觀點

雲端為王:2021年需關注的9種軟體安全趨勢

2020 / 12 / 30
編輯部
雲端為王:2021年需關注的9種軟體安全趨勢
2020年是企業大量在家或遠距辦公的一年。在此趨勢下,如何完善雲端以及重新建構組織的工作流程會是2021的重大課題,其中軟體的安全性至關重要。Checkmarx發布了2021年軟體安全性預測報告,提出9大趨勢。

雲端兼容性
Checkmarx認為軟體開發團隊要與時俱進,與雲端的應用程序開發保持同步。Checkmarx首席技術官Maty Siman在報告中說:「你不能編碼後,然後再修復漏洞。因為這將會成為程式漏洞。到2021年,應用於程式安全性的整合工具必須更加快速地執行工作,並擴展到雲端環境。且要以研發人員可以理解和用來進行快速修復的格式來執行。」

這些雲端環境和其應用程式已是駭客的首要攻擊目標,Checkmarx表示,「惡意網路攻擊者正在濫用身份驗證環境中的信任機制,資料竊取往往發生於攻擊者利用網路環境中的授權機制來侵入本地網路環境,藉以滲透組織的雲端機制和/或利用管理員權限來破壞其信任機制。」

開源軟體漏洞
開源軟體將繼續吸引資安攻擊。Siman寫道:“很少有一週都沒有發現惡意的開源軟體包。企業都知道他們需了解使用中的開源包安全性。即使現有的一些解決方案可以幫助排除掉一些誤植的弱點,但是它們仍然擋不住惡意攻擊,這需要在2021年改變。”同時他也建議在選用開源軟體時,需挑選較成熟和具知名度的廠商。

基礎架構即代碼(Infrastructure as Code)
Siman提到,開發人員長期來普遍使用基礎架構程式碼建構應用程式(infrastructure-as-code environments),這在安全層面上留下了弱點,這將驅使未來有更多基礎架構程式碼的安全培訓。

他亦補充“我預期會看到惡意攻擊者利用開發人員的失誤在開放的網路環境中進行攻擊,為了解決這個問題,我們將集中精力加強雲端安全培訓、基礎架構程式碼實務訓練以及遠距辦公所衍伸的軟體和應用程式的安全性。」

資安需適度站在研發團隊的角度
為了在軟體開發過程中提高安全性,資安團隊必須使自己適應並了解研發團隊的特性,藉以加強團隊之間的合作。Siman進而解釋:「研發團隊通常自我意識比較強,在企業文化中重要性也相對更高。往往很難去說服他們做一些不願買單的嘗試。如果想要加速兩者之間的正面化學效應,資安需適度站在研發團隊的角度來進行對應的調整和整合。」      
 
整體安全觀
Siman表示,資安團隊須在全面性的考量中提出企業自身的資安生態系統,以及組織內資安問題的改善方針。特別是在開源安全考量,更全面的計畫將使公司知道是否正在使用容易遭受攻擊的開源軟體,同時還可以透過應用程式判讀使用方式以及可能的漏洞和威脅。

雲端原生安全性Cloud-Native Security
Checkmarx的安全研究主管Erez Yalon指出,目前雲端原生安全尚未被充分的運用,同時在資安領域中也沒有普遍的了解其重要性,但我們在2021年將預期看到雲端防護和封鎖功能的推行。

Yalon 更在其報告中提到“如果2020年最受矚目的議題是API,那2021年將會是雲端原生安全。API在雲端原生安全中扮演著很重要的角色,重點將會是如何繼續擴展雲端技術及如何讓它在企業組織中廣泛的被使用,確保互通性將會是其生態鏈中的當務之急。」

安全性不足的應用程式介面(API)
Yalon更預測,那些安全性不足的應用程式介面將會成為網路攻擊者最容易入侵、破壞系統的地方。「隨著惡意行為者持續針對應用程式介面的攻擊,企業組織也逐漸了解到對方是如何進行入侵,進而促使開發人員迅速找到更好的解決方法,如:應用程式介面安全認證和授權機制。」

安全性不足的老舊設備
Yalon補充說到,老舊的IoT設備往往是企業組織所忽略的環節,在2021年也將成為網路攻擊者的攻擊目標。“這些舊設備通常其開發商都已經停止提供軟件和補丁的更新,在沒有汰換設備的情況下,這些過時產品將更容易的被找出漏洞進而成為網路攻擊者的優先攻擊的主要目標。像是Armis的報告指出,大量的工廠設備和醫療設備都沒有更新,也不具有足夠能力來防禦URGENT / 11和CDPwn惡意軟件,研究更指出有97%的舊型OT設備在沒有更新的情況下遭受到URGENT/11的入侵威脅。

物聯網資安緩慢進展
Yalon提到,上個月在美國通過的最新《物聯網網絡安全改進法》正是朝著正確的方向邁進,但仍有許多地方需要調整。但是Yalon補充說,如果沒有消費者對政府和製造商施加實際壓力以改善物聯網設備的安全性,或是製造商自身對於物聯網安全的高度重視,就不可能取得真正的進步,這在未來將會是人們持續關注的議題。



原文出處: threatpost.