文章

2021年云应用中的网络安全

2021-06-26Pavan Belagatti

159阅
随着网络安全领域的最新进展,人们将会看到出现的一些新规则对现代云应用程序带来的影响。
       如果处理不当,每个方面都会带来安全风险。全球有数十亿人使用在线和数字技术,网络攻击者有足够的机会攻破防火墙或防御措施,并对全球各地的机构或企业进行网络攻击。如今,有关网络安全方面的新闻不胜枚举,例如比特币挖掘、信用卡凭据窃取、向系统注入恶意代码、窃取机密数据等一些不良行为。在当今的数字世界中,这不仅仅是速度、快速接触客户、轻松设置、令人兴奋的功能等,而是关于企业的系统、数据或功能的安全性。

什么是网络安全?

       保护电子数据、网络、计算机系统和任何形式的数字基础设施免受恶意网络攻击的方法和实践被称为网络安全。银行、教育机构、科技公司、政府机构、出版社、医院和各个部门都投资于网络安全基础设施,以保护其客户数据、商业机密和商业情报免受网络攻击者的侵害。

       健全的网络安全战略是应对网络犯罪和恶意攻击的重要安全态势,这些网络攻击旨在访问、挖掘、注入、删除或勒索公司或开发人员的系统和机密数据。以下将讨论关于网络安全和防范网络攻击的内容。

网络安全的重要性

       在许多情况下,由于网络安全法规的不完善,使得网络攻击者能够入侵企业的网络,并以各种方式损害系统,因此一些企业丧失了声誉和信任,并且在收入方面遭受了严重损失,但仍然无法有效应付。企业需要围绕网络安全制定强有力的标准和原则,以避免网络攻击者攻击系统。网络安全变得比以往任何时候都更加重要。以下是一些调查报告和示例:

       ·到2021年,全球各地的企业由于网络攻击造成的损失预计将超过6万亿美元。

       ·研究机构Gartner公司预测,到2022年,全球的安全支出将达到1700亿美元,在短短一年内将增长8%。

       ·美国全国互助保险公司最近的一项调查发现,58%的企业至少遭受过一次网络攻击。

       ·与2015年相比,预计2021年勒索软件危害事件将增加57倍。据称勒索软件是美国快速增长的网络犯罪之一。因此,美国司法部(DOJ)将勒索软件称之为一种新的网络犯罪商业模式。

       ·WannaCry攻击英国各地的医院服务系统,导致其医疗服务关闭近一周。这是一次勒索软件攻击,网络犯罪分子控制了英国卫生系统,并要求交付赎金交还控制权。

网络安全最佳实践

       以下是企业在实施网络安全最佳实践时需要考虑的一些建议:

       ·进行网络钓鱼模拟。

       ·对开发人员进行网络安全培训。

       ·聘请安全专业人员。

       ·采用DevSecOps最佳实践。

       ·仅对所需人员进行控制访问。

       ·使用多重身份验证。

       ·利用最好的安全漏洞工具。

       ·启用防火墙保护。

       ·通过道德黑客进行更多测试。

网络安全威胁的类型

       以下是一些需要了解的主要网络安全威胁:

       ·恶意软件是指病毒、特洛伊木马和间谍软件,它们可以通过恶意软件注入任何系统以对其造成危害。

       ·勒索软件是一种恶意软件,它通过加密锁定目标计算机系统和文件,并要求支付赎金才能解锁。

       ·社交工程涉及人类互动,黑客诱骗受害者破坏安全协议,并获取受保护的敏感数据。

       ·网络钓鱼是网络攻击者以电子邮件(类似于具有相同名称的知名来源)的形式发送给受害者的欺诈活动。这样做是为了窃取敏感信息和登录详细信息。

       ·内部威胁是员工、承包商或与企业有密切联系的任何人实施的一种安全漏洞。

       ·分布式拒绝服务(DDoS)攻击是指网络攻击者将可疑流量发送到目标网站,使它们变慢、破坏/崩溃系统。

       ·高级持久性威胁(APT)是指网络攻击者在很长一段时间内通过破坏网络安全而不被发现,从而窃取数据的威胁。

       ·中间人(MitM)攻击是指网络攻击者充当未知且无法识别的中间人,拦截两方之间的通信线路。

DevOps和网络安全

       如今的网络安全不仅仅是拥有防火墙和安全措施,就认为一切都是安全的。这是一项持续的努力,需要持续和关键的关注来克服安全挑战。数字时代的网络安全补充了DevOps开发、测试、保护、管理和维护持续交付和质量的途径。

       使用DevOps流程的企业必须实施以上讨论的强大的安全实践。IT团队实施的安全标准也应该用于DevOps安全。如果没有适当的安全措施,DevOps实践有时可能会使企业面临严重的安全风险。管理DevOps网络安全的理想方法是与安全团队合作并参与持续威胁监控。

       在当今的软件企业中,网络安全被集成到DevOps中是有充分理由的。加强开发和运营两个部门之间的沟通与协作,将显著加强风险管理,并处理SDLC任何阶段出现的安全问题。

有关网络安全事件的新闻报道

       最近发生的最严重的一次网络安全攻击是美国大型信息技术商SolarWinds公司,其攻击持续几个月未被发现,并于去年12月首次被路透社报道。这个网络安全漏洞被认为是21世纪受影响最大的漏洞之一。

       在秘密侵入SolarWind公司的系统后,网络攻击者在该公司影响多个客户的重要软件系统之一中添加了恶意代码。其名为“OrionIT”的系统受到了严重影响,它是全球许多大型企业和政府机构采用的监控和管理软件。

       根据美国证券交易委员会的文件,Solarwinds公司拥有33,000个使用Orion的客户。通过这种方式,网络攻击者获得了对数千个SolarWinds客户的登录凭据、网络、系统和数字签名的访问权限。

       网络攻击者利用供应链攻击技术将恶意代码注入OrionIT系统。通过第三方访问,黑客可以攻击SolarWind的系统(OrionIT),这通常发生在供应链攻击中。

现在是什么,接下来是什么?行政命令

       SolarWind公司的网络攻击震惊了世界各国。对此,美国政府开始致力于整顿网络安全法规,以防止此类攻击的发生,并提供数十亿美元的资金来提高安全性。美国总统拜登签署行政命令以实现网络防御现代化;该命令的动机是需要更强大的安全流程,特别是围绕软件供应链攻击。这个行政命令致力于为实现安全最佳实践的现代化和保护美国联邦网络做出显著贡献。

       因此,主要的软件公司/供应商面临着更新和重新调整以加强其网络安全规则的压力。这意味着未来几年软件供应商将把网络安全放在最高优先级,这似乎是应对网络攻击者入侵的一个主要举措。

       美国政府和所有相关机构已提醒其软件供应商遵循稳健的网络安全协议和原则。

       美国政府的行政命令非常明确:它规定网络安全相当于美国政府的国家安全。为了获得更强大的安全态势,向美国联邦政府出售的任何软件不仅需要稳定、有价值的应用程序,还需要遵守严格的软件材料清单(SBOM)要求,其中包括用于构建软件的所有组件。

软件物料清单(SBOM)

       软件物料清单(SBOM) 是构成软件程序或应用程序的组件的完整列表。它要求供应商仔细列出用于构建应用程序的工具和第三方组件。出于安全原因,软件物料清单(SBOM) 被认为非常有价值,因为它包含每一个细节。因此,如果出现任何灾难或安全问题,供应商很容易追踪导致问题的原因,并帮助解决或减轻这些挑战。

       在当前的行政命令中,重要的不仅仅是整个软件而是细节,每一个微小的细节或组件都必须遵守新的行政命令。

       如今,有许多解决方案可以扫描和列出应用程序中使用的组件,而JFrog就是其中一种更进一步的解决方案。

       使用JFrog产品(特别是Artifactory和Xray),可以轻松了解组件、这些组件的来源以及组件的所有相关细节。这样就可以做出数据驱动的决策,并在出现任何问题时采取预防措施。

软件物料清单(SBOM) 的重要性

       软件开发商必须为其代码库准备和维护软件BOM(SBOM)。任何典型的JavaScript Web应用程序都包含至少1000个依赖项,每个依赖项都可以包含更多的依赖项。因此,仅仅关注应用程序的顶级部分是无关紧要的,这意味着可能会错过应用程序正在使用的大部分代码。

       用户需要问问自己,是否检查应用程序包含的开源组件的许可证是宽松的还是严格的?是否知道代码库中的开源组件正在维护?

       用户如何验证其应用程序或软件使用的开源组件是否存在任何已知漏洞?这就是软件物料清单(SBOM)发挥重要作用的地方,因此重要的不仅是了解整个过程,还包括了解每一个环境细节。

       这是将要发布的软件物料清单(SBOM)标准的高级要求可能发挥作用的地方。虽然许多安全公司可能会提供一些说明,但在二进制生命周期中公开环境和变量的DevOps平台将处于满足这些政府要求的主要位置。例如,JFrog平台可以作为JFrog所说的安全状况的“单一事实来源”。通过不仅了解顶级二进制文件,而且了解所有构建和管道信息,用户将不仅能够了解其中的成分,还能够了解它们的来源以及这些成分的供应链。这样,用户或许能够基于这些新的网络安全需求更好地满足未来的需求。
 
责任编辑:程玥
本文来源于互联网,e-works本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供,并以尽力标明作者与出处,如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
读者评论 (0)
请您登录/注册后再评论