譯者 | 晶顏

審校 | 重樓

零日威脅正變得比以往任何時(shí)候都更加危險(xiǎn)。5月底至6月初，惡意行為者通過(guò)零日攻擊接管了眾多名人和品牌的TikTok賬戶。用戶聲稱(chēng)在打開(kāi)一條私信后便喪失了賬戶的控制權(quán)。而用于攻擊的惡意軟件能夠在用戶不下載或安裝任何程序的情況下感染設(shè)備。

目前尚不清楚此次事件的損害程度。TikTok發(fā)言人亞歷克斯·豪雷克（Alex Haurek）表示，被入侵的賬戶數(shù)量“非常少”，但他也拒絕提供具體數(shù)字。據(jù)悉，TikTok方面一直在與受影響帳戶的所有者合作，恢復(fù)其訪問(wèn)權(quán)限，并采取措施確保問(wèn)題不再發(fā)生。

從邏輯上講，即便擁有大量資源的大型組織也可能淪為零日攻擊的受害者，那么資源有限的小型企業(yè)則處于更脆弱的位置。這強(qiáng)調(diào)了最大限度地集成DevOps和安全性的重要性。

零日漏洞的威脅

零日漏洞是指軟件中那些尚未發(fā)現(xiàn)、識(shí)別和分析的安全缺陷或問(wèn)題。沒(méi)有人知道它們的存在，更不用說(shuō)它們的運(yùn)行原理了。沒(méi)有任何可用的安全補(bǔ)丁能夠解決這些問(wèn)題，因此，當(dāng)有人發(fā)現(xiàn)它們時(shí)，通?？梢圆皇茏璧K和限制地發(fā)動(dòng)攻擊。大多數(shù)現(xiàn)有的網(wǎng)絡(luò)防御措施往往對(duì)此類(lèi)攻擊無(wú)效。

TikTok只是受到零日攻擊的主要組織之一。2017年，微軟遭遇了MS Word零日漏洞攻擊，導(dǎo)致個(gè)人銀行賬戶被盜。2020年，在蘋(píng)果的iOS系統(tǒng)中發(fā)現(xiàn)了至少兩個(gè)零日漏洞，允許惡意行為者進(jìn)行遠(yuǎn)程攻擊。同年，廣受歡迎的視頻會(huì)議平臺(tái)Zoom遭受?chē)?yán)重的零日攻擊，允許攻擊者控制設(shè)備并訪問(wèn)文件。

然而，缺乏有關(guān)漏洞的信息并不意味著沒(méi)有辦法檢測(cè)、阻止和緩解它們。零日漏洞是可以阻止的，或者至少可以通過(guò)正確的策略和解決方案加以緩解。雖然零日漏洞并不容易解決，但正確的策略可以顯著增加威脅行為者的攻擊難度。而阻止它們最好的方法之一就是通過(guò)DevSecOps。

現(xiàn)代IT安全的基礎(chǔ)

在過(guò)去的幾年里，DevOps一直是軟件開(kāi)發(fā)領(lǐng)域最受歡迎的流行語(yǔ)，但在優(yōu)化軟件開(kāi)發(fā)過(guò)程和加快上市時(shí)間的權(quán)衡中，安全性顯然是不容忽視的。網(wǎng)絡(luò)威脅正變得越來(lái)越復(fù)雜且極具侵略性，開(kāi)發(fā)人員參與構(gòu)建網(wǎng)絡(luò)保護(hù)已成為必要舉措。

單獨(dú)的審查解決方案通常不能立即處理軟件代碼本身的問(wèn)題?？紤]到這一點(diǎn)，開(kāi)發(fā)人員最適合從底層開(kāi)始強(qiáng)調(diào)安全性的實(shí)踐，同時(shí)保持高可交付性。

首先，開(kāi)發(fā)人員可以采用“左移”原則，將安全測(cè)試工具和過(guò)程集成到CI/CD管道中。他們可以在開(kāi)發(fā)階段識(shí)別和處理漏洞，將其作為標(biāo)準(zhǔn)例程的一部分，而不是進(jìn)行單獨(dú)的安全測(cè)試。這大大消除了軟件部署之前的安全問(wèn)題。

其次，開(kāi)發(fā)人員也可以按照OWASP安全編碼實(shí)踐和開(kāi)放項(xiàng)目（Open Project）的安全編碼實(shí)踐等指南或標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)安全編碼。這也被稱(chēng)為“設(shè)計(jì)安全”（security by design）原則，要求開(kāi)發(fā)人員在其中構(gòu)建專(zhuān)門(mén)針對(duì)已知和未知漏洞的彈性軟件。

此外，DevOps團(tuán)隊(duì)可以實(shí)現(xiàn)連續(xù)的漏洞掃描，以不斷檢查其代碼中可能存在的安全缺陷。這涉及到在整個(gè)開(kāi)發(fā)流程中使用漏洞掃描工具。此舉需要額外的成本，但安全回報(bào)也是無(wú)可爭(zhēng)議的。實(shí)時(shí)檢測(cè)漏洞的能力確保了快速修復(fù)和補(bǔ)救，防止威脅參與者發(fā)現(xiàn)和利用漏洞。

DevOps團(tuán)隊(duì)還可以利用基礎(chǔ)設(shè)施即代碼（IaC）來(lái)簡(jiǎn)化云環(huán)境管理。IaC支持通過(guò)代碼配置提供基礎(chǔ)設(shè)施，這使得在部署之前迭代安全配置和檢查代碼中的問(wèn)題變得更加容易。安全實(shí)踐融入到代碼中，可以確保安全標(biāo)準(zhǔn)和機(jī)制的同步實(shí)現(xiàn)。

同時(shí)，DevOps團(tuán)隊(duì)可以利用容器化和微服務(wù)架構(gòu)來(lái)隔離應(yīng)用程序，并使其更容易應(yīng)對(duì)零日攻擊。這些措施不一定能防止“零日”的出現(xiàn)，但它們有助于控制和解決問(wèn)題。每個(gè)容器都在孤立的環(huán)境中運(yùn)行，這意味著如果漏洞被利用，危害可能僅限于受影響的容器。此外，為受影響的容器打補(bǔ)丁并進(jìn)行取證將更快，以確保在其他容器中不會(huì)再次出現(xiàn)相同的問(wèn)題。

DevSecOps最佳實(shí)踐

一個(gè)成功的DevSecOps策略需要的不僅僅是工具。將安全軟件和測(cè)試集成到整個(gè)開(kāi)發(fā)過(guò)程中是不夠的。組織還應(yīng)該考慮最佳實(shí)踐，如持續(xù)監(jiān)控、定期測(cè)試和審核，以及員工教育。

重要的是要使用能夠持續(xù)監(jiān)控的安全工具，包括能夠全面監(jiān)控安全問(wèn)題開(kāi)發(fā)過(guò)程的自動(dòng)化和人工智能驅(qū)動(dòng)的服務(wù)。人工智能還可以為強(qiáng)大的漏洞警報(bào)系統(tǒng)提供動(dòng)力，通過(guò)結(jié)合上下文來(lái)避免安全信息過(guò)載，并確保最重要和緊急的警報(bào)不會(huì)被掩蓋在無(wú)關(guān)緊要的細(xì)節(jié)之下，例如誤報(bào)和低風(fēng)險(xiǎn)事件的日志。

需要強(qiáng)調(diào)的是，安全審計(jì)和測(cè)試與持續(xù)監(jiān)視是不同的。審計(jì)和測(cè)試是定期進(jìn)行的，它們針對(duì)的是特定的領(lǐng)域或功能。持續(xù)監(jiān)視則是一個(gè)正在進(jìn)行的過(guò)程，它可以揭示趨勢(shì)和即時(shí)辨認(rèn)的漏洞，但是這些過(guò)程不像定期滲透測(cè)試那樣徹底和深入。

最后，DevOps團(tuán)隊(duì)?wèi)?yīng)該在安全性能優(yōu)化方面具有較高的熟練程度。這需要他們接受培訓(xùn)，并與安全團(tuán)隊(duì)密切合作。

結(jié)語(yǔ)

未來(lái)，零日攻擊的實(shí)例不太可能減少。組織應(yīng)該清楚地認(rèn)識(shí)到威脅行為者在尋找和利用漏洞方面正變得越來(lái)越狡猾和具有攻擊性，并為此做好準(zhǔn)備。擁抱DevSecOps是非常重要的舉措，這可能需要對(duì)許多組織進(jìn)行范式轉(zhuǎn)變。組織需要觀察新的實(shí)踐，并投資于新的工具和流程，以主動(dòng)和更有效地解決與零日漏洞相關(guān)的安全問(wèn)題。

雖然DevSecOps很難做到萬(wàn)無(wú)一失，但如果組織集成了他們的安全工具，簡(jiǎn)化了他們的安全流程，實(shí)現(xiàn)了持續(xù)的監(jiān)控，并進(jìn)行了定期的滲透測(cè)試和安全審計(jì)，那么他們肯定有更好的機(jī)會(huì)避免不可預(yù)測(cè)的安全問(wèn)題。

原文標(biāo)題：How DevSecOps Can Combat Zero-Day Threats，作者：Annie Qureshi