如何消除对云原生应用程序的安全威胁(VB On-Demand)

如何消除对云原生应用程序的安全威胁(VB On-Demand)

阿皮罗 介绍


近年来,公司加速采用云原生应用程序。 但伴随着这一飞跃而来的是云原生计算所特有的风险。 要了解有关危险和挑战以及如何克服它们的更多信息,请不要错过此 VB On-Demand 活动。

在此处访问此点播网络研讨会


随着对快速、敏捷开发的需求不断增长,公司越来越多地采用云服务和应用程序。 但是,随着开源代码的普及,开发变得如此容易,带来了新的和独特的安全风险。

Apiiro 安全研究副总裁 Moshe Zioni 说:“为正常组织结构贡献代码的开发人员远远超过了安全专业人员。” “由于发展迅速,他们无法应对所有类型的问题,除非他们使用大规模的解决方案,让他们能够主动大规模地修复风险,而不是在问题出现时打地鼠。 ”

Zioni 说,云原生应用程序和移动应用程序可以通过各种独特的方式受到攻击,并产生级联后果。

云原生应用的云原生风险

当一个允许开发依赖的软件包成为目标时,它会对供应链产生指数级的影响。 对软件开发生命周期 (SDLC) 和持续集成/持续交付/部署 (CICD) 工具集的攻击对快速开发至关重要,它们为攻击者提供了破坏您正在部署和编译的所有代码的关键。

Zioni 说:“在过去的两三年里,攻击者已经大量瞄准了这类工具,首先是因为它们对许多组织来说并不那么重要,其次,当恶意用户获得对这些工具的控制权时过程中,它可以持续数月,甚至数年而不被注意,这当然对我们今天认为安全的任何东西都是毁灭性的打击。”

为了领先于大规模攻击,安全领导者需要找到一种方法来将其软件的风险情境化。

为什么情境化风险是关键

考虑风险的传统方法是评估代码、包、流程等的内在危险。例如,人工编写的代码的内在风险是它会有错误。 但这是一种一维的方式来看待它,Zioni 说。 没有上下文,您将无法理解弱点或漏洞带来的更广泛风险。

上下文包括各种各样的东西。 它包括代码所处的环境,以及引入新代码将对外围、基础设施和环境产生的影响。 这也意味着知道是哪个开发人员编写了代码,开发人员是否接受过安全培训,代码是否对授权机制进行了更改——以及开发人员是否知道这些授权。 开发人员是否曾经以相同的方式贡献过代码,以及代码是根据组织的协议编写还是从某个地方复制而来,这也很重要。

“所有这些情报信息构成了我们所说的情境风险,”齐奥尼说。 “一旦你掌握了所有关于提交的数据点,你就可以评估提交所带来的风险,除了代码本身。 如果没有这种多维性,你将无法区分一个提交和另一个提交。”

可以通过创建风险概况来获得这种背景。

风险概况的重要性

Zioni 说,应该从三个方面来看待风险。 首先是开发者层,包括对开发者的行为分析。 第二个是代码本身,在这里对代码进行解析以了解它的含义以及它涉及到什么样的机制。 第三个是语义方法,自动化机器学习和 NLP 处理在票务系统上解析堆栈消息和特征请求,以了解代码提交所包含的历史和上下文类型。

通过这三层,您可以获得关于提交背后的基本信息、开发人员可能拥有的上下文消息类型、编写代码的开发人员类型以及您可以从中了解代码的信息。

“总而言之,这三层将使您立即获得更好的上下文风险位置,通过它,您将能够更好地确定优先级,”他解释道。

最后一部分是简单地知道什么是重要的,并从那里确定优先级。 如果更改在安全性方面不重要,那么您可以优先考虑的优先级远低于本质上更改代码中特定于安全性机制的更改。

当心这些安全隐患

Zioni 说,您可以采取一些步骤来提高云安全性。

已知的未知数。 首先是了解你知道的,但也要了解你不知道的。 这意味着要了解您的代码、您的开发人员基础、您的组织,甚至是部落知识(正在计划什么,谁在贡献什么,正在使用什么沟通渠道,等等)。

大规模整治。 第二个是战略性地计划大规模的补救措施——或者一直追溯到问题的根本原因。 如果您在非常特定的代码或代码库的一部分上一次又一次地发现有问题的 SQL 注入,请深入了解它为何不断发生。 也许开发人员没有经过适当的培训,或者审阅者不知道如何发现这种漏洞,或者它正在滑过您的风险优先级。

监控和测量。 最后,您需要弄清楚可以衡量什么,哪些衡量很重要,然后确定您的 KPI。 您将了解什么代表了进步,以及什么可以让您不被困在只修复最新漏洞的那种一心一意、打​​地鼠的方法上。

“目标不应该是扑灭火灾,而是要在整个应用程序安全计划上取得进展,”Zioni 说。

要了解有关基于云的应用程序的安全风险、如何确定威胁的优先级、深入挖掘根本原因以及建立一支具有安全意识的开发人员团队的更多信息,请访问此点播网络研讨会。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9119.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • Win10一禁用签名开机就蓝屏怎么办?

    Win10一禁用签名开机就蓝屏怎么办? 蓝屏问题的原因 解决方案 选项一:禁用驱动签名 选项二:开启测试签名模式 蓝屏问题的原因 在Win10系统中,由于安全原因,系统默认启用驱动签名验证。如果用户在未禁用签名验证的情况下安装了不受信任的驱动程序,系统就会在开机时遇到蓝屏问题。 解决方案 当Win10开机遇到蓝屏问题时,需要采用以下两种解决方案之一。 选项一…

    2023-07-21
    00
  • Win10 10074任意更改开始菜单大小的方法

    Win10 10074任意更改开始菜单大小的方法 背景介绍 更改开始菜单大小的步骤 注意事项 背景介绍 在Win10的早期版本中,更改开始菜单大小是一件很简单的事情,只需要在设置中进行设置即可。但在Win10 10074版本以后,微软取消了这个设置选项。这给一些用户带来了不便,因此本文将介绍一种可以任意更改开始菜单大小的方法。 更改开始菜单大小的步骤 步骤1…

    2023-07-17
    00
  • Win7破解版下载?了解和获取Windows 7破解版

    了解和获取Windows 7破解版 什么是Windows 7破解版? 使用破解版的风险 获取Windows 7破解版的途径 什么是Windows 7破解版? Windows 7破解版是指对正版Windows 7操作系统进行破解,使得用户可以免费使用该操作系统。破解版通常会去除正版系统的激活限制,使得用户可以无限制地使用该操作系统。 使用破解版的风险 虽然Wi…

    2023-06-07
    00
  • 电脑打字不显示选字框怎么办?一招解决问题

    电脑打字不显示选字框怎么办?一招解决问题 问题描述 可能原因 解决方案 如何设置 问题描述 在使用电脑打字的过程中,有时候会出现一个问题,就是打字时没有出现选字框,导致无法选择需要修改的文字。这个问题可能会让人十分困扰,但其实只需要一招就能轻松解决。 可能原因 出现这个问题的原因有很多种,可能是电脑系统的设置问题,也可能是输入法的设置问题,还有可能是其他软件…

    2023-06-02
    00
  • Win10关闭系统更新方法详解:Win10关闭系统更新的方法和注意事项

    大纲 介绍:Win10系统更新的重要性 方法一:通过设置禁用Windows Update服务 方法二:通过组策略编辑器禁用Windows Update 方法三:通过更改注册表禁用Windows Update 注意事项:关闭系统更新可能会带来的风险 结论:总结文章要点 参考文献:引用的相关资料 Win10关闭系统更新方法详解:Win10关闭系统更新的方法和注意…

    2023-05-12
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信