軟件使用的飛速增長和日新月異的變化將促使安全人員去學習更多新的安全知識,去了解相關(guān)風險和相應(yīng)緩解措施,以及去部署更先進的安全策略。掌握到行業(yè)的趨勢無疑能幫助他們更好地降低風險。
近年來,云計算、人工智能(AI)、機器學習(ML)、物聯(lián)網(wǎng)(IoT)和大數(shù)據(jù)在很大程度上推動了企業(yè)運營方式的演變。值得一得的是,所有這些技術(shù)都是由軟件驅(qū)動的。有鑒于此,防止和減少軟件漏洞以維持企業(yè)健康發(fā)展至關(guān)重要。
為了更好地推動軟件安全的發(fā)展,讓我們來參考一下新思科技軟件質(zhì)量與安全部門(Synopsys Software Integrity Group)的預(yù)測。這些預(yù)測將有助于企業(yè)保持警惕,最大限度地減少軟件安全風險。
設(shè)計和標準的安全性
大部分軟件仍然主要是在沒有正式標準和流程的情況下編寫的。與構(gòu)建橋梁不同,軟件開發(fā)并不是標準化、可重復(fù)的工作。開源持續(xù)了很長時間,現(xiàn)在已經(jīng)司空見慣?梢韵胂螅嗟男湃螌⒎旁诨陂_源軟件的通用構(gòu)建模塊中。此外,垂直領(lǐng)域軟件開發(fā)標準將更快出現(xiàn)。
當生命依賴于正確的軟件執(zhí)行時,我們會將更多的努力放在標準、可審計性和問責制上,這一點在汽車和飛機內(nèi)的安全關(guān)鍵系統(tǒng)上已經(jīng)得到充分證實。這些標準可能是自下而上的,也可能是由政府監(jiān)管的。金融服務(wù)、區(qū)塊鏈以及移動解決方案安全性等領(lǐng)域也有機會執(zhí)行這樣的標準。
2019年,我們可能看到垂直市場組成聯(lián)盟,以建立更多面向特定領(lǐng)域的安全標準,并改善信任和互換性。其中大部分可以基于開源組件構(gòu)建。
繼續(xù)向云遷移
隨著經(jīng)濟的增長,各大企業(yè)也面臨著新的競爭壓力。這迫使企業(yè)需要重新武裝自己。數(shù)字化如火如荼,新的云環(huán)境也正在改變企業(yè)部署APP的方式。因此,企業(yè)需要在APP應(yīng)用和軟件安全方面保持警惕。
我們預(yù)計將會有更多投資會放在云端安全上。此外,給員工普及應(yīng)用安全和軟件安全的概念以及這方面的培訓需求也會越來越多。
AI和ML滲入到我們生活
很多人會意識到AI和ML已經(jīng)在他們周圍出現(xiàn),對生活、家庭、健康及工作的決策等都有影響。
那AI/ML能為軟件安全和網(wǎng)絡(luò)安全做什么呢?這讓人期待。網(wǎng)絡(luò)安全很重要的一部分是數(shù)據(jù)關(guān)聯(lián)和分析。這就需要具備基于多個不同的數(shù)據(jù)源(猶如海底撈針)來查找單個威脅和威脅活動以及執(zhí)行威脅行動者歸因的能力。
AI/ML可以通過數(shù)據(jù)建模和模式識別來提高以上過程的速度、規(guī)模和準確性。然而,很多刊出的文章都對此表示懷疑和擔憂。有的時候,企業(yè)可能會有一種安全的假象,但是事實并非如此。我們還需要更多時間和投入完善數(shù)據(jù)模型和模式識別,以確保AI/ML技術(shù)能夠有效提升軟件安全。
我們應(yīng)該期待看到大公司繼續(xù)投資AI/ML技術(shù)。與此同時,宣傳AI/ML能力的初創(chuàng)企業(yè)也將在2019年繼續(xù)崛起。但是,可能還需要幾年時間才能完全實現(xiàn)AI/ML的真正愿景。
IoT攻擊仍然是一個困擾
在亞太地區(qū),許多國家正在推進智慧城市和智能國家計劃。這也為新一輪的IoT網(wǎng)絡(luò)攻擊提供了機會。不法分子可以利用數(shù)據(jù)中毒進行攻擊,其中的錯誤信息將通過部署在目標城市或全國范圍內(nèi)的傳感器影響決策。
我們還將看到一些舊問題仍然存在:硬編碼憑證和未修補的組件,沒有良好設(shè)計的空中下載技術(shù)(OTA)更新以及持續(xù)更新策略。
針對醫(yī)療和零售業(yè)的攻擊將增多
原因是這些行業(yè)正在收集的數(shù)據(jù)的價值正在增加。我們必須進行投資以保護醫(yī)療、零售及其他行業(yè)的數(shù)據(jù)。需要再次強調(diào)的是:安全培訓必不可少。
對開發(fā)人員使用第三方應(yīng)用程序編程接口(API)的敏感性提高
它是絕大多數(shù)IT企業(yè)的盲點,類似于十年前的開源使用。大多數(shù)公司都了解確保他們發(fā)布的API免受外部攻擊的重要性,但很少有公司會通過從內(nèi)到外調(diào)用第三方API來跟蹤他們自己的代碼在Web服務(wù)的使用。
依賴第三方服務(wù)的方式還存在其它法律和業(yè)務(wù)風險。公司還必須考慮到他們可能無意中傳遞到防火墻外的未知
從數(shù)據(jù)到?jīng)Q策
現(xiàn)在有許多質(zhì)量和安全解決方案,每個都有自己的目的、優(yōu)勢和產(chǎn)生的數(shù)據(jù)?赡苁菨B透測試、日志監(jiān)控和入侵檢測,或自動化軟件安全測試解決方案。雖然功能和技術(shù)不斷發(fā)展,但它們也會創(chuàng)造出更多的信息和數(shù)據(jù)點。
我們很容易淹沒在信息海洋中,而忽視了一些必需品。其實,關(guān)鍵是將這些數(shù)據(jù)融合在一起,以制定基于風險和業(yè)務(wù)的決策。一方面,我們面臨的挑戰(zhàn)在于"海底撈針";另一方面,我們需要組合來自不同方法和域的數(shù)據(jù),以了解整體狀態(tài)。
2019年,我們需要的并不是更多數(shù)據(jù),而是更好的決策支持。
總結(jié)
2019年,軟件將繼續(xù)在我們的日常生活和工作中發(fā)揮越來越重要的作用。我們需要工具和支持將安全性貫穿到整個軟件開發(fā)周期、公司文化和業(yè)務(wù)流程的各個方面,從而確保公司更快地構(gòu)建安全、高質(zhì)量的軟件。
鳴謝
以上的預(yù)測文章是在網(wǎng)絡(luò)安全專家的支持和專業(yè)指導下完成。他們是:新思科技的黑鴨按需(Black Duck On-Demand)業(yè)務(wù)總經(jīng)理Phil Odence;新思科技首席科學家Sammy Migues;新思科技高級技術(shù)專家Ralf Huuck;新思科技管理顧問Olli Jarva以及新思科技高級技術(shù)總監(jiān)Mark Zurich。
