安全从业者可能经常会有一种虚假的“安全感”。7个地方要改变。迁移到云端;“左移”安全(即尽可能早地在开发过程中移动安全);购买最新的XDR和作弊工具。科技和网络安全行业一直很容易受到营销炒作的影响,但这些举措真的能让企业更安全吗?或者他们只是增加了更多的复杂性?从SolarWinds攻击到MicrosoftExchange漏洞,重大黑客攻击安全专业人员如何在所有事件中睡个好觉?他们可能觉得自己在做正确的事,但他们只是怀有一种虚假的安全感吗?SaltSecurity技术布道者MichaelIsbitski表示,安全专业人员应该更加关注为这些技术提供支持的应用程序编程接口(API)的安全性。从托管内部云应用程序到依赖网关和传统补丁管理工具,传统安全方法对API安全的关注太少,而现实是API容易受到攻击者的破坏。鉴于风险太大,组织需要谦虚地接受他们对这些安全方法和工具选择过于自信的事实。组织应寻找更新其工具和流程的方法,以应对新的网络威胁形势带来的挑战。我们汇总了七项建议,以帮助安全专业人员理清部署新兴安全概念和技术时应考虑的事项。1.你构建的云应用真的安全吗?随着组织继续将其业务转移到云中,他们正在以云工作负载保护和容器安全工具的形式大量投资于为云重新设计的安全工具。此类工具可用于识别已知的易受攻击的依赖项、检测错误配置、微分段工作负载,并防止偏离已建立的安全基线。但Kubernetes等平台中未修补的漏洞和错误配置长期以来一直是攻击者的切入点,使他们能够绕过访问控制,在受感染的集群上运行恶意代码,并部署加密货币矿工。不幸的是,这种新型的云安全工具仍然无法解决大多数应用层安全问题。这些工具主要解决网络安全和基础设施安全问题,同时也使应用程序容易受到攻击。因此,公共云可能是安全的,但这并不意味着您在本地构建的应用程序是安全的。2、企业可以“左移”,但仍要“右移”。“左移”概念鼓励开发团队在软件开发生命周期(SDLC)的早期整合安全流程和工具,并传播安全专业知识。左移与DevSecOps实践密切相关,其目标是在设计、构建和部署阶段集成和自动化安全性。这种做法为许多组织带来了回报,因为他们能够更快地迭代安全性,验证从一开始就正确构建了安全性,同时降低了在SDLC后期修复漏洞的成本。但是,企业组织不能以牺牲运行时安全为代价来集体左移。开发人员永远无法编写完美的代码,也无法在发布窗口期间足够广泛地扫描代码,而扫描器旨在发现遵循清晰模式的已知漏洞或弱点。组织必须明白“左移”不仅仅意味着左移。但是,从好的方面来说,左移确实可以让开发团队更快地找到并修复很多安全漏洞。今天,新型攻击和零日漏洞层出不穷,我们仍然需要保护生产中的应用程序。许多公司应该在不牺牲运行时安全的情况下向左移动。大多数人已经意识到需要兼顾两者。3.WAF和网关不能完全保护API应用程序编程接口(API)允许简单的机器对机器通信。如今,在应用程序开发中使用API已成为一种新的实践标准。通过集成第三方服务的功能,开发者不再需要从头构建所有功能,可以加快新产品和服务的开发进程。近年来,API的使用呈爆炸式增长。据Akamai称,API通信现在占所有互联网流量的83%以上。虽然API支撑着用户习惯的交互式数字体验,是公司数字化转型的基础,但它们也为恶意黑客提供了多种访问公司数据的方式,是许多安全问题的根源。今年5月初,PenTestPartners安全研究员JanMasters发现,他可以请求Peloton的官方API,无需身份验证即可获取其他用户的隐私数据,并且用户本地设备和云服务器都处于不设防状态。这些数据包括详细的用户年龄、性别、城市、体重、运动统计数据,甚至还会泄露用户在个人资料设置页面中保密的生日等信息。除了Peloton,最近新闻中曝光的涉及API相关网络安全问题的公司还包括Equifax、Instagram、Facebook、亚马逊和Paypal。一个很大的原因是太多的企业认为Web应用程序防火墙(WAF)和API网关将保护他们的API。事实上,由于固有的设计限制,这些技术无法阻止大多数类型的API攻击,它们还会给企业带来对其API和API驱动的应用程序的安全错觉。API对每个企业都是独一无二的,针对API的现实世界攻击通常不遵循已知漏洞的明确定义模式。应对这些安全风险需要持续学习API行为并及早阻止攻击者的运行时安全性,无论攻击者使用哪种攻击技术。4.传统的补丁和漏洞管理工具无法保护API虽然补丁和漏洞管理程序可以帮助安全团队解决现成软件和组件中的安全风险,但应用程序和API安全策略的要求远不止于此。但是,为了避免成为99%的已知漏洞的受害者,组织选择在修补和漏洞管理方面投入大量资源。它们通常作为常见漏洞和披露(CVE)进行跟踪,这是一种有用的分类法,用于对已发布的软件或硬件中定义明确的漏洞进行分类。然而,这种方法根本无法捕获企业在构建或集成应用程序和API时可能引入的各种潜在漏洞和趋势。攻击者有时会以软件中众所周知的漏洞为目标,例如最近的Exchange服务器黑客攻击。然而,更常见的是,攻击者会寻找目标企业独有的API或API集成中的漏洞。因为没有“补丁”来修复这些公司创建或集成的代码。CommonWeaknessList(CWE)ID是一种更适合描述本土应用程序和API中错误的分类法。如果企业自己开发代码或集成其他代码,安全人员应该熟悉CWE和OWASPTop10。它们是更相关的分类法,更适合自己构建应用程序或API,而不是从其他有CVEID的地方采购软件申请。CWE正式帮助开发人员和安全从业人员:以通用语言描述和讨论软件和硬件缺陷;检查现有软件和硬件产品的缺陷;评估针对这些缺陷的工具的覆盖范围;利用通用基线执行缺陷识别、缓解和预防工作;部署前防止软件和硬件漏洞;5.基本的意识培训远远不够——尤其是对工程师的高度重视,因为这些都是攻击者惯用的攻击手段。然而,公司对这种意识培训实际上可以在多大程度上改变员工行为做出过于理想化的假设。太多的公司采取的是检查再检查的方式,通常每年通过第三方提供一到两次培训,确保员工完成培训,然后在下次培训时忘记它。过程。这显然是不够的,甚至可以说是浪费时间。侧重于“时间点”的安全培训要好得多,这可以改变员工的行为,使他们以更安全的方式工作。此外,在许多企业中,针对应用程序安全的培训和意识仍然远远落后。随着应用程序发布速度的加快,开发人员和工程师往往根本没有时间进行培训。即使他们有时间学习,他们也会将更多的注意力放在他们感兴趣的技术栈上,而安全性往往会被抛在后面。目前,大多数企业的安全专业知识仍然供不应求,尤其是在“全栈”工程领域。这使得非安全人员在创建或更新应用程序时几乎得不到指导。敏捷方法和DevOps实践导致开发和发布时间表的压缩,几乎没有时间用于安全培训和意识方面,而这些方面本可以带来好处,例如安全设计审查或威胁建模练习。缺乏时间一直是一个挑战,但开发生命周期中的安全转移势在必行;安全不能落下,从组织的角度来看,为什么不预先构建安全?在安全事件或漏洞发生之前预先建立安全性远比进行灾后补救更具成本效益。但这确实需要给开发人员时间来培训和学习,并且开发人员愿意这样做。意识培训不会在一夜之间发生。6.仅仅购买新工具并不能确保安全组织通常认为如果他们购买了最新的热门安全工具,他们就会安全,但事实并非如此。员工离职率高,往往会导致企业采购的新工具管理不善,甚至导致管理员配置错误。安全团队需要问自己:我们使用的是最新版本吗?我们是否充分利用了新产品的所有功能?更新过程会覆盖某些规则吗?解决安全问题。不幸的是,在很多情况下,最初安装该产品的人早已离开。所以有时候里面可能有1000条规则,现在的管理员不敢贸然改,因为他们怕动了会破坏很重要的东西。除了技术方面,企业还需要员工的软技能——遵守程序、阅读文件、与管理层沟通问题等。此外,许多人还认为所有这些新产品都必须完全集成。这是扩展检测和响应(XDR)兴起的原因之一,它本质上是一种预先集成的解决方案,包括端点、网络和云威胁检测和响应。但无论如何,安全问题始终是个问题。这也是托管安全服务持续增长的原因之一,甚至一些顶级供应商也越来越多地提供托管服务。他们认识到,无论他们自己的产品平台的集成度和有效性如何,越来越多的CISO希望将尽可能多的技术管理外包出去。随着时间的推移,这种趋势可能会稳步增长。7.推出物联网产品的企业并不总是关心安全问题。一家企业可能专注于制造汽车、消费电子产品或家用电器,但他们并不总是意识到他们必须从事开发和管理这些产品及其集成移动应用程序的业务。在编码上投入更多的时间和金钱。这确实是计算不断发展的结果。不从事软件开发业务的公司现在正在开发自己的应用程序和API以支持其核心业务。但企业并不总是意识到他们还必须妥善保护许多物联网设备的API和应用程序。现在,随着5G在美国和许多发达国家的普及,各种物联网设备的无处不在的连接将不仅成为可能,而且将成为一种标准做法。而这些设备中的许多不仅没有内置安全功能,而且在整个开发过程中甚至都没有考虑过。可以说,如果5G物联网没有更好的保护,大规模的物联网僵尸网络可能会卷土重来,尤其是在僵尸网络驱动的加密货币挖掘对许多黑客来说越来越有利可图的情况下。案件。物联网很可能成为未来十年网络安全故事中的重要话题之一。本文翻译自:https://www.darkreading.com/cloud/7-modern-day-cybersecurity-realities/d/d-id/1340826?image_number=2
