隨著網(wǎng)絡(luò)安全領(lǐng)域的最新進(jìn)展，人們將會看到出現(xiàn)的一些新規(guī)則對現(xiàn)代云應(yīng)用程序帶來的影響。

如果處理不當(dāng)，每個(gè)方面都會帶來安全風(fēng)險(xiǎn)。全球有數(shù)十億人使用在線和數(shù)字技術(shù)，網(wǎng)絡(luò)攻擊者有足夠的機(jī)會攻破防火墻或防御措施，并對全球各地的機(jī)構(gòu)或企業(yè)進(jìn)行網(wǎng)絡(luò)攻擊。如今，有關(guān)網(wǎng)絡(luò)安全方面的新聞不勝枚舉，例如比特幣挖掘、信用卡憑據(jù)竊取、向系統(tǒng)注入惡意代碼、竊取機(jī)密數(shù)據(jù)等一些不良行為。在當(dāng)今的數(shù)字世界中，這不僅僅是速度、快速接觸客戶、輕松設(shè)置、令人興奮的功能等，而是關(guān)于企業(yè)的系統(tǒng)、數(shù)據(jù)或功能的安全性。

什么是網(wǎng)絡(luò)安全?

保護(hù)電子數(shù)據(jù)、網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和任何形式的數(shù)字基礎(chǔ)設(shè)施免受惡意網(wǎng)絡(luò)攻擊的方法和實(shí)踐被稱為網(wǎng)絡(luò)安全。銀行、教育機(jī)構(gòu)、科技公司、政府機(jī)構(gòu)、出版社、醫(yī)院和各個(gè)部門都投資于網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，以保護(hù)其客戶數(shù)據(jù)、商業(yè)機(jī)密和商業(yè)情報(bào)免受網(wǎng)絡(luò)攻擊者的侵害。

健全的網(wǎng)絡(luò)安全戰(zhàn)略是應(yīng)對網(wǎng)絡(luò)犯罪和惡意攻擊的重要安全態(tài)勢，這些網(wǎng)絡(luò)攻擊旨在訪問、挖掘、注入、刪除或勒索公司或開發(fā)人員的系統(tǒng)和機(jī)密數(shù)據(jù)。以下將討論關(guān)于網(wǎng)絡(luò)安全和防范網(wǎng)絡(luò)攻擊的內(nèi)容。

網(wǎng)絡(luò)安全的重要性

在許多情況下，由于網(wǎng)絡(luò)安全法規(guī)的不完善，使得網(wǎng)絡(luò)攻擊者能夠入侵企業(yè)的網(wǎng)絡(luò)，并以各種方式損害系統(tǒng)，因此一些企業(yè)喪失了聲譽(yù)和信任，并且在收入方面遭受了嚴(yán)重?fù)p失，但仍然無法有效應(yīng)付。企業(yè)需要圍繞網(wǎng)絡(luò)安全制定強(qiáng)有力的標(biāo)準(zhǔn)和原則，以避免網(wǎng)絡(luò)攻擊者攻擊系統(tǒng)。網(wǎng)絡(luò)安全變得比以往任何時(shí)候都更加重要。以下是一些調(diào)查報(bào)告和示例：

• 到2021年，全球各地的企業(yè)由于網(wǎng)絡(luò)攻擊造成的損失預(yù)計(jì)將超過6萬億美元，
• 研究機(jī)構(gòu)Gartner公司預(yù)測，到2022年，全球的安全支出將達(dá)到1700億美元，在短短一年內(nèi)將增長8%。
• 美國全國互助保險(xiǎn)公司最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，58%的企業(yè)至少遭受過一次網(wǎng)絡(luò)攻擊。
• 與2015年相比，預(yù)計(jì)2021年勒索軟件危害事件將增加57倍。據(jù)稱勒索軟件是美國快速增長的網(wǎng)絡(luò)犯罪之一。因此，美國司法部(DOJ)將勒索軟件稱之為一種新的網(wǎng)絡(luò)犯罪商業(yè)模式。
• WannaCry攻擊英國各地的醫(yī)院服務(wù)系統(tǒng)，導(dǎo)致其醫(yī)療服務(wù)關(guān)閉近一周。這是一次勒索軟件攻擊，網(wǎng)絡(luò)犯罪分子控制了英國衛(wèi)生系統(tǒng)，并要求交付贖金交還控制權(quán)。

網(wǎng)絡(luò)安全最佳實(shí)踐

以下是企業(yè)在實(shí)施網(wǎng)絡(luò)安全最佳實(shí)踐時(shí)需要考慮的一些建議：

• 進(jìn)行網(wǎng)絡(luò)釣魚模擬。
• 對開發(fā)人員進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)。
• 聘請安全專業(yè)人員。
• 采用DevSecOps最佳實(shí)踐。
• 僅對所需人員進(jìn)行控制訪問。
• 使用多重身份驗(yàn)證。
• 利用最好的安全漏洞工具。
• 啟用防火墻保護(hù)。
• 通過道德黑客進(jìn)行更多測試。

網(wǎng)絡(luò)安全威脅的類型

以下是一些需要了解的主要網(wǎng)絡(luò)安全威脅：

• 惡意軟件是指病毒、特洛伊木馬和間諜軟件，它們可以通過惡意軟件注入任何系統(tǒng)以對其造成危害。
• 勒索軟件是一種惡意軟件，它通過加密鎖定目標(biāo)計(jì)算機(jī)系統(tǒng)和文件，并要求支付贖金才能解鎖。
• 社交工程涉及人類互動，黑客誘騙受害者破壞安全協(xié)議，并獲取受保護(hù)的敏感數(shù)據(jù)。
• 網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊者以電子郵件(類似于具有相同名稱的知名來源)的形式發(fā)送給受害者的欺詐活動。這樣做是為了竊取敏感信息和登錄詳細(xì)信息。
• 內(nèi)部威脅是員工、承包商或與企業(yè)有密切聯(lián)系的任何人實(shí)施的一種安全漏洞。
• 分布式拒絕服務(wù)(DDoS)攻擊是指網(wǎng)絡(luò)攻擊者將可疑流量發(fā)送到目標(biāo)網(wǎng)站，使它們變慢、破壞/崩潰系統(tǒng)。
• 高級持久性威脅(APT)是指網(wǎng)絡(luò)攻擊者在很長一段時(shí)間內(nèi)通過破壞網(wǎng)絡(luò)安全而不被發(fā)現(xiàn)，從而竊取數(shù)據(jù)的威脅。
• 中間人(MitM)攻擊是指網(wǎng)絡(luò)攻擊者充當(dāng)未知且無法識別的中間人，攔截兩方之間的通信線路。

DevOps和網(wǎng)絡(luò)安全

如今的網(wǎng)絡(luò)安全不僅僅是擁有防火墻和安全措施，就認(rèn)為一切都是安全的。這是一項(xiàng)持續(xù)的努力，需要持續(xù)和關(guān)鍵的關(guān)注來克服安全挑戰(zhàn)。數(shù)字時(shí)代的網(wǎng)絡(luò)安全補(bǔ)充了DevOps開發(fā)、測試、保護(hù)、管理和維護(hù)持續(xù)交付和質(zhì)量的途徑。

使用DevOps流程的企業(yè)必須實(shí)施以上討論的強(qiáng)大的安全實(shí)踐。IT團(tuán)隊(duì)實(shí)施的安全標(biāo)準(zhǔn)也應(yīng)該用于DevOps安全。如果沒有適當(dāng)?shù)陌踩胧?，DevOps實(shí)踐有時(shí)可能會使企業(yè)面臨嚴(yán)重的安全風(fēng)險(xiǎn)。管理DevOps網(wǎng)絡(luò)安全的理想方法是與安全團(tuán)隊(duì)合作并參與持續(xù)威脅監(jiān)控。

在當(dāng)今的軟件企業(yè)中，網(wǎng)絡(luò)安全被集成到DevOps中是有充分理由的。加強(qiáng)開發(fā)和運(yùn)營兩個(gè)部門之間的溝通與協(xié)作，將顯著加強(qiáng)風(fēng)險(xiǎn)管理，并處理SDLC任何階段出現(xiàn)的安全問題。

有關(guān)網(wǎng)絡(luò)安全事件的新聞報(bào)道

最近發(fā)生的最嚴(yán)重的一次網(wǎng)絡(luò)安全攻擊是美國大型信息技術(shù)商SolarWinds公司，其攻擊持續(xù)幾個(gè)月未被發(fā)現(xiàn)，并于去年12月首次被路透社報(bào)道。這個(gè)網(wǎng)絡(luò)安全漏洞被認(rèn)為是21世紀(jì)受影響最大的漏洞之一。

在秘密侵入SolarWind公司的系統(tǒng)后，網(wǎng)絡(luò)攻擊者在該公司影響多個(gè)客戶的重要軟件系統(tǒng)之一中添加了惡意代碼。其名為“OrionIT”的系統(tǒng)受到了嚴(yán)重影響，它是全球許多大型企業(yè)和政府機(jī)構(gòu)采用的監(jiān)控和管理軟件。

根據(jù)美國證券交易委員會的文件，Solarwinds公司擁有33,000個(gè)使用Orion的客戶。通過這種方式，網(wǎng)絡(luò)攻擊者獲得了對數(shù)千個(gè)SolarWinds客戶的登錄憑據(jù)、網(wǎng)絡(luò)、系統(tǒng)和數(shù)字簽名的訪問權(quán)限。

網(wǎng)絡(luò)攻擊者利用供應(yīng)鏈攻擊技術(shù)將惡意代碼注入OrionIT系統(tǒng)。通過第三方訪問，黑客可以攻擊SolarWind的系統(tǒng)(OrionIT)，這通常發(fā)生在供應(yīng)鏈攻擊中。

現(xiàn)在是什么，接下來是什么?行政命令

SolarWind公司的網(wǎng)絡(luò)攻擊震驚了世界各國。對此，美國政府開始致力于整頓網(wǎng)絡(luò)安全法規(guī)，以防止此類攻擊的發(fā)生，并提供數(shù)十億美元的資金來提高安全性。美國總統(tǒng)拜登簽署行政命令以實(shí)現(xiàn)網(wǎng)絡(luò)防御現(xiàn)代化;該命令的動機(jī)是需要更強(qiáng)大的安全流程，特別是圍繞軟件供應(yīng)鏈攻擊。這個(gè)行政命令致力于為實(shí)現(xiàn)安全最佳實(shí)踐的現(xiàn)代化和保護(hù)美國聯(lián)邦網(wǎng)絡(luò)做出顯著貢獻(xiàn)。

因此，主要的軟件公司/供應(yīng)商面臨著更新和重新調(diào)整以加強(qiáng)其網(wǎng)絡(luò)安全規(guī)則的壓力。這意味著未來幾年軟件供應(yīng)商將把網(wǎng)絡(luò)安全放在最高優(yōu)先級，這似乎是應(yīng)對網(wǎng)絡(luò)攻擊者入侵的一個(gè)主要舉措。

美國政府和所有相關(guān)機(jī)構(gòu)已提醒其軟件供應(yīng)商遵循穩(wěn)健的網(wǎng)絡(luò)安全協(xié)議和原則。

美國政府的行政命令非常明確：它規(guī)定網(wǎng)絡(luò)安全相當(dāng)于美國政府的國家安全。為了獲得更強(qiáng)大的安全態(tài)勢，向美國聯(lián)邦政府出售的任何軟件不僅需要穩(wěn)定、有價(jià)值的應(yīng)用程序，還需要遵守嚴(yán)格的軟件材料清單(SBOM)要求，其中包括用于構(gòu)建軟件的所有組件。

軟件物料清單(SBOM)

軟件物料清單(SBOM) 是構(gòu)成軟件程序或應(yīng)用程序的組件的完整列表。它要求供應(yīng)商仔細(xì)列出用于構(gòu)建應(yīng)用程序的工具和第三方組件。出于安全原因，軟件物料清單(SBOM) 被認(rèn)為非常有價(jià)值，因?yàn)樗恳粋€(gè)細(xì)節(jié)。因此，如果出現(xiàn)任何災(zāi)難或安全問題，供應(yīng)商很容易追蹤導(dǎo)致問題的原因，并幫助解決或減輕這些挑戰(zhàn)。

在當(dāng)前的行政命令中，重要的不僅僅是整個(gè)軟件而是細(xì)節(jié)，每一個(gè)微小的細(xì)節(jié)或組件都必須遵守新的行政命令。

如今，有許多解決方案可以掃描和列出應(yīng)用程序中使用的組件，而JFrog就是其中一種更進(jìn)一步的解決方案。

使用JFrog產(chǎn)品(特別是Artifactory和Xray)，可以輕松了解組件、這些組件的來源以及組件的所有相關(guān)細(xì)節(jié)。這樣就可以做出數(shù)據(jù)驅(qū)動的決策，并在出現(xiàn)任何問題時(shí)采取預(yù)防措施。

軟件物料清單(SBOM) 的重要性

軟件開發(fā)商必須為其代碼庫準(zhǔn)備和維護(hù)軟件BOM(SBOM)。任何典型的JavaScript　Web應(yīng)用程序都包含至少1000個(gè)依賴項(xiàng)，每個(gè)依賴項(xiàng)都可以包含更多的依賴項(xiàng)。因此，僅僅關(guān)注應(yīng)用程序的頂級部分是無關(guān)緊要的，這意味著可能會錯(cuò)過應(yīng)用程序正在使用的大部分代碼。

用戶需要問問自己，是否檢查應(yīng)用程序包含的開源組件的許可證是寬松的還是嚴(yán)格的?是否知道代碼庫中的開源組件正在維護(hù)?

用戶如何驗(yàn)證其應(yīng)用程序或軟件使用的開源組件是否存在任何已知漏洞?這就是軟件物料清單(SBOM)發(fā)揮重要作用的地方，因此重要的不僅是了解整個(gè)過程，還包括了解每一個(gè)環(huán)境細(xì)節(jié)。

這是將要發(fā)布的軟件物料清單(SBOM)標(biāo)準(zhǔn)的高級要求可能發(fā)揮作用的地方。雖然許多安全公司可能會提供一些說明，但在二進(jìn)制生命周期中公開環(huán)境和變量的DevOps平臺將處于滿足這些政府要求的主要位置。例如，JFrog平臺可以作為JFrog所說的安全狀況的“單一事實(shí)來源”。通過不僅了解頂級二進(jìn)制文件，而且了解所有構(gòu)建和管道信息，用戶將不僅能夠了解其中的成分，還能夠了解它們的來源以及這些成分的供應(yīng)鏈。這樣，用戶或許能夠基于這些新的網(wǎng)絡(luò)安全需求更好地滿足未來的需求。