2022年,大量企业组织将开始关注AppSec(应用系统安全),并将其作为驱动因素,保障组织数字化转型的发展。此前,AppSec常被视为阻碍业务系统快速运行的障碍。通过AppSec计划的正确实施,不仅可以保障企业业务的稳定发展,还可以避免安全攻击造成的财产和商誉损失。不过,有安全研究人员表示,为了在2023年提高应用程序的安全性,企业组织应该为AppSec制定专门的事件响应计划。AppSec威胁形势严峻。2022年初爆发的Log4j漏洞,让不少企业陷入了业务系统应用保护的困境。这突出表明,大多数组织还不熟悉应用程序的组件,并且在应用程序开发过程中没有找到保证。安全方法。根据Sonatype最新发布的AppSec态势研究报告,2023年AppSec威胁形势依然严峻,许多企业需要对抗不安全的应用程序、易受攻击的软件组件和易受攻击的云服务。报告数据显示,2021年软件供应链攻击将增加633%,41%的应用组件仍然是易受攻击的版本。同时,随着组织将其IT基础架构迁移到云端并采用更多Web应用程序,这导致API的使用量迅速增加,平均每个企业使用15,600个API。这也使企业中的员工成为可利用的攻击媒介。攻击者可以使用勒索软件、恶意软件、网络钓鱼和诈骗,通过普通员工的人为错误来实现攻击。到2022年,83%的受访企业将遭受基于电子邮件的网络钓鱼攻击,这很容易导致凭据被盗,从而危及Web应用程序和云基础架构。桑坦德银行网络安全研究全球总监丹尼尔卡斯伯特表示,一些非常简单的社会工程技术可以绕过企业多层应用安全措施,实现访问敏感数据、系统和网络的攻击目标。对此的预防措施远非完美。除此之外,攻击者还专注于通过在网络边缘运行的许多安全控制来锁定应用程序。在2022年举行的BlackHatAsia大会上,研究人员展示了一种通过WAF设备漏洞进行入侵攻击的方法。2021年12月,网络安全公司Claroty也演示了如何使用JSON绕过五款主流WAF产品进行模拟攻击。制定专门的事件响应计划随着AppSec威胁变得越来越普遍,企业安全团队应该更好地响应应用程序系统安全事件。通过制定专门的AppSec事件响应预案,企业可以更好地应对AppSec威胁,为各种可能发生的应用系统攻击做好准备。主要原因包括:软件开发成为新的攻击面:随着软件系统的开发速度越来越快,开发人员成为重要的攻击目标。根据供应链攻击防护要求,企业安全团队需要对业务有更深入的理解,能够在数据管理和安全问题评估方面发挥领导作用,而不是成为研发部门的负担。发生安全攻击;规模灾难性事件:供应链攻击通常是大规模的灾难性事件,可能会在一次“攻击”中影响数以千计的组织。标准的安全事件响应预案一般不适用于需要外部咨询的大型应用系统安全事件。外部安全专家此时可能不堪重负,组织无法承受响应延迟的后果和损失;AppSec还是一个不成熟的领域:AppSec的重要性直到最近才被企业组织所重视,这也是为什么安全团队是一个必须正视的客观现象,所以很多安全人员对这种类型的威胁。今天,随着应用程序攻击面在全球范围内不断扩大和交织,可用的解决方案和专业知识仍然不足;攻击者不需要先进的技术:由于企业缺乏足够的工具来保护行业免受供应链风险,现有的安全工具仍然不足。这对攻击者非常有利,如果攻击成功,他们可以从数千个组织而不是一个组织中获取重要数据。在防御方面,组织对通过CI/CD构建的应用程序系统缺乏可见性,对开发过程的可见性更少,这使得保护AppSec变得非常困难。事件响应是一项涉及大量资源和策略的专业工作。它不会在一夜之间发生,每个AppSec事件响应计划只适用于特定的组织。以下是针对恶意应用系统攻击(如ESLint攻击)的基本AppSec事件响应清单示例:查看CI日志以查看恶意包的具体使用情况;识别已被恶意代码访问过的资产;识别任何可能受损的凭据,并更新/轮换相关环境中的所有凭据;识别所有提交恶意包的相关开发人员,轮换相关凭据,并让安全或IT人员调查他们的工作站;通知研发部疑似恶意包,需要尽快轮换相关密钥;审核对组织资产的所有访问。识别任何表明凭证使用受损的异常情况。在初始事件响应之后继续此步骤;在执行上述步骤的同时,企业管理层应考虑并起草对攻击事件的公开回应,并让所有利益相关者和部门参与,以完成后续的事件解决工作。参考链接:https://img.ydisp.cn/news/20230221/0przjtanf3r
