<p>在SolarWinds公司遭受大规模网络攻击一年多之后,被攻击的公司继续受到其声誉和财务损失的影响。此外,全球软件供应链仍然容易受到严重的攻击。</p><p>没有人知道 SolarWinds 攻击单独创建了多少潜在的后门,这可能允许恶意行为者在看似无限数量的网络上持续存在;我们也不知道下一次攻击何时会发生并可能带来更可怕的后果。例如,在发现 Log4j 漏洞及其相关补丁六个月后,世界各地的网络和产品仍然存在没有打补丁、易受攻击并且可以在各种大小公司中被利用。</p><p>改变这种状况,意味着开发人员、运营人员和DevOps 团队应该开始构建更安全的代码。这也意味着使用云服务、第三方软件或供应商同时也应该更清楚地了解到代码的安全性。增加对底层技术本身的关注不会完全防止攻击,但可以减少被攻击的次数。</p><h3><font color="#c24f4a">超越开源代码</font></h3><p>一个经常被推荐的解决方案是转向开源软件(OSS)。虽然开源代码仍然容易受到攻击,但创建OSS代码所涉及的过程和实践是透明的,这大大削弱了不良行为者隐藏自己的能力。但这种方法不适合在私营部门大规模使用,因为无法阻止程序员简单地复制他人的新代码,也无法保护软件开发人员的知识产权。</p><p>还有其他一些方式同样有效,包括将安全功能和测试集成到开发工具和流程中。例如,将<a href="https://www.woocoom.com/b031.html" target="_blank"><font color="#c24f4a">静态代码安全检测</font></a>和黑盒渗透测试等作为软件生产过程的常规部分,将在协助开发人员和安全人员发现代码中漏洞方面发挥很大的作用。理想情况下,开发人员可以及时修复这些缺陷。此外,在开发过程的每一步评估安全性可以在漏洞被恶意行为者发现之前对其进行修复或打补丁。</p><h3><font color="#c24f4a">代码签名和安全开发</font></h3><p>通过其他方式发现代码(包括开源代码)中的安全漏洞也有助于提高安全性。通过使用代码签名等创新技术可以提醒开发人员在使用代码之前是否对代码进行了任何更改,从而有助于在代码实施到产品中之前发现黑客或后门。此外,对开发人员进行培训,构建具有安全生命周期的产品,并实现用于合并和访问产品代码的安全协议,可以防止由于SDLC过程错误(或不存在)而发生的网络攻击。</p><h3><font color="#c24f4a">首席信息安全官的积极作用</font></h3><p>CISO 和 IT 专业人员也可以发挥积极作用。他们需要评估其产品底层代码的安全性,充分利用软件材料清单(SBOM),其中列出了软件的所有组件,但这只是一方面。这需要与代码签名、缺陷扫描和更新组件列表等措施相结合,以发现库和框架中新发布的弱点和漏洞。确保与软件服务提供商签订的合同规定他们遵守安全的开发实践变得越来越重要。</p><p><!--StartFragment--> <!--EndFragment--></p><p>随着全球对网络安全的高度重视,对于企业来说现在是专注于构建更安全代码的时候。但并不意味着网络安全的所有其他方面包括威胁情报、事件响应计划等不那么重要。但是,如果软件底层的代码本身能够变得更加安全,这些攻击的数量就会减少,也会降低网络攻击造成的影响。</p>
