网络安全主管最需要关注的5大软件问题

admin 2024年6月3日09:51:50评论10 views字数 1595阅读5分19秒阅读模式

采用“左移”软件供应链安全思维的 CSO 可以确保组织更加强大、更具弹性

网络安全主管最需要关注的5大软件问题

随着 2024 年中期的临近,大多数 CISO 和 CSO 已经确定并正在执行其组织今年的安全态势优先事项。

尽管去年随着 NIST、CISA和NSA等联邦指导方针和法规的出台,软件行业在加强软件供应链安全方面取得了重大进展,但安全团队仍然面临着软件供应链面临的几个迫在眉睫的威胁。人工智能/机器学习模型中恶意代码的猖獗使用、开源软件被盗、漏洞利用等问题继续困扰着组织。

为了确保其软件供应链尽可能的安全,安全专业人员必须致力于五个优先事项,包括:

  • 信任但要验证开源代码

  • 警惕安全解决方案和代码开发中的 AI/ML

  • 不要对零日恐慌

  • 将 SBOM 纳入安全策略中

  • 采取“左移”战略

信任但验证开源代码

安全领导者面临的最紧迫的战斗之一是开源软件的威胁。许多开发人员天真地依赖来自公共开源存储库的软件,以为这些软件没有安全和合规性问题。如果忽视彻底检查代码的更新、必要的安全控制等,组织就面临着软件供应链遭受攻击的高风险。
安全主管必须信任但要核实开发人员的开源代码实践。安全风险通常是在开发人员从这些公共存储库下载代码时引发的。安全主管可以通过确保从一开始就充分审查代码来主动减轻对其软件供应链造成不可挽回的损害的威胁。

警惕安全解决方案和代码开发中的 AI/ML

人工智能的兴起促进了创新,但也引发了人们对安全的极大担忧。软件开发安全方面的疏忽可能会无意中将恶意代码引入 AI/ML 模型,并为攻击者进一步破坏组织创造入口。

安全主管必须信任但要核实开发人员的开源代码实践。安全风险往往始于开发人员开始从这些公共存储库下载代码的那一刻。

开发人员还可能使用从公共 AI/ML 源生成的代码,而不知道模型是否已被泄露。如果盲目信任 AI/ML 模型,这可能会给组织带来更多漏洞 — 所有来自 AI/ML 源的代码都必须经过审查。

不要对零日漏洞感到恐慌

2023 年,网络犯罪分子以创纪录的速度利用零日漏洞,不断变化的威胁形势表明,这种趋势可能会持续下去。
当面临零日攻击时,安全团队通常会惊慌失措,因为他们不知道严重漏洞暴露 (CVE) 会对其特定软件环境产生何种影响。虽然 CVE 可能会影响其软件环境中使用的特定软件库或代码库,但完全有可能该 CVE 无法也不会在其环境中被利用,因为它未在会造成危害的特定配置或用例中使用。考虑 CVE 评估的背景并设计补救策略至关重要。
今年,首席信息安全官和首席安全官在采取行动之前必须优先考虑在其软件环境中全面了解CVE。盲目修复弊大于利,而将 CVE 置于具体情境中可以为保护您的组织和了解真正需要采取的行动提供更好的途径。

将 SBOM 集成到安全策略中

SBOM 已成为安全领导者必须掌握的重要 DevSecOps 工具。它为用户提供了更快的识别方法,缩短了恢复时间,创建了更高效、更有效的代码修复,并在更严格的监管环境中增强了合规性。

SBOM 系统地跟踪每个应用程序中存在的组件以及应用程序运行所需的依赖项,使安全团队能够准确了解受到漏洞利用影响的系统。此外,网络安全监管环境将继续收紧,使 SBOM 成为确保新规则下的可信发布的必备工具。

威胁形势不断演变,‘向左移动’

 对于安全领导者来说,采取这些优先事项可能会非常困难,因此 CSO 和 CISO 必须采用“左移”的安全方法。
通过从一开始就将安全性融入软件开发中,安全主管可以确保为其软件供应链建立更主动的防线。这让他们能够更灵活地使用他们在软件开发中使用的开源或公开开发的 AI/ML 代码,让他们能够更好地控制他们为组织构建的 AI/ML 模型,确保 CVE 被利用的可能性最小,并使 SBOM 更加有效。
展望未来,软件格局只会变得更加复杂。通过利用“左移”思维来确保软件供应链安全,CISO 和 CSO 可以确保组织更加强大、更具弹性,能够迎接新的安全挑战。

原作者:莫兰·阿什肯纳齐

原文始发于微信公众号(河南等级保护测评):网络安全主管最需要关注的5大软件问题

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月3日09:51:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全主管最需要关注的5大软件问题http://cn-sec.com/archives/2808012.html

发表评论

匿名网友 填写信息