不正确的开发和部署项目会使组织容易受到网络攻击,因此要努力清除技术债务。根据Proofpoint发布的《2021年首席信息安全官之声》报告,三分之二的首席信息安全官认为,技术债务(即项目所需的与最终部署的之间的差异)是安全漏洞的重要原因。根据应用程序安全平台提供商ContrastSecurity的首席技术官JeffWilliams的说法,大多数技术债务是通过搁置架构、代码质量、性能、可用??性以及最终的安全性等关键方面而产生的。他解释说,“许多大型企业在其漏洞管理系统中发现了数万或数十万个已发现但未解决的风险。”许多行业组织都认为“这是资金不足的安全工作加上风险管理。可能与实际完成所需的安全工作一样好”,但这是一种错误的思维方式,可能会对企业及其合作伙伴造成重大损害。要最大限度地减少技术债务的安全影响,首先要了解执行不当的项目的各种方式可以为网络入侵者和攻击者提供机会,以及如何快速安全地弥补已发现的差距。以下是技术债务可能成为CISO解决问题的7种方式:1.狡猾的软件根据卡内基信息系统教授RahulTelang的说法梅隆大学海因茨信息系统与公共政策学院,技术债务是一个被过度使用的术语。他解释说,“这意味着企业的技术和产品与现实和目标存在一些差距,现在必须偿还债务。”不难想象,除非迅速偿还债务,否则安全风险会增加。”特朗指出,首席信息安全官应该意识到,每个软件开发项目都会经历一些阶段,随着时间的推移,代码必须重构以解决潜在的安全漏洞。他说CISO必须有一个结构来在部署之前检测可能的问题,因为当产品已经出来并在使用时很容易忽视它们。首席信息安全官RyanDavis说在DNS和流量管理技术开发商NS1,软件产生的技术债务构成了最大的业务安全风险。“这包括源自企业外部的项目,例如语言、第三方库和软件内置的其他组件,以及代码由内部开发人员编写,”他说。软件会随着时间的推移而老化,需要定期发布补丁来解决错误和问题安全问题。但最终,当所有软件不再受到其开发人员的支持时,它就会达到生命周期的尽头。不幸的是,在某些情况下,要淘汰软件产品可能很困难,因为它的开发人员要么放弃了该产品,要么开发人员倒闭了。发生这种情况时,继续运行遗留软件可能会产生危险的技术债务,因为网络入侵者和攻击者可能已经发现了利用它的新方法。结果可能是毁灭性的。“我们已经看到许多真实世界的例子,说明软件的安全状况如何影响世界各地的企业,”戴维斯说。2.治理不善强有力的治理对于防止技术债务成为安全问题至关重要。重要的。商业和IT咨询公司WestMonroe的网络安全实践总监DavidChaddock表示,确保在初始设计和实施期间解决资产的生命周期问题非常重要,包括长期运营成本和减少所需的支持资源一个系统突然或逐渐成为一个安全问题。“这需要安全团队尽早参与设计过程,”他说。3.战略一致性差全球业务和IT外包商Guidehouse的网络安全解决方案总监EugeneOkwodu建议CISO应该了解企业内部的技术债务,并制定正确的指标来管理它。他补充说,“首席信息安全官还应该将所需技术更新的成本计入他们的预算。”当IT和网络安全政策发生冲突时,通常会出现技术债务。Okwodu观察到,为确保充分协调和解决冲突,可能需要与内部项目管理办公室(PMO)合作或寻求外部帮助。4.忽视或延迟现代化在某些情况下,技术债务可能需要数年才能显现出来。“旧技术,无论是硬件还是软件,都会带来重大的安全风险,”Okwodu说。他解释说,这些技术不仅在某些情况下无法更换和修复,而且它们之间的联系往往更加紧密。的员工对此也不太了解。Okwodu说:“数年甚至数十年的解决方法、更新、升级以及并购可能使技术债务成为特别严重的问题。”“技术债务需要代价高昂的系统现代化,尤其是在软件系统方面,再加上当今企业中不常见的劳动力专业知识,给企业带来了重大的安全风险。”5.未能采用良好的开发实践DevSecOps不仅仅是一个流行语,当应用良好的开发实践时,许多安全问题都可以得到解决和控制。技术培训提供商InfosecInstitute的首席安全研究员KeatronEvans建议:“从开发项目开始就坚持合理的DevSecOps原则,并坚持控制有助于可视化安全漏洞的指标。”随着应用程序的增长,它们经常会发生变化。更有用和广泛使用。但是,这些属性也会使安全漏洞更难修复或缓解。埃文斯说,“导致一段代码增长并变得高效、有用和有价值的能量也会导致被忽视的安全问题从长远来看变得更具破坏性。DevSecOpsautomaticallyIntegratedsecurity有效地防止了漏洞的出现。”6.延迟测试将软件安全测试推迟到开发的后期阶段可能会导致漏洞修复起来既困难又耗时且成本高昂。JeremyDodson,首席信息安全官DevOps咨询提供商NextLinkLabs警告说:“将测试延迟到流程结束可能会导致大规模的重新开发工作以解决安全问题,这可能意味着利润损失和开发时间显着增加。安全应该是一项协作工作,”Dodson说。他说,“首席信息安全官对于在企业内部营造安全文化至关重要,尤其是开发团队态度的转变可以显着帮助在整个设计和开发过程中整合安全措施。”7.Out-控制复杂性技术债务的一个主要原因是依赖太多的开发nt语言、工具、平台和框架,根据低代码应用程序开发平台提供商OutSystems的平台战略高级总监BarryGoffe的说法。他说:“复杂性为错误创造了机会,而这种风险累积起来使得更难识别这些错误何时发生。即使发现了问题,复杂性也会使修复这些漏洞变得更加困难。”Goffe说,“复杂性本身不会造成安全漏洞,但它肯定会增加发生漏洞的可能性并增加预防成本。鉴于复杂性是技术债务的主要原因,标准化和简化应用程序开发工具和基础设施努力可以在最大限度地减少技术债务的产生方面带来巨大的回报。”Goffe认为技术债务是风险驱动因素,也是创新和安全的主要障碍。随着企业努力在大流行之后恢复正常运营,现在是时候解决多年来快速发展所造成的障碍和安全风险了。建造。Goffe总结道:“企业可以解决的技术债务越多,他们面临的安全风险就越少,他们创新的能力就越强。”
