2月28日,美國爆出被業界稱為史上最重大的資安危機——駭客在SolarWinds公司的Orion Platform產品中植入了木馬,因此全球約有1.8萬個使用單位都成為潛在受害對象,其中不乏美國重要甚至機密的政府部門。由此,更可突顯軟體安全的重要性。
2020年是企業大量在家或遠距辦公的一年。在此趨勢下,如何完善雲端以及重新建構組織的工作流程會是2021的重大課題,其中軟體的安全性至關重要。Checkmarx發布了2021年軟體安全性預測報告,提出了9大趨勢。
1、雲端兼容性
Checkmarx認為軟體開發團隊要與時俱進,和雲端的應用程式開發保持同步。Checkmarx首席技術官Maty Siman在報告中說:「你不能編碼後,然後再修復漏洞,因為這將會成為程式漏洞。到2021年,應用於程式安全性的整合工具必須更加快速地執行工作,並擴展到雲端環境,且要以研發人員可以理解和用可進行快速修復的格式來執行。」
這些雲端環境和其應用程式已是駭客的首要攻擊目標,Checkmarx表示,「惡意網路攻擊者正在濫用身分驗證環境中的信任機制,資料竊取往往發生於攻擊者利用網路環境中的授權機制來侵入本地網路環境,藉以滲透組織的雲端機制和/或利用管理員權限來破壞其信任機制。」
2、開源軟體漏洞
開源軟體(open source software, OSS)將繼續吸引資安攻擊。Siman寫道:「很少有一周都沒有發現惡意的開源軟體包。企業都知道他們需要了解使用中的開源包安全性。即使現有的一些解決方案可以幫助排除掉一些誤植的弱點,但是它們仍然擋不住惡意攻擊,這需要在2021年改變。」同時他也建議在選用開源軟體時,須挑選較成熟和具知名度的廠商。
3、基礎架構即程式碼
Siman提到,開發人員長期以來普遍使用基礎架構程式碼建構應用程式(infrastructure-as-code environments),這在安全層面上留下了弱點,也將驅使未來有更多基礎架構程式碼的安全培訓。
他亦補充:「我預期會看到惡意攻擊者利用開發人員的失誤,在開放的網路環境中進行攻擊。為了解決這個問題,我們將集中精力加強雲端安全培訓、基礎架構程式碼實務訓練以及遠距辦公所衍生的軟體和應用程式的安全性。」
4、資安需適度站在研發團隊的角度
為了在軟體開發過程中提高安全性,資安團隊必須使自己適應並了解(公司)研發團隊的特性,藉以加強團隊之間的合作。Siman進而解釋:「研發團隊通常自我意識比較強,在企業文化中重要性也相對更高,往往很難去說服他們做一些不願買單的嘗試。如果想要加速兩者之間的正面化學效應,資安需適度站在研發團隊的角度來進行對應的協調和整合。」
5、整體安全觀
Siman表示,資安團隊須在全面性的考量中提出企業自身的資安生態系統,以及組織內資安問題的改善方針。特別是在開源軟體的安全考量,更全面的計畫將使公司知道是否正在使用容易遭受攻擊的開源軟體,同時還可以透過應用程式判讀使用方式以及可能的漏洞和威脅。
6、雲端原生安全
Checkmarx的安全研究主管Erez Yalon指出,目前雲端原生安全(Cloud-Native Security)尚未被充分地運用,同時在資安領域中也沒有普遍地了解其重要性,但我們預期在2021年將看到雲端防護和封鎖功能的推行。
Yalon更在其報告中提到,「如果2020年最受矚目的議題是API(Application Programming Interface,應用程式介面),那2021年將會是雲端原生安全。API在雲端原生安全中扮演著很重要的角色,重點將會是如何繼續擴展雲端技術及如何讓它在企業組織中廣泛地被使用,確保互通性將會是其生態鏈中的當務之急。」
7、安全性不足的應用程式介面
Yalon更預測,那些安全性不足的應用程式介面(API)將會成為網路攻擊者最容易入侵、破壞系統的地方。「隨著惡意行為者持續針對應用程式介面的攻擊,企業組織也逐漸了解到對方是如何進行入侵,進而促使開發人員迅速找到更好的解決方法,如:應用程式介面安全認證和授權機制。」
8、安全性不足的老舊設備
Yalon補充說到,老舊的IoT設備往往是企業組織所忽略的環節,在2021年也將成為網路攻擊的目標。這些老舊設備通常其開發商都已經停止提供軟體和修補程式(Patch)的更新,在沒有汰換設備的情況下,這些過時產品將更容易被找出漏洞進而成為網路攻擊者優先攻擊的主要目標。
像是Armis的報告指出,大量的工廠和醫療設備都沒有更新,也不具有足夠能力來防禦URGENT / 11和CDPwn等漏洞。研究更指出,有97%的舊型OT(Operation Technology)設備在沒有更新的情況下,遭受到URGENT/11的入侵威脅。
9、物聯網資安緩慢進展
Yalon也提到,上個月在美國通過的最新《物聯網資安改進法》(Internet of Things Cybersecurity Improvement Act)正是朝著正確的方向邁進,雖然仍有許多地方需要調整。【編按:該法已於2020年12月4日獲美國總統簽署,正式成為美國法律。】但是Yalon補充說,如果沒有消費者對政府和製造商施加實際壓力以改善物聯網設備的安全性,或是製造商自身對於物聯網安全的高度重視,就不可能取得真正的進步,這在未來將會是人們持續關注的議題。
【原文出處/threatpost】