏捷開發(fā)方式,更快進行開發(fā)和更早執(zhí)行測試,以盡早發(fā)現(xiàn)和修復缺陷。持續(xù)監(jiān)控安全漏洞的需求也正變得越來越多?!?/span>
6. ASOC將發(fā)揮越來越關鍵的作用
新思科技中國區(qū)軟件應用安全業(yè)務總監(jiān)楊國梁表示:“應用安全編排和關聯(lián)(ASOC)是AppSec解決方案的一個環(huán)節(jié),通過工作流自動化來簡化漏洞測試和修復工作。其最重要的優(yōu)勢在于能夠提高DevSecOps的效率。產(chǎn)品迭代的速度越來越快,這一點在2023年也依然不會改變。敏捷開發(fā)需要更快的速度和更有效的工具。但如何對資源和修復活動進行高效管理給安全團隊帶來了巨大的挑戰(zhàn)。ASOC 則在幫助應對這些挑戰(zhàn)方面發(fā)揮著關鍵作用:改進資源分配、集中式漏洞管理、更好地了解風險、連續(xù)和自動掃描以及自動化AppSec流程。隨著對安全團隊的要求不斷增多,越來越多的安全漏洞將使得安全和開發(fā)團隊負載過重, ASOC無疑將在緩解該負載方面發(fā)揮越來越關鍵的作用?!?/span>
評論