如何消除对云原生应用程序的安全威胁(VB On-Demand)

如何消除对云原生应用程序的安全威胁(VB On-Demand)

阿皮罗 介绍


近年来,公司加速采用云原生应用程序。 但伴随着这一飞跃而来的是云原生计算所特有的风险。 要了解有关危险和挑战以及如何克服它们的更多信息,请不要错过此 VB On-Demand 活动。

在此处访问此点播网络研讨会


随着对快速、敏捷开发的需求不断增长,公司越来越多地采用云服务和应用程序。 但是,随着开源代码的普及,开发变得如此容易,带来了新的和独特的安全风险。

Apiiro 安全研究副总裁 Moshe Zioni 说:“为正常组织结构贡献代码的开发人员远远超过了安全专业人员。” “由于发展迅速,他们无法应对所有类型的问题,除非他们使用大规模的解决方案,让他们能够主动大规模地修复风险,而不是在问题出现时打地鼠。 ”

Zioni 说,云原生应用程序和移动应用程序可以通过各种独特的方式受到攻击,并产生级联后果。

云原生应用的云原生风险

当一个允许开发依赖的软件包成为目标时,它会对供应链产生指数级的影响。 对软件开发生命周期 (SDLC) 和持续集成/持续交付/部署 (CICD) 工具集的攻击对快速开发至关重要,它们为攻击者提供了破坏您正在部署和编译的所有代码的关键。

Zioni 说:“在过去的两三年里,攻击者已经大量瞄准了这类工具,首先是因为它们对许多组织来说并不那么重要,其次,当恶意用户获得对这些工具的控制权时过程中,它可以持续数月,甚至数年而不被注意,这当然对我们今天认为安全的任何东西都是毁灭性的打击。”

为了领先于大规模攻击,安全领导者需要找到一种方法来将其软件的风险情境化。

为什么情境化风险是关键

考虑风险的传统方法是评估代码、包、流程等的内在危险。例如,人工编写的代码的内在风险是它会有错误。 但这是一种一维的方式来看待它,Zioni 说。 没有上下文,您将无法理解弱点或漏洞带来的更广泛风险。

上下文包括各种各样的东西。 它包括代码所处的环境,以及引入新代码将对外围、基础设施和环境产生的影响。 这也意味着知道是哪个开发人员编写了代码,开发人员是否接受过安全培训,代码是否对授权机制进行了更改——以及开发人员是否知道这些授权。 开发人员是否曾经以相同的方式贡献过代码,以及代码是根据组织的协议编写还是从某个地方复制而来,这也很重要。

“所有这些情报信息构成了我们所说的情境风险,”齐奥尼说。 “一旦你掌握了所有关于提交的数据点,你就可以评估提交所带来的风险,除了代码本身。 如果没有这种多维性,你将无法区分一个提交和另一个提交。”

可以通过创建风险概况来获得这种背景。

风险概况的重要性

Zioni 说,应该从三个方面来看待风险。 首先是开发者层,包括对开发者的行为分析。 第二个是代码本身,在这里对代码进行解析以了解它的含义以及它涉及到什么样的机制。 第三个是语义方法,自动化机器学习和 NLP 处理在票务系统上解析堆栈消息和特征请求,以了解代码提交所包含的历史和上下文类型。

通过这三层,您可以获得关于提交背后的基本信息、开发人员可能拥有的上下文消息类型、编写代码的开发人员类型以及您可以从中了解代码的信息。

“总而言之,这三层将使您立即获得更好的上下文风险位置,通过它,您将能够更好地确定优先级,”他解释道。

最后一部分是简单地知道什么是重要的,并从那里确定优先级。 如果更改在安全性方面不重要,那么您可以优先考虑的优先级远低于本质上更改代码中特定于安全性机制的更改。

当心这些安全隐患

Zioni 说,您可以采取一些步骤来提高云安全性。

已知的未知数。 首先是了解你知道的,但也要了解你不知道的。 这意味着要了解您的代码、您的开发人员基础、您的组织,甚至是部落知识(正在计划什么,谁在贡献什么,正在使用什么沟通渠道,等等)。

大规模整治。 第二个是战略性地计划大规模的补救措施——或者一直追溯到问题的根本原因。 如果您在非常特定的代码或代码库的一部分上一次又一次地发现有问题的 SQL 注入,请深入了解它为何不断发生。 也许开发人员没有经过适当的培训,或者审阅者不知道如何发现这种漏洞,或者它正在滑过您的风险优先级。

监控和测量。 最后,您需要弄清楚可以衡量什么,哪些衡量很重要,然后确定您的 KPI。 您将了解什么代表了进步,以及什么可以让您不被困在只修复最新漏洞的那种一心一意、打​​地鼠的方法上。

“目标不应该是扑灭火灾,而是要在整个应用程序安全计划上取得进展,”Zioni 说。

要了解有关基于云的应用程序的安全风险、如何确定威胁的优先级、深入挖掘根本原因以及建立一支具有安全意识的开发人员团队的更多信息,请访问此点播网络研讨会。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9119.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • Win10电脑玩游戏总是死机?教你一招重置显卡驱动!

    Win10电脑玩游戏总是死机?教你一招重置显卡驱动! 为什么电脑玩游戏会死机? 重置显卡驱动的方法 注意事项 为什么电脑玩游戏会死机? 电脑玩游戏死机的原因有很多,其中最常见的就是显卡驱动问题。显卡驱动是控制显卡工作的软件,如果驱动出现问题,就容易导致电脑死机。 显卡驱动问题通常有以下几种表现: 游戏卡顿或闪屏 游戏崩溃或黑屏 电脑死机或蓝屏 重置显卡驱动的…

    2023-08-21
    00
  • 显示器有一条竖线怎么消除(液晶屏有竖线能修理吗)

    电视机是家庭重要的生活家电,家里面是离不开电视机的,只是电视机使用时间一长就会遇到很多的故障。比方说显示不清楚,或者是播放不了画面等等情况。如果液晶电视机液晶屏有竖线,遇到这种情况能修理吗? 一、液晶屏有竖线能修理吗 液晶屏有竖线是能够修理的,根据出现故障不同,修理的方法也是不同的。下面具体来说一说液晶屏有竖线修理方法: 1、竖黑条故障 液晶电视机屏幕出现竖…

    2022-04-28
    00
  • windows优化大师怎么用(优化大师的使用方法)

    电脑系统常常使用一两年之后就会变得非常脆弱,其中最直接的表现就是运行速度变慢.所以,这个时候有必要使用一些系统优化软件来对系统进行优化.下面看看win10优化大师的使用教程 – 装机吧. win10优化大师的使用教程 1.下载win10优化大师点击安装。 2.安装成功进入软件界面。接下来,我们将了解win10优化大师,点击设置导向。 3.弹出设置…

    2022-03-14 投稿
    00
  • Mac如何设置用户名字?Mac设置用户名字的方法

    Mac设置用户名字的方法 步骤一:进入“用户与群组”界面 步骤二:点击左下角的锁形图标并输入密码 步骤三:点击“编辑”按钮并选择“更改全名” 步骤四:输入新的用户名字并保存更改 步骤一:进入“用户与群组”界面 在Mac电脑上,点击屏幕左上角的苹果图标,选择“系统偏好设置”。 在系统偏好设置中,找到并点击“用户与群组”。 步骤二:点击左下角的锁形图标并输入密码…

    2023-07-02
    00
  • 电脑出现ctrl+alt+del打不开机(亲测有效的解决方案)

    电脑开机遇到黑底白字一串英文,然后无法进入系统,我今天给大家总结下面几种情况,和解决办法,去维修的时候可以防止被骗,少花冤枉钱。 An operating system wasn’t found,Try disconnecting any drives that dont contain an operating system 。Press Ct…

    2022-05-23 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信