国产最爽的乱婬视频a提供一级a_成年黄页网站大全免费_亚洲日本va中文字幕区_亚洲日韩在线观看_亚洲无码刺激视频

說起安全性話題，近年來可謂熱度不斷。從勒索軟件到初步入侵代理、再到自動化數(shù)據(jù)中毒與對抗性機(jī)器學(xué)習(xí)，2021年的IT安全領(lǐng)域可謂“百花齊放、百家爭鳴”。

從好的方面來說，如今的安全工作已經(jīng)不需要跟在IT身后亦步亦趨。至少大型組織機(jī)構(gòu)已經(jīng)意識到獨(dú)立安全體系的重要意義。紅帽發(fā)布的《2021年全球技術(shù)展望》報(bào)告就將安全性列為IT投入的第一要?jiǎng)?wù)，有45%的受訪者將其視為接下來的頭號投入重點(diǎn)。

紅帽技術(shù)布道師Gordon Haff在報(bào)告中提到：“從歷史角度看，引發(fā)安全威脅的主要原因在于資金匱乏與重視度不足。但從方方面面的情況來看，這種被動局面正在發(fā)生變化。”

與DevSecOps的文化與實(shí)踐發(fā)展相結(jié)合，這種變化希望將威脅環(huán)境縮小到可管理的水平，同時(shí)盡可能提升安全準(zhǔn)備的全面程度——這一點(diǎn)當(dāng)然非常重要，畢竟攻擊者可不會像上班族那樣設(shè)定明確的休假時(shí)間。

Altimetrik公司信息安全負(fù)責(zé)人Aladdin Elston表示：“黑客不會任由我們組織策略、編寫程序而坐視不管，勒索軟件也不會等到數(shù)據(jù)庫經(jīng)過加密之后才施以鎖定，腳本小子更不會待到補(bǔ)丁管理周期啟動之后才嘗試?yán)�用最新漏洞�?rdquo;

考慮到以上現(xiàn)實(shí)、也值此年度之交，是時(shí)候重新評估并著力關(guān)注IT團(tuán)隊(duì)乃至組織整體的安全目標(biāo)了。以下，是2022年信息安全工作中的四大核心注意事項(xiàng)。

1. 基礎(chǔ)很重要，好習(xí)慣決定一切

如果說信息安全是一張熱門專輯，那安全習(xí)慣肯定是開篇第一首曲子。年復(fù)一年，眾多安全事件的爆發(fā)都源自某些看似平凡的日常習(xí)慣。從勒索軟件到云賬戶劫持、再到數(shù)據(jù)泄露，包括錯(cuò)誤配置（包括直接使用默認(rèn)配置）、用戶權(quán)限過高乃至修復(fù)補(bǔ)丁缺失，大部分威脅之所以能得手，倚仗的就是那些最平平無奇的小失誤。

Elston解釋到：“2022年已經(jīng)到來，很多朋友可能覺得基礎(chǔ)安全知識早已全方位普及。但很遺憾，相當(dāng)一部分基本安全實(shí)踐并沒有推開，因此極可能引發(fā)大規(guī)模安全違規(guī)。”

這就引發(fā)了新的問題：安全基礎(chǔ)究竟是什么？密碼安全與系統(tǒng)補(bǔ)丁當(dāng)然屬于基礎(chǔ)，但除此之外我們還得就更多問題與同事們結(jié)合組織實(shí)際達(dá)成共識。只有這樣，大家才能建立起一種通行的安全保護(hù)與效果量化標(biāo)準(zhǔn)。此外，“基礎(chǔ)”這個(gè)詞本身并無意義、無法直接指向任何實(shí)質(zhì)性的基本原理。

Elston表示：“在我看來，基礎(chǔ)知識囊括補(bǔ)丁管理、安全配置、威脅建模、DAST與SAST掃描、內(nèi)部與外部漏洞掃描、滲透測試、網(wǎng)絡(luò)釣魚攻擊防御、第三方漏洞評估、備份與災(zāi)難恢復(fù)、定制化安全培訓(xùn)等等。”

目前市面上充斥著眾多確有價(jià)值的安全工具和技術(shù)，其中又以能夠?qū)崿F(xiàn)安全自動化的解決方案最為亮眼。然而“工具已經(jīng)部署到位”的觀念往往會導(dǎo)致人們放松對核心安全需求的關(guān)注，甚至樂觀地假設(shè)自己已經(jīng)安全無憂、只待躺平。

“基礎(chǔ)”指的也不是陳舊，SAST與DAST掃描都是DevSecOps生命周期中的重要方法，而二者也正是當(dāng)前頗具熱度的安全“左移”理念的重要步驟。

2. 事事優(yōu)先，等于無事優(yōu)先

不斷考量/重新考量組織中的安全空缺，特別是最近剛剛發(fā)現(xiàn)但還沒解決的問題，這對于回歸安全基礎(chǔ)的整體舉措具有重大意義。ELston提到，大家可以使用各類外部框架，包括NIST網(wǎng)絡(luò)安全框架、OWASP Top 10等等。此外，MITRE ATT&CK也是值得考量的因素，還有指向特定場景的監(jiān)管規(guī)則（例如HIPAA與PCI）。

Elston建議：大家最好能從對全體資產(chǎn)的庫存檢查起步。我們無法測試或者保護(hù)自己壓根不認(rèn)識的東西——所以這份清單將成為內(nèi)部與外部漏洞評估、內(nèi)部及外部滲透測試乃至其他主動安全策略的實(shí)施基礎(chǔ)。

在這方面，個(gè)人和組織很容易在紛繁復(fù)雜的威脅情境下迷失方向。我們在企業(yè)中發(fā)現(xiàn)的風(fēng)險(xiǎn)與漏洞清單，特別是在深入研究過那些涵蓋已知威脅與CVE的外部框架或其他資源時(shí)，往往讓人感到隱患是無窮的、人力卻是有限的。答案很簡單——把問題縮小到能夠解決的規(guī)模。想要解決所有問題，那很可能什么都解決不了。面對逐年增加的潛在威脅，我們只能盡人事、并且想辦法盡好人事。

Elston指出：“大家最終可能會整理出一份對組織影響最大的風(fēng)險(xiǎn)清單，之后按重要性和業(yè)務(wù)影響對內(nèi)容進(jìn)行排序和優(yōu)先級調(diào)整。我個(gè)人建議先關(guān)注清單中的前20%條目，其他的以后再說。”

這種方法主要有兩大優(yōu)勢。首先，既可以高效、又著眼于實(shí)效地關(guān)注高緊迫度風(fēng)險(xiǎn)。這樣就能廣泛聽取安全意見，同時(shí)在組織中摸索出一套具體且可操作的方法。此外，這也是一條能夠統(tǒng)籌各方協(xié)同努力的、易于管理的安全保護(hù)路徑。

其次，這種方法也能產(chǎn)生切實(shí)有效的下游影響。因?yàn)樵陉P(guān)注最嚴(yán)重漏洞的同時(shí)，我們也能從中找到可以在其他場景中復(fù)用的固定模式。

想要解決所有問題，那很可能什么都解決不了，特別是在面對潛在威脅逐年增加的情況下。

Elston認(rèn)為：“通常情況下，關(guān)注最關(guān)鍵的漏洞能夠幫助我們理解自身環(huán)境、網(wǎng)絡(luò)與人員的實(shí)際情況。在確定缺陷在哪里、如何進(jìn)行糾正的過程中，我們將能夠制定出一種適用于其他低優(yōu)先級問題的原則性方法。”

Elston還強(qiáng)調(diào)了為不同人員及團(tuán)隊(duì)建立內(nèi)部渠道，借此就安全問題開展溝通和協(xié)作的重要意義。對于還不太熟悉DevSecOps方法的朋友來說，這也不失為一種理想的探索起點(diǎn)。

Elston指出：“值得慶幸的是，通過負(fù)責(zé)任披露計(jì)劃、眾包信息源以及滲透測試，我們可以及早發(fā)現(xiàn)大部分漏洞并迅速加以修復(fù)。但要想達(dá)成這一目標(biāo)，我們就必須在IT、基礎(chǔ)設(shè)施、安全及開發(fā)團(tuán)隊(duì)之間建立起清晰而積極的溝通渠道。”

3. 解決供應(yīng)鏈問題，滿足IT安全需求

容器、微服務(wù)、編排等用于描述云原生應(yīng)用程序開發(fā)方法的基本概念，其實(shí)也適用于當(dāng)下精密無比、環(huán)環(huán)相扣的全球供應(yīng)鏈體系。雖然細(xì)節(jié)有所區(qū)別，但供應(yīng)鏈管理中的很多原則、特別是供應(yīng)鏈安全問題，也同樣適用于IT部門。

來自紅帽的Haff表示：“供應(yīng)鏈的核心主題適用于一切領(lǐng)域，其中當(dāng)然也包括軟件、包括開源軟件。”

那么有多普適？足以讓白宮在2021年5月發(fā)布關(guān)于網(wǎng)絡(luò)安全的專項(xiàng)行政令。

如同其他供應(yīng)鏈一樣，IT供應(yīng)鏈中的大多數(shù)軟件都需要依賴其他軟件進(jìn)行構(gòu)建、打包和部署。即使是擁有龐大開發(fā)團(tuán)隊(duì)的組織，也不可能萬事從零開始親手構(gòu)建——這壓根沒有可行性。

Haff指出：“組織編寫的大部分軟件都依賴于其他外來軟件，包括從互聯(lián)網(wǎng)上直接下載到的軟件。大部分代碼當(dāng)然沒有惡意因素，但與所有軟件一樣，其中仍可能包含bug、或者已經(jīng)過于陳舊。”

軟件供應(yīng)鏈將成為2022年及之后IT安全中的關(guān)鍵領(lǐng)域。事實(shí)上，我們不妨將DevSecOps理解成一種從根本上建立安全供應(yīng)鏈的范式。沒錯(cuò)，這是一種新范式、而非傳統(tǒng)的網(wǎng)絡(luò)邊界問題。正因?yàn)槿绱耍�受信容器注冊表（例如Quay）和自動鏡像掃描才會變得越來越受重視。

Haff提到，開源安全基金會（OpenSSF）等行業(yè)組織已經(jīng)開始在宏觀層面解決供應(yīng)鏈問題，但I(xiàn)T專業(yè)人員也應(yīng)將這種心態(tài)融入自己的組織當(dāng)中。

軟件供應(yīng)鏈將成為2022年及之后IT安全中的關(guān)鍵領(lǐng)域。

Haff認(rèn)為，“IT領(lǐng)導(dǎo)者需要提高對安全問題的認(rèn)知度，并在DevSecOps工作流程當(dāng)中充分利用軟件掃描與簽名工具來緩解現(xiàn)實(shí)挑戰(zhàn)。”

Red Hat云與DevSecOps戰(zhàn)略總監(jiān)Kirsten Newcomer預(yù)計(jì)，供應(yīng)鏈安全將成為2022年IT領(lǐng)導(dǎo)者及其團(tuán)隊(duì)的核心關(guān)注點(diǎn)。組織將意識到，單憑漏洞分析等現(xiàn)有方法已經(jīng)不足以抵御潛在入侵。DevSecOps團(tuán)隊(duì)將擴(kuò)展自身戰(zhàn)略與工具鏈豐富度，全力保護(hù)供應(yīng)鏈體系。

Newcomer指出，“為此，Tekton CD鏈及Sigstore等新興技術(shù)將在流程中逐漸鋪開，降低組織在流程中添加簽名的門檻。”

事實(shí)上，Newcomer還嘗試將另一個(gè)傳統(tǒng)概念引入IT領(lǐng)域：軟件材料清單（SBOM）。

Newcomer表示，“關(guān)于交付SBOM的提議標(biāo)準(zhǔn)已經(jīng)初步成型，但出于對供應(yīng)鏈安全的擔(dān)憂，我們現(xiàn)在必須加快步伐、確保所有組織都能理解該如何整理并提交軟件材料清單。”Newcomer同時(shí)補(bǔ)充稱，業(yè)內(nèi)即將對靜態(tài)與動態(tài)BOM問題展開廣泛討論。

所謂動態(tài)，自然需要涵蓋不斷變化的信息，例如漏洞數(shù)據(jù)。換句話說，軟件包本身并沒有改變，但其運(yùn)行所依賴的其他軟件也可能曝出新的漏洞。

Newcomer指出，“與之相關(guān)，圍繞SBOM及相關(guān)包元數(shù)據(jù)的自動化方案也將爆發(fā)式增長。”

4. 數(shù)據(jù)，數(shù)據(jù)為王

端點(diǎn)與網(wǎng)絡(luò)安全等傳統(tǒng)關(guān)注方向仍然重要，但無論是對惡意攻擊者、還是對于相阻止惡意攻擊的人員和組織來說，安全的核心都是數(shù)據(jù)。這些數(shù)據(jù)大多分布在眾多環(huán)境當(dāng)中，于是“數(shù)據(jù)就是新的貨幣”在攻守兩大陣營中都成了真相、而不止是比喻。

云安全是個(gè)宏大議題，這倒不是因?yàn)樵苹�礎(chǔ)設(shè)施本身安全度不足。相反，它相對安全、所以幾乎每家組織都已經(jīng)成功上云，云自然也就成了數(shù)據(jù)的聚集地。

Authomize公司CTO Gal Diskin表示，組織應(yīng)該優(yōu)先考慮工具與策略，例如基于角色的訪問控制和零信任原則，借此規(guī)避不必要的風(fēng)險(xiǎn)。Diskin建議不斷優(yōu)化身份與訪問管理范圍內(nèi)的一切內(nèi)容。“做最悲觀的假設(shè)”將非常重要：假設(shè)您的云賬戶、基礎(chǔ)設(shè)施、SaaS等等，終將、甚至已經(jīng)遭到了入侵。

Diskin表示，“大家應(yīng)該為企業(yè)賬戶遭受威脅做好準(zhǔn)備，并據(jù)此規(guī)劃安全策略�？v深防御非常有效，還應(yīng)輔以能限制賬戶盜竊范圍的其他工具，確保組織能夠持續(xù)驗(yàn)證訪問權(quán)限，將以往粗略的身份驗(yàn)證層轉(zhuǎn)化為細(xì)粒度授權(quán)體系。”

ZL Technologies全球服務(wù)負(fù)責(zé)人Melinda Watts預(yù)計(jì)，過去一直專注于基礎(chǔ)設(shè)施的安全團(tuán)隊(duì)，將會在新一年中更多重視駐留或流經(jīng)基礎(chǔ)設(shè)施的數(shù)據(jù)內(nèi)容。

具體來講，Watts認(rèn)為從安全角度出發(fā)，組織將更多關(guān)注自己掌握的暗數(shù)據(jù)。用直白的話來說，暗數(shù)據(jù)就是組織產(chǎn)出了、存儲了，但實(shí)際上并沒有得到使用的各種信息。

Watts指出，“DevSecOps長久以來一直采用自上而下的安全方法，確保云端或本地存儲基礎(chǔ)設(shè)施安全無憂。然而，2022年開始這項(xiàng)工作將迎來自下而上的新補(bǔ)充。在這種新方法中，企業(yè)將重新關(guān)注系統(tǒng)中所存儲數(shù)據(jù)的安全水平。”

有一些組織已經(jīng)達(dá)成了這種平衡，而長期認(rèn)為基礎(chǔ)設(shè)施重要度高于數(shù)據(jù)的組織則需要奮力追趕。攻擊者的目標(biāo)肯定不單是入侵服務(wù)器，他們想要的是服務(wù)器上的容器或者登錄憑證，再借此竊取與組織相關(guān)的數(shù)據(jù)信息。數(shù)據(jù)才是重點(diǎn)、數(shù)據(jù)才是目標(biāo)。

正因?yàn)槿绱�，勒索軟件才成為一種體量龐大的業(yè)務(wù)模式，并繼續(xù)在醫(yī)療保健、銀行與金融服務(wù)、政府部門等備受矚目的領(lǐng)域瘋狂肆虐。

Elston最后總結(jié)道，“近年來，健康數(shù)據(jù)安全已經(jīng)成為一波新興趨勢；隨著未來幾年勒索軟件攻擊的持續(xù)存在，這波趨勢終將成為主流關(guān)切。”