2022年，大量企業(yè)組織開始關注AppSec（應用程序系統的安全性），并將其作為保障組織數字化轉型發(fā)展的推動因素。而在此前，AppSec往往被視為阻礙業(yè)務系統快捷運行的一種障礙。通過正確實施AppSec計劃，不僅可以保障企業(yè)業(yè)務的穩(wěn)定開展，而且可以避免安全攻擊導致的財產和商譽損失。不過有安全研究人員表示，為了在2023年提高應用程序的安全性，企業(yè)組織應該為AppSec制定專門的事件響應計劃。

AppSec威脅形勢嚴峻

2022年初爆發(fā)的Log4j漏洞，讓很多企業(yè)陷入了業(yè)務系統應用防護的困境，這突出表明了目前大多數的組織還不熟悉應用程序的構成組件，也沒有找到在應用開發(fā)過程中保證安全性的方法。據Sonatype最新發(fā)布的AppSec態(tài)勢研究報告研究認為，2023年的AppSec威脅形勢將依然嚴峻，很多企業(yè)需要與不安全的應用程序、脆弱的軟件組件以及易受攻擊的云服務開展斗爭。

報告數據顯示，軟件供應鏈攻擊在2021年快速增長了633%，其中有41%的應用程序組件還是易受攻擊的版本。與此同時，隨著企業(yè)組織將IT基礎設施遷移至云端，并采用更多的Web應用程序，這導致對API使用快速增長，平均每家企業(yè)使用了15,600個API。這也使得企業(yè)中的員工成為可被利用的攻擊路徑。攻擊者可以通過勒索軟件、惡意軟件、網絡釣魚和詐騙等諸多手段，通過普通員工的人為錯誤達成攻擊企圖。

在2022年，有83%的受訪企業(yè)遭受了基于電子郵件的網絡釣魚攻擊，這很容易導致憑據失竊，繼而危及Web應用程序和云基礎設施。西班牙桑坦德銀行（Banco Santander）網絡安全研究全球主管Daniel Cuthbert認為，通過一些非常簡單的社會工程技術就可以繞過企業(yè)多層應用安全措施，實現訪問敏感數據、系統和網絡的攻擊目標，而對此的防范措施還很不完善。

除此之外，攻擊者還專注于通過在網絡邊緣運行的許多安全控制來鎖定應用程序。在2022年舉行的Black Hat Asia會議上，研究人員就展示了通過WAF設備漏洞進行入侵攻擊的方法。而在2021年12月，網絡安全公司Claroty也同樣演示了如何使用JSON繞過五款主流WAF產品進行模擬攻擊。

制定專屬事件響應計劃

隨著AppSec威脅變得越來越普遍，企業(yè)安全團隊應該在應用系統安全事件響應方面做得更好。通過制定專門的AppSec事件響應計劃，企業(yè)可以更好地應對AppSec威脅，為各種可能出現的應用系統攻擊做好準備。主要原因包括：

• 軟件開發(fā)成為新的攻擊面：由于軟件系統的研發(fā)速度不斷加快，開發(fā)人員成為一個重要的攻擊目標。根據供應鏈攻擊防護的要求，企業(yè)安全團隊需要對業(yè)務有更深入的了解，他們必須能夠展示出具備數據管理和評估安全問題的領導力，而不是在安全攻擊發(fā)生后成為研發(fā)部門的負擔；
• 大規(guī)模災難事件：供應鏈攻擊通常是大規(guī)模災難事件，可能在一次“攻擊”中影響數千個組織。標準的安全事件響應計劃通常不適用于需要外部協商的大規(guī)模應用系統安全事件。外部的安全專家們此時可能已經不堪重負，而企業(yè)組織卻無法承擔響應延遲的后果與損失；
• AppSec還是一個不成熟的領域：AppSec的重要性直到最近才得到企業(yè)組織的關注，這也是安全團隊必須正視的客觀現象，因此很多安全人員對這類威脅的認知并不全面。如今，隨著應用程序攻擊面不斷擴大并在全球范圍內相互交織，可用的解決方案和專有技術在能力上仍然存在不足；
• 攻擊者并不需要先進的技術：由于企業(yè)缺乏足夠的工具來保護行業(yè)免受供應鏈風險的影響，并且現有的安全工具仍然不夠完善。這對攻擊者而言是非常有利的，一旦攻擊成功，他們可以從數千個組織獲得重要數據，而非一個組織。在防御方面，組織對通過CI/CD構建的應用系統缺乏可見性，對開發(fā)過程的可見性更少，這使得保護AppSec非常困難。

事件響應是一項專業(yè)的工作，涉及大量的資源和策略，并非一蹴而就的，每個AppSec事件響應計劃都只適合特定的組織。以下是針對惡意應用系統攻擊（如ESLint攻擊）的基本AppSec事件響應清單示例：

1. 檢查CI日志，查看惡意包的具體使用情況；
2. 識別被惡意代碼獲取到訪問權限的資產；
3. 識別所有可能受到損害的憑據，并在相關環(huán)境中更新/輪換所有憑據；
4. 識別所有提交了惡意包的相關開發(fā)人員，輪換相關憑據，并讓安全或IT部門對其工作站進行調查；
5. 通知研發(fā)部門（R&D）存在惡意包嫌疑，相關密鑰需要盡快輪換；
6. 審計對組織資產的所有訪問。識別任何表明憑據使用被破壞的異常情況。在初始事件響應之后繼續(xù)執(zhí)行此步驟；
7. 在采取以上步驟的同時，企業(yè)管理層應該考慮并起草一份針對攻擊事件的公開回應，并讓所有利益相關者和部門參與進來，共同完成后續(xù)的事件處置工作。

參考鏈接：

??https://www.darkreading.com/application-security/appsec-threats-deserve-their-own-incident-response-plan??

??https://www.darkreading.com/application-security/internet-appsec-remains-abysmal-requires-sustained-action-in-2023???