新年立下新志向�,開啟新征程�����。對(duì)于 CISO 和 CSO們來說,這也意味著他們能夠借此機(jī)會(huì)打造能把自身企業(yè)安全作為優(yōu)先考量的解決方案�。 去年��,整個(gè)業(yè)界在加強(qiáng)軟件供應(yīng)鏈安全方面取得了顯著進(jìn)展��,但安全團(tuán)隊(duì)在軟件供應(yīng)鏈方面仍然面臨著許多潛在的
新年立下新志向����,開啟新征程。對(duì)于 CISO 和 CSO們來說���,這也意味著他們能夠借此機(jī)會(huì)打造能把自身企業(yè)安全作為優(yōu)先考量的解決方案�。
去年�����,整個(gè)業(yè)界在加強(qiáng)軟件供應(yīng)鏈安全方面取得了顯著進(jìn)展�����,但安全團(tuán)隊(duì)在軟件供應(yīng)鏈方面仍然面臨著許多潛在的威脅�����。AI/ML模型中惡意代碼的猖獗使用���、遭入侵的開源軟件��、漏洞利用等問題仍持續(xù)困擾著企業(yè)����。
為在 2024 年確保軟件供應(yīng)鏈盡可能安全���,安全專業(yè)人士必須在今年致力于做好以下五大關(guān)鍵�����,包括:
對(duì)于開源代碼�,在信任的同時(shí)要對(duì)其進(jìn)行驗(yàn)證
警惕安全解決方案和代碼開發(fā)中的AI/ML
不要對(duì)零日漏洞感到恐慌
將 SBOM 作為安全戰(zhàn)略的必備要素進(jìn)行集成
采取“左移”戰(zhàn)略
對(duì)于開源代碼����,在信任的同時(shí)要對(duì)其進(jìn)行驗(yàn)證
安全領(lǐng)導(dǎo)者面臨的最嚴(yán)峻挑戰(zhàn)之一就是開源軟件的威脅。許多開發(fā)者盲目信任來自公共開源代碼庫的軟件����,認(rèn)為它們不存在安全和合規(guī)性問題。然而,未能對(duì)代碼進(jìn)行包含必要的安全控制等在內(nèi)的正確審查以確保其始終處于最新狀態(tài)���,會(huì)使組織遭受軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn)增高�。
步入 2024
年����,安全領(lǐng)導(dǎo)者必須在信任開發(fā)者開源編碼實(shí)踐的同時(shí)對(duì)其進(jìn)行驗(yàn)證。安全風(fēng)險(xiǎn)往往始于開發(fā)者從這些公共資源庫下載代碼的那一刻�。通過確保自始對(duì)代碼進(jìn)行充分審查,安全領(lǐng)導(dǎo)者就能主動(dòng)減輕對(duì)軟件供應(yīng)鏈的威脅�����,避免造成不可挽回的損失����。
警惕安全解決方案和代碼開發(fā)中的AI/ML
2023年,人工智能的興起推動(dòng)了創(chuàng)新����,但也引起了人們對(duì)安全問題的高度關(guān)注。軟件開發(fā)安全方面的疏忽可能會(huì)無意中將惡意代碼引入AI/ML
模型��,讓攻擊者有機(jī)可乘�����,由此對(duì)企業(yè)造成進(jìn)一步的損害���。
開發(fā)者還可能會(huì)使用從公共 AI/ML 源生成的代碼����,而不知道模型是否已遭到入侵��。如果盲目信任AI/ML
模型�����,就可能會(huì)給企業(yè)招致更多的漏洞——所有來自AI/ML 源的代碼都必須經(jīng)過審查����。
無需對(duì)零日漏洞感到恐慌
2023 年,網(wǎng)絡(luò)犯罪分子利用零日漏洞的速度創(chuàng)下了歷史新高�,而新的一年里,這一趨勢(shì)還將持續(xù)�。
面對(duì)零日攻擊,安全團(tuán)隊(duì)常常會(huì)感到恐慌���,不確定 CVE
(關(guān)鍵漏洞披露)會(huì)產(chǎn)生怎樣的影響���。雖然CVE可能存在于他們的軟件中�����,但也完全有可能在極端特殊情況下被利用��,而這些情況并不適用于該企業(yè)����。在這種情況下�,可能會(huì)無緣無故地對(duì)最終用戶實(shí)施耗時(shí)且可能具有破壞性的補(bǔ)丁。
今年�����,CISO 和 CSO 們?cè)诓扇⌒袆?dòng)之前�����,需要先了解 CVE 及其與企業(yè)的關(guān)系�����。盲目修補(bǔ)可能弊大于利���,而將 CVE
與具體情況聯(lián)系起來�����,則有助于更好地保護(hù)企業(yè)并明確真正需要采取的行動(dòng)��。
將 SBOM 作為必備要素納入安全戰(zhàn)略
SBOM 已成為安全領(lǐng)導(dǎo)者使用的重要 DevSecOps
工具��,因其能為用戶提供更快的識(shí)別方法���,縮短恢復(fù)時(shí)間,提高代碼修復(fù)的效率和效力����,并在更嚴(yán)格的監(jiān)管環(huán)境中增強(qiáng)合規(guī)性。
SBOM 可以系統(tǒng)性地跟蹤每個(gè)應(yīng)用程序中存在的組件���,以及應(yīng)用程序運(yùn)行所需的依賴項(xiàng)�����,使安全團(tuán)隊(duì)能夠準(zhǔn)確地查看在發(fā)生漏洞利用時(shí)受到影響的系統(tǒng)��。此外�����,在
2024 年��,網(wǎng)絡(luò)安全監(jiān)管環(huán)境還將繼續(xù)收緊�,這使得 SBOM 不再只是“錦上添花”的存在,而且是確保遵守新規(guī)則的必需�。
采取“左移”戰(zhàn)略
對(duì)于安全領(lǐng)導(dǎo)者來說,落實(shí)上述所有的解決方案可能是一項(xiàng)艱巨的任務(wù)���,這也是為什么CSO 和 CISO 們?cè)?2024
年必須采用“左移”的方法來確保安全性���。
通過從一開始就將安全納入軟件開發(fā),安全領(lǐng)導(dǎo)者可以確保為其軟件供應(yīng)鏈建立更加積極主動(dòng)的防線�。這樣,他們?cè)谲浖_發(fā)中使用開源或公開開發(fā)的 AI/ML
代碼時(shí)就更具靈活性�����,可以更好地控制為其企業(yè)而構(gòu)建的AI/ML 模型����,確保盡可能降低CVE 漏洞利用的可能性,并提高了 SBOM 的有效性�。
步入2024 年并展望更遠(yuǎn)的未來����,軟件領(lǐng)域的復(fù)雜性只會(huì)有增無減����。通過在軟件供應(yīng)鏈安全方面采取“左移”思維,CISO 和 CSO
們可以確保企業(yè)更強(qiáng)大�����、更具韌性�����,以應(yīng)對(duì)新的安全挑戰(zhàn)��。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的����,皆為無意。如您是字體廠商�����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材����,請(qǐng)聯(lián)系我們,本站核實(shí)后將立即刪除��!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟(jì)賠償����!敬請(qǐng)諒解���!
粵公網(wǎng)安備 44030402000264號(hào)