四虎影视精品永久在线观看,中文字幕婷婷日韩欧美亚洲 ,婷婷成人综合激情在线视频播放,中文在线а√天堂,伊人久久大香线蕉成人

說起安全性話題，近年來可謂熱度不斷。從勒索軟件到初步入侵代理、再到自動化數(shù)據(jù)中毒與對抗性機器學習，2021年的IT安全領域可謂“百花齊放、百家爭鳴”。

從好的方面來說，如今的安全工作已經(jīng)不需要跟在IT身后亦步亦趨。至少大型組織機構(gòu)已經(jīng)意識到獨立安全體系的重要意義。紅帽發(fā)布的《2021年全球技術(shù)展望》報告就將安全性列為IT投入的第一要務，有45%的受訪者將其視為接下來的頭號投入重點。

紅帽技術(shù)布道師Gordon Haff在報告中提到：“從歷史角度看，引發(fā)安全威脅的主要原因在于資金匱乏與重視度不足。但從方方面面的情況來看，這種被動局面正在發(fā)生變化。”

與DevSecOps的文化與實踐發(fā)展相結(jié)合，這種變化希望將威脅環(huán)境縮小到可管理的水平，同時盡可能提升安全準備的全面程度——這一點當然非常重要，畢竟攻擊者可不會像上班族那樣設定明確的休假時間。

Altimetrik公司信息安全負責人Aladdin Elston表示：“黑客不會任由我們組織策略、編寫程序而坐視不管，勒索軟件也不會等到數(shù)據(jù)庫經(jīng)過加密之后才施以鎖定，腳本小子更不會待到補丁管理周期啟動之后才嘗試利用最新漏洞。”

考慮到以上現(xiàn)實、也值此年度之交，是時候重新評估并著力關(guān)注IT團隊乃至組織整體的安全目標了。以下，是2022年信息安全工作中的四大核心注意事項。

1. 基礎很重要，好習慣決定一切

如果說信息安全是一張熱門專輯，那安全習慣肯定是開篇第一首曲子。年復一年，眾多安全事件的爆發(fā)都源自某些看似平凡的日常習慣。從勒索軟件到云賬戶劫持、再到數(shù)據(jù)泄露，包括錯誤配置（包括直接使用默認配置）、用戶權(quán)限過高乃至修復補丁缺失，大部分威脅之所以能得手，倚仗的就是那些最平平無奇的小失誤。

Elston解釋到：“2022年已經(jīng)到來，很多朋友可能覺得基礎安全知識早已全方位普及。但很遺憾，相當一部分基本安全實踐并沒有推開，因此極可能引發(fā)大規(guī)模安全違規(guī)。”

這就引發(fā)了新的問題：安全基礎究竟是什么？密碼安全與系統(tǒng)補丁當然屬于基礎，但除此之外我們還得就更多問題與同事們結(jié)合組織實際達成共識。只有這樣，大家才能建立起一種通行的安全保護與效果量化標準。此外，“基礎”這個詞本身并無意義、無法直接指向任何實質(zhì)性的基本原理。

Elston表示：“在我看來，基礎知識囊括補丁管理、安全配置、威脅建模、DAST與SAST掃描、內(nèi)部與外部漏洞掃描、滲透測試、網(wǎng)絡釣魚攻擊防御、第三方漏洞評估、備份與災難恢復、定制化安全培訓等等。”

目前市面上充斥著眾多確有價值的安全工具和技術(shù)，其中又以能夠?qū)崿F(xiàn)安全自動化的解決方案最為亮眼。然而“工具已經(jīng)部署到位”的觀念往往會導致人們放松對核心安全需求的關(guān)注，甚至樂觀地假設自己已經(jīng)安全無憂、只待躺平。

“基礎”指的也不是陳舊，SAST與DAST掃描都是DevSecOps生命周期中的重要方法，而二者也正是當前頗具熱度的安全“左移”理念的重要步驟。

2. 事事優(yōu)先，等于無事優(yōu)先

不斷考量/重新考量組織中的安全空缺，特別是最近剛剛發(fā)現(xiàn)但還沒解決的問題，這對于回歸安全基礎的整體舉措具有重大意義。ELston提到，大家可以使用各類外部框架，包括NIST網(wǎng)絡安全框架、OWASP Top 10等等。此外，MITRE ATT&CK也是值得考量的因素，還有指向特定場景的監(jiān)管規(guī)則（例如HIPAA與PCI）。

Elston建議：大家最好能從對全體資產(chǎn)的庫存檢查起步。我們無法測試或者保護自己壓根不認識的東西——所以這份清單將成為內(nèi)部與外部漏洞評估、內(nèi)部及外部滲透測試乃至其他主動安全策略的實施基礎。

在這方面，個人和組織很容易在紛繁復雜的威脅情境下迷失方向。我們在企業(yè)中發(fā)現(xiàn)的風險與漏洞清單，特別是在深入研究過那些涵蓋已知威脅與CVE的外部框架或其他資源時，往往讓人感到隱患是無窮的、人力卻是有限的。答案很簡單——把問題縮小到能夠解決的規(guī)模。想要解決所有問題，那很可能什么都解決不了。面對逐年增加的潛在威脅，我們只能盡人事、并且想辦法盡好人事。

Elston指出：“大家最終可能會整理出一份對組織影響最大的風險清單，之后按重要性和業(yè)務影響對內(nèi)容進行排序和優(yōu)先級調(diào)整。我個人建議先關(guān)注清單中的前20%條目，其他的以后再說。”

這種方法主要有兩大優(yōu)勢。首先，既可以高效、又著眼于實效地關(guān)注高緊迫度風險。這樣就能廣泛聽取安全意見，同時在組織中摸索出一套具體且可操作的方法。此外，這也是一條能夠統(tǒng)籌各方協(xié)同努力的、易于管理的安全保護路徑。

其次，這種方法也能產(chǎn)生切實有效的下游影響。因為在關(guān)注最嚴重漏洞的同時，我們也能從中找到可以在其他場景中復用的固定模式。

想要解決所有問題，那很可能什么都解決不了，特別是在面對潛在威脅逐年增加的情況下。

Elston認為：“通常情況下，關(guān)注最關(guān)鍵的漏洞能夠幫助我們理解自身環(huán)境、網(wǎng)絡與人員的實際情況。在確定缺陷在哪里、如何進行糾正的過程中，我們將能夠制定出一種適用于其他低優(yōu)先級問題的原則性方法。”

Elston還強調(diào)了為不同人員及團隊建立內(nèi)部渠道，借此就安全問題開展溝通和協(xié)作的重要意義。對于還不太熟悉DevSecOps方法的朋友來說，這也不失為一種理想的探索起點。

Elston指出：“值得慶幸的是，通過負責任披露計劃、眾包信息源以及滲透測試，我們可以及早發(fā)現(xiàn)大部分漏洞并迅速加以修復。但要想達成這一目標，我們就必須在IT、基礎設施、安全及開發(fā)團隊之間建立起清晰而積極的溝通渠道。”

3. 解決供應鏈問題，滿足IT安全需求

容器、微服務、編排等用于描述云原生應用程序開發(fā)方法的基本概念，其實也適用于當下精密無比、環(huán)環(huán)相扣的全球供應鏈體系。雖然細節(jié)有所區(qū)別，但供應鏈管理中的很多原則、特別是供應鏈安全問題，也同樣適用于IT部門。

來自紅帽的Haff表示：“供應鏈的核心主題適用于一切領域，其中當然也包括軟件、包括開源軟件。”

那么有多普適？足以讓白宮在2021年5月發(fā)布關(guān)于網(wǎng)絡安全的專項行政令。

如同其他供應鏈一樣，IT供應鏈中的大多數(shù)軟件都需要依賴其他軟件進行構(gòu)建、打包和部署。即使是擁有龐大開發(fā)團隊的組織，也不可能萬事從零開始親手構(gòu)建——這壓根沒有可行性。

Haff指出：“組織編寫的大部分軟件都依賴于其他外來軟件，包括從互聯(lián)網(wǎng)上直接下載到的軟件。大部分代碼當然沒有惡意因素，但與所有軟件一樣，其中仍可能包含bug、或者已經(jīng)過于陳舊。”

軟件供應鏈將成為2022年及之后IT安全中的關(guān)鍵領域。事實上，我們不妨將DevSecOps理解成一種從根本上建立安全供應鏈的范式。沒錯，這是一種新范式、而非傳統(tǒng)的網(wǎng)絡邊界問題。正因為如此，受信容器注冊表（例如Quay）和自動鏡像掃描才會變得越來越受重視。

Haff提到，開源安全基金會（OpenSSF）等行業(yè)組織已經(jīng)開始在宏觀層面解決供應鏈問題，但IT專業(yè)人員也應將這種心態(tài)融入自己的組織當中。

軟件供應鏈將成為2022年及之后IT安全中的關(guān)鍵領域。

Haff認為，“IT領導者需要提高對安全問題的認知度，并在DevSecOps工作流程當中充分利用軟件掃描與簽名工具來緩解現(xiàn)實挑戰(zhàn)。”

Red Hat云與DevSecOps戰(zhàn)略總監(jiān)Kirsten Newcomer預計，供應鏈安全將成為2022年IT領導者及其團隊的核心關(guān)注點。組織將意識到，單憑漏洞分析等現(xiàn)有方法已經(jīng)不足以抵御潛在入侵。DevSecOps團隊將擴展自身戰(zhàn)略與工具鏈豐富度，全力保護供應鏈體系。

Newcomer指出，“為此，Tekton CD鏈及Sigstore等新興技術(shù)將在流程中逐漸鋪開，降低組織在流程中添加簽名的門檻。”

事實上，Newcomer還嘗試將另一個傳統(tǒng)概念引入IT領域：軟件材料清單（SBOM）。

Newcomer表示，“關(guān)于交付SBOM的提議標準已經(jīng)初步成型，但出于對供應鏈安全的擔憂，我們現(xiàn)在必須加快步伐、確保所有組織都能理解該如何整理并提交軟件材料清單。”Newcomer同時補充稱，業(yè)內(nèi)即將對靜態(tài)與動態(tài)BOM問題展開廣泛討論。

所謂動態(tài)，自然需要涵蓋不斷變化的信息，例如漏洞數(shù)據(jù)。換句話說，軟件包本身并沒有改變，但其運行所依賴的其他軟件也可能曝出新的漏洞。

Newcomer指出，“與之相關(guān)，圍繞SBOM及相關(guān)包元數(shù)據(jù)的自動化方案也將爆發(fā)式增長。”

4. 數(shù)據(jù)，數(shù)據(jù)為王

端點與網(wǎng)絡安全等傳統(tǒng)關(guān)注方向仍然重要，但無論是對惡意攻擊者、還是對于相阻止惡意攻擊的人員和組織來說，安全的核心都是數(shù)據(jù)。這些數(shù)據(jù)大多分布在眾多環(huán)境當中，于是“數(shù)據(jù)就是新的貨幣”在攻守兩大陣營中都成了真相、而不止是比喻。

云安全是個宏大議題，這倒不是因為云基礎設施本身安全度不足。相反，它相對安全、所以幾乎每家組織都已經(jīng)成功上云，云自然也就成了數(shù)據(jù)的聚集地。

Authomize公司CTO Gal Diskin表示，組織應該優(yōu)先考慮工具與策略，例如基于角色的訪問控制和零信任原則，借此規(guī)避不必要的風險。Diskin建議不斷優(yōu)化身份與訪問管理范圍內(nèi)的一切內(nèi)容。“做最悲觀的假設”將非常重要：假設您的云賬戶、基礎設施、SaaS等等，終將、甚至已經(jīng)遭到了入侵。

Diskin表示，“大家應該為企業(yè)賬戶遭受威脅做好準備，并據(jù)此規(guī)劃安全策略�？v深防御非常有效，還應輔以能限制賬戶盜竊范圍的其他工具，確保組織能夠持續(xù)驗證訪問權(quán)限，將以往粗略的身份驗證層轉(zhuǎn)化為細粒度授權(quán)體系。”

ZL Technologies全球服務負責人Melinda Watts預計，過去一直專注于基礎設施的安全團隊，將會在新一年中更多重視駐留或流經(jīng)基礎設施的數(shù)據(jù)內(nèi)容。

具體來講，Watts認為從安全角度出發(fā)，組織將更多關(guān)注自己掌握的暗數(shù)據(jù)。用直白的話來說，暗數(shù)據(jù)就是組織產(chǎn)出了、存儲了，但實際上并沒有得到使用的各種信息。

Watts指出，“DevSecOps長久以來一直采用自上而下的安全方法，確保云端或本地存儲基礎設施安全無憂。然而，2022年開始這項工作將迎來自下而上的新補充。在這種新方法中，企業(yè)將重新關(guān)注系統(tǒng)中所存儲數(shù)據(jù)的安全水平。”

有一些組織已經(jīng)達成了這種平衡，而長期認為基礎設施重要度高于數(shù)據(jù)的組織則需要奮力追趕。攻擊者的目標肯定不單是入侵服務器，他們想要的是服務器上的容器或者登錄憑證，再借此竊取與組織相關(guān)的數(shù)據(jù)信息。數(shù)據(jù)才是重點、數(shù)據(jù)才是目標。

正因為如此，勒索軟件才成為一種體量龐大的業(yè)務模式，并繼續(xù)在醫(yī)療保健、銀行與金融服務、政府部門等備受矚目的領域瘋狂肆虐。

Elston最后總結(jié)道，“近年來，健康數(shù)據(jù)安全已經(jīng)成為一波新興趨勢；隨著未來幾年勒索軟件攻擊的持續(xù)存在，這波趨勢終將成為主流關(guān)切。”