共计 1820 个字符,预计需要花费 5 分钟才能阅读完成。
依据美国国家破绽数据库(NVD)数据显示,安全漏洞的数量在过来 22 年内处于继续减少的状态。
图片起源:NVD
随着安全漏洞数量的继续递增,以及近几年内大型安全漏洞事变的产生,让越来越多的企业意识到破绽治理打算的重要性。企业也开始加倍增强破绽治理,确保其免受歹意攻打。为了寻找下一个重大破绽,歹意攻击者对以后已知破绽放弃亲密跟踪。因而企业须要比黑客先行一步,通过破绽治理流程来检测和修复零碎中的安全漏洞。
继续更新破绽治理打算
破绽治理打算并不是一个新兴的概念,但在信息科技高速倒退的时代背景下,动静软件开发生态系统和一直变动的威逼局势迫使企业将破绽治理流程保护至最新状态,确保在任何工夫呈现的破绽威逼或攻打下可能保障企业零碎和软件平安无虞。
破绽治理打算通常包含检测、优先级策略、修复和报告。 治理打算中的每一个步骤都须要不断更新,来应答新的环境和平安危险,也保障开发和平安团队的工作流程轻松且麻利。让咱们顺次来看破绽治理打算的每个步骤,看看企业该当如何对未知的平安威逼和危险做好应答筹备。
破绽检测:自动化是要害
大部分企业的强制性破绽治理打算次要依赖于扫描工具。平安团队强制性执行每月 / 季度的配置审计和网络扫描工作,并产生一系列简短的审计扫描报告。尽管企业投入大量的工夫来尝试验证和解决所有报告的破绽危险和危险,但因为破绽数量过于宏大,企业无奈彻底解决所有威逼和危险。
鉴于一直倒退的开发生态系统、快节奏的开发需要以及已知安全漏洞数量的减少,企业须要采纳一种新的破绽识别方法,以及实用于各种零碎和平台的主动扫描工具。
为了更好高空对将来的平安挑战,企业须要明确理解正在应用的软件组件和平台是什么,以及是否蕴含新发现的破绽。这须要大量工具来继续跟踪开发环境、产品中的组件、可操作的数据和无关破绽的倡议。
跟踪所有层面的破绽治理打算
除了爱护传统的网络基础设施外,企业还须要确保他们可能无效地扫描更宽泛的攻击面,包含云服务和容器等动静资产,以及非常容易受到攻打的数据库层,和须要 SAST 和 DAST 工具的应用层。
此外,开源组件是开发人员在进行开发工作时的重要组成部分,并失去了一个沉闷的社区的反对,该社区尽最大致力发现并为我的项目中的破绽创立修复程序。想要面对以后和将来威逼的组织必须包含治理开源组件及其危险的专用自动化工具,除了传统的 SAST 和 DAST 工具,企业也须要配合应用软件成分剖析(SCA),为企业补充检测、监控和正告易受攻击的开源组件的能力。
执行破绽优先级策略
传统的破绽治理打算侧重于辨认和检测。然而,如果企业无差别跟踪所有层级和危险,会让企业吞没在平安警报中。并非所有破绽都须要厚此薄彼,企业不能自觉地钻研每个新发现的破绽。因而如果企业想无效放弃平安,就必须开始执行破绽优先级策略。
此外,企业能够抉择适合的破绽管理软件,来帮忙团队确定可能对组织造成最大毁坏的最大危险的破绽优先级。包含威逼情报洞察和工具,容许将破绽数据与危险的评估和修补相结合,以帮忙团队依据参数(例如对代码的影响)解决危险最高的问题。
破绽修复
在确定零碎中的哪些安全漏洞是须要关注的之后,企业就须要开始进行修复工作了。对企业而言,制订补丁治理规定,确认及时无效的测试方法,以及确保受到影响的区域利用正确的补丁是至关重要的。
好的破绽治理解决方案可能帮忙企业依据破绽优先级疾速解决平安威逼,并且确保对应修复失去验证,不会毁坏构建,且不会烦扰其余组件和流程。同时,破绽修复解决方案该当与所有团队(开发人员、平安和 DevOps)放弃同步,从而使整个破绽治理过程顺利运行。
报告和 SBOM:破绽治理的重要组成部分
2021 年 7 月,美国国家电信和信息管理局(NTIA)公布了软件物料清单(SBOM)所需的最低因素,以进步技术供应商和政府客户的软件供应链可见性和透明度。这一要求进一步强调了将报告(Reporting)作为全面破绽治理打算重要组成部分的必要性。而 SBOM 可能轻松反映软件健康状况,并能够用于继续辨认和解决供应链破绽危险,保障软件开发生态系统的平安。
总 结
在将来,破绽治理无望集成新的自动化解决方案,帮忙企业在不就义麻利或效率的状况下治理平安危险。而继续跟踪软件开发生态系统(包含软件供应链),执行优先级策略,且对破绽进行无效修复和及时生成残缺报告的企业,可能更轻松高效地进行软件公布,并且在将来的市场竞争中怀才不遇。
参考链接:
https://www.mend.io/resources…
