数字化转型如火如荼,负责网络安全和风险管理的团队也肩负起更多责任。同时,远程办公以及云上的数字业务运营也给带来了新威胁。
提升网络安全或者软件安全已经不再是单纯的技术挑战,自上而下的安全意识和文化也不可或缺。2023年,安全威胁形式依然复杂,软件供应链风险愈加受到关注。在数字经济时代,软件安全与客户信任及业务增长之间的关联度更高,因为软件风险已经等同于业务风险。新年伊始,新思科技与大家分享观察到的行业趋势,希望能够帮助企业推动数字化转型或者制定软件安全计划的时候,做出更加明智、有针对性的决策。
1.企业开始投资安全预防控制措施
新思科技软件首席科学家Sammy Migues指出:“企业,尤其是董事会及内部风险管理委员会发现仅依靠侦查性控制去识别已存在的风险已经不足以抵抗各类攻击,比如恶意软件、勒索软件、漏洞利用或其它安全攻击。他们开始投资预防性控制措施。”
董事会或者企业高层决策者参与到软件安全计划,有助于将安全文化定位于企业数字化发展战略的重要位置。DevOps 和 DevSecOps 是企业文化变革。能将安全贯穿在业务中的企业可以更好地应对网络安全挑战,更有机会获得持续的业务增长。
2.虚拟现实里的安全威胁真实存在
新思科技软件质量与安全部门高级安全工程师Boris Cipot表示:“近年来,数字化已经成为重要议题。每家企业都可以说是软件企业,或者依赖于软件运营。传统的硬件厂商也开始采取‘软硬兼施’的策略。比如在工业自动化企业,可编程逻辑控制器(PLC)这样的硬件部件开始转向在计算机系统上运行的虚拟化软件。虚拟现实、增强现实或者元宇宙是更高水平的数字化体现。物联网(IoT)或者说万物互联(IoE)发展将给我们的日常生活带来更多变化。但无论如何,这些技术或者设备都必须把一件事情做好,那就是安全。”
现在黑客攻击或者漏洞利用依然普遍,危及到厂商和最终用户。明年及未来几年,IoE技术会进一步发展,与其有关的安全技术概念也将产生。很多不符合规定标准的设备将被淘汰或者禁用。
3.产品安全问责制度更加明确
新思科技软件质量与安全部门技术总监兼首席设计师Michael White表示:“许多国家和地区已经颁布或者正在制定法律法规以落实安全责任,比如美国EO 14028行政命令、欧盟 CRA条例以及英国 PSTI法案等。企业领导层必须签名,以表明他们已经采取了一切必要措施以确保产品的安全开发,并提供持续的支持,例如:在指定的生命周期内进行监控以及持续的漏洞响应(例如推出补丁)。”
此外,由于每家企业都处在供应链之中,而且大部分是位于中间环节。这意味着不仅要在企业内部,还要要求外部供应商或合作伙伴提供可信证明,以支持产品安全开发。更高的透明度是必不可少的。在创建软件物料清单(SBOM)的同时,还需要一整套监管制度,掌握使用了哪些工具、执行了哪些测试等信息。为此,很多公司开始成立开源项目办公室(OSPO),以更高效地管理软件供应链安全。
4.从安全平台到开发平台
新思科技软件质量与安全部门AppSec客户经理Gunnar Braun指出:“关于应用安全平台的讨论热度不减。开发人员通过这些平台,为软件开发生命周期(SDLC) 中越来越多的 AppSec 工具编排扫描和整合结果。相信在2023年依然如此。同时,我们也看到了对AppSec 工具的需求正在攀升,以将其集成到 GitHub 等开发平台中。”
5.软件定义浪潮席卷汽车业
新思科技首席汽车安全策略师Dennis Kengo Oka表示:“2023 年,汽车业对网络安全的需求将持续增加,因为车辆开发更多地转向‘软件定义汽车’。汽车业正在部署更先进和更复杂的解决方案,包括自动驾驶,不仅涉及车辆本身,还涉及后端系统和用户的移动设备。 这种汽车生态系统的攻击面自然也会随之增加。因此,汽车业必须继续遵循最佳实践和网络安全标准,不仅面向车辆开发,而且覆盖整个汽车生态系统。 特别是在软件开发方面,汽车厂商采用更敏捷开发方式,更快进行开发和更早执行测试,以尽早发现和修复缺陷。持续监控安全漏洞的需求也正变得越来越多。”
6.ASOC将发挥越来越关键的作用
新思科技中国区软件应用安全业务总监杨国梁表示:“应用安全编排和关联(ASOC)是AppSec解决方案的一个环节,通过工作流自动化来简化漏洞测试和修复工作。其最重要的优势在于能够提高DevSecOps的效率。产品迭代的速度越来越快,这一点在2023年也依然不会改变。敏捷开发需要更快的速度和更有效的工具。但如何对资源和修复活动进行高效管理给安全团队带来了巨大的挑战。ASOC 则在帮助应对这些挑战方面发挥着关键作用:改进资源分配、集中式漏洞管理、更好地了解风险、连续和自动扫描以及自动化AppSec流程。随着对安全团队的要求不断增多,越来越多的安全漏洞将使得安全和开发团队负载过重, ASOC无疑将在缓解该负载方面发挥越来越关键的作用。”