IT安全专业人员将在2020年花费大量时间和精力来管理从办公室到在家远程工作的过渡。研究人员预测,越来越多的组织将在2021年更加关注云采用,并在新常态下重新构想工作流程。在这种环境下,软件安全将是最重要的。Checkmarx研究人员表示,该公司发布了2021年软件安全预测报告。它为软件开发团队设想了一个新时代,其中包括专注于更好的应用程序安全工具,这些工具可以将本地安全工具扩展到云平台和更好地保护物联网(IoT)设备。1.适应云计算环境Checkmarx向软件开发团队提供他们需要跟上未来云计算应用开发步伐的建议。Checkmarx的CTOMatySiman在报告中表示:“由于无法推送代码然后回滚以修复漏洞,这为恶意行为者提供了渗透其系统的机会。到2021年,集成到工具链中的工具应用程序安全工具必须更快地工作,扩展到云计算环境,并以开发人员可以理解和使用的格式提供可操作的结果以进行快速修复。”云计算应用程序和运行环境越来越受到网络攻击者的关注。例如,美国国家安全局最近发布警告称,一些网络攻击者已经开发出利用本地网络访问漏洞危害云计算服务的技术。该公告指出:“对手滥用对联合环境的信任来访问受保护的数据。这些攻击发生在攻击者最初入侵受害者本地网络之后。2.开源漏洞Siman说,开源将继续获得访问权。网络攻击者的担忧。“组织经常发现恶意开源包并努力保护正在使用的开源组件,现有解决方案可以帮助他们删除虚假易受攻击的包(开发人员不小心在包中创建漏洞),”Siman说。...但他们仍然没有看到网络攻击者将恶意代码推送到包中。这种情况需要在2021年改变。”他警告说,组织需要采用技术上更成熟的开源组件。3.基础设施即代码开发人员一直在使用新的基础设施即代码(IaC)环境来构建应用程序,这在安全性方面留下了重大漏洞,西曼说。展望未来,这将推动基础设施即代码(IaC)安全方面的额外培训。“我看到网络攻击者在这些灵活的环境中利用开发人员的失败,”他说。远程工作者和更复杂的软件生态系统的需求将产生额外的软件和应用程序安全支出。”4.安全将与开发一起工作,以提高软件开发过程中的安全性,Sima解释道。团队必须在开发团队中定位自己以加强协作。“开发商有时固执己见,影响力越来越大,因此不能强迫他们做他们不想做的事情,”他说。为了促进安全与开发之间的协作,2021年的安全趋势将需要根据他们的方式进行调整,将其集成到开发工具链中。”5.整体安全观Siman表示,组织的团队将越来越需要全面了解组织的安全态势,推动了对提供完整生态系统视图的工具的需求。特别是在开源安全方面,更全面的视图将使组织不仅可以知道他们是否正在使用易受攻击的软件包,更重要的是,应用程序使用的方式是否6.云原生安全该报告的合著者兼Checkmarx安全研究主管ErezYalon表示,云原生安全目前未得到充分利用,在安全社区中也没有得到充分理解,但2021年将推动优先锁定云计算环境。“如果2020年是API年,那么2021年将是earcloud-native安全带头,”Yalon在报告中写道。API在云原生安全性中发挥着重要作用,但重点将转移基于云的技术如何继续激增并在组织中得到广泛采用。确保由互连的基于云的解决方案产生的生态系统将成为重中之重。”7.易受攻击的APIYalon做出了另一个预测,即不安全的API将最容易受到网络攻击者的攻击。“随着网络攻击者继续加大对API的攻击力度,并且随着许多组织学习如何利用这些程序,网络攻击者将在短期内利用这一漏洞,迫使开发人员迅速想出如何更好地保护它们,”他说。API身份验证和授权过程的方法。”8.遗留设备易受攻击组织的物联网设备在后台运行时经常被遗忘,但到2021年它们仍将是网络攻击者的主要目标,Yalon补充道。Yalon说:“随着这些使用多年的设备和工具变得过时,许多制造商已经停止支持软件更新和补丁,因为他们优先考虑较新的模型,使旧模型成为网络攻击者寻找简单访问点的主要目标。”目标。随着时间的推移,这些现已过时的产品中的漏洞将被发现和利用。”尽管有可用的修复程序,Armis发布的调查报告显示,工业、工厂和医疗设备仍未修补以防止URGENT/11和CDPwn恶意软件。研究人员发现,97%的未打补丁的操作技术(OT)设备受到URGENT/11的影响。9.物联网安全进展缓慢Yalon表示美国上个月发布的最新版本是朝着正确方向迈出的一步,但仍有工作要做。美国政府立法要求物联网设备满足最低标准安全要求。但Yalon补充说,如果不面临来自消费者的巨大压力,就不可能取得真正的进展。“除非消费者向政府和制造商施加压力,要求提高物联网设备的安全性,或者制造商认真对待物联网安全,否则,这将继续成为一个问题,”他说。
