如何消除对云原生应用程序的安全威胁(VB On-Demand)

如何消除对云原生应用程序的安全威胁(VB On-Demand)

阿皮罗 介绍


近年来,公司加速采用云原生应用程序。 但伴随着这一飞跃而来的是云原生计算所特有的风险。 要了解有关危险和挑战以及如何克服它们的更多信息,请不要错过此 VB On-Demand 活动。

在此处访问此点播网络研讨会


随着对快速、敏捷开发的需求不断增长,公司越来越多地采用云服务和应用程序。 但是,随着开源代码的普及,开发变得如此容易,带来了新的和独特的安全风险。

Apiiro 安全研究副总裁 Moshe Zioni 说:“为正常组织结构贡献代码的开发人员远远超过了安全专业人员。” “由于发展迅速,他们无法应对所有类型的问题,除非他们使用大规模的解决方案,让他们能够主动大规模地修复风险,而不是在问题出现时打地鼠。 ”

Zioni 说,云原生应用程序和移动应用程序可以通过各种独特的方式受到攻击,并产生级联后果。

云原生应用的云原生风险

当一个允许开发依赖的软件包成为目标时,它会对供应链产生指数级的影响。 对软件开发生命周期 (SDLC) 和持续集成/持续交付/部署 (CICD) 工具集的攻击对快速开发至关重要,它们为攻击者提供了破坏您正在部署和编译的所有代码的关键。

Zioni 说:“在过去的两三年里,攻击者已经大量瞄准了这类工具,首先是因为它们对许多组织来说并不那么重要,其次,当恶意用户获得对这些工具的控制权时过程中,它可以持续数月,甚至数年而不被注意,这当然对我们今天认为安全的任何东西都是毁灭性的打击。”

为了领先于大规模攻击,安全领导者需要找到一种方法来将其软件的风险情境化。

为什么情境化风险是关键

考虑风险的传统方法是评估代码、包、流程等的内在危险。例如,人工编写的代码的内在风险是它会有错误。 但这是一种一维的方式来看待它,Zioni 说。 没有上下文,您将无法理解弱点或漏洞带来的更广泛风险。

上下文包括各种各样的东西。 它包括代码所处的环境,以及引入新代码将对外围、基础设施和环境产生的影响。 这也意味着知道是哪个开发人员编写了代码,开发人员是否接受过安全培训,代码是否对授权机制进行了更改——以及开发人员是否知道这些授权。 开发人员是否曾经以相同的方式贡献过代码,以及代码是根据组织的协议编写还是从某个地方复制而来,这也很重要。

“所有这些情报信息构成了我们所说的情境风险,”齐奥尼说。 “一旦你掌握了所有关于提交的数据点,你就可以评估提交所带来的风险,除了代码本身。 如果没有这种多维性,你将无法区分一个提交和另一个提交。”

可以通过创建风险概况来获得这种背景。

风险概况的重要性

Zioni 说,应该从三个方面来看待风险。 首先是开发者层,包括对开发者的行为分析。 第二个是代码本身,在这里对代码进行解析以了解它的含义以及它涉及到什么样的机制。 第三个是语义方法,自动化机器学习和 NLP 处理在票务系统上解析堆栈消息和特征请求,以了解代码提交所包含的历史和上下文类型。

通过这三层,您可以获得关于提交背后的基本信息、开发人员可能拥有的上下文消息类型、编写代码的开发人员类型以及您可以从中了解代码的信息。

“总而言之,这三层将使您立即获得更好的上下文风险位置,通过它,您将能够更好地确定优先级,”他解释道。

最后一部分是简单地知道什么是重要的,并从那里确定优先级。 如果更改在安全性方面不重要,那么您可以优先考虑的优先级远低于本质上更改代码中特定于安全性机制的更改。

当心这些安全隐患

Zioni 说,您可以采取一些步骤来提高云安全性。

已知的未知数。 首先是了解你知道的,但也要了解你不知道的。 这意味着要了解您的代码、您的开发人员基础、您的组织,甚至是部落知识(正在计划什么,谁在贡献什么,正在使用什么沟通渠道,等等)。

大规模整治。 第二个是战略性地计划大规模的补救措施——或者一直追溯到问题的根本原因。 如果您在非常特定的代码或代码库的一部分上一次又一次地发现有问题的 SQL 注入,请深入了解它为何不断发生。 也许开发人员没有经过适当的培训,或者审阅者不知道如何发现这种漏洞,或者它正在滑过您的风险优先级。

监控和测量。 最后,您需要弄清楚可以衡量什么,哪些衡量很重要,然后确定您的 KPI。 您将了解什么代表了进步,以及什么可以让您不被困在只修复最新漏洞的那种一心一意、打​​地鼠的方法上。

“目标不应该是扑灭火灾,而是要在整个应用程序安全计划上取得进展,”Zioni 说。

要了解有关基于云的应用程序的安全风险、如何确定威胁的优先级、深入挖掘根本原因以及建立一支具有安全意识的开发人员团队的更多信息,请访问此点播网络研讨会。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9119.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫

相关推荐

  • Win10使用耳机还是外放怎么办?Win10使用耳机还是外放的解决方法

    Win10使用耳机还是外放怎么办?Win10使用耳机还是外放的解决方法 Win10耳机外放自动切换的问题 Win10设置耳机为默认播放设备 Win10耳机无声音的解决方法 Win10耳机外放自动切换的问题 在Win10系统下,有时候我们会遇到使用耳机时,系统会自动切换到外放,这是非常困扰人的问题。这个问题的原因可能是操作系统的设置或者驱动问题。 解决方法: …

    2023-07-24
    00
  • Win10怎么永久关闭自动更新?Win10彻底关闭自动更新的方法

    Win10怎么永久关闭自动更新?Win10彻底关闭自动更新的方法 禁用Windows Update服务 使用组策略编辑器 禁用Windows Update服务 禁用Windows Update服务是一种简单有效的方法,可以让你彻底关闭自动更新功能。具体步骤如下: 按下Win+R键,打开运行窗口,输入“services.msc”,并按Enter键。 在服务列表…

    2023-08-06
    00
  • Linux系统xlsclients命令的语法和参数介绍

    Linux系统xlsclients命令的语法和参数介绍 介绍 语法 参数 示例 介绍 xlsclients命令是Linux系统下的一个X客户端工具,用于列出当前连接到X服务器的所有客户端。该命令通常用于调试和分析X客户端的行为。 语法 xlsclients命令的语法如下: xlsclients [选项] 参数 xlsclients命令的常用选项如下: -di…

    2023-06-28
    00
  • Win10升级后滚回之前系统版本的方法

    Win10升级后滚回之前系统版本的方法 备份重要文件 进入设置页面 找到恢复选项 开始回滚 备份重要文件 在进行系统回滚前,务必备份重要文件。因为回滚系统可能会导致数据丢失,所以在操作前一定要备份好自己的文件。 进入设置页面 在Windows10中,可以通过“设置”来进行系统回滚。在开始菜单中选择“设置”,或按快捷键“Win + I”打开设置。 找到恢复选项…

    2023-07-25
    00
  • 电脑不能上网怎么修复网络连接(电脑连不上网解决思路)

    经常用电脑,难免会遇到电脑连不上网等问题。 以下就简单讲解几种解决思路: 一:电脑右下角小电脑图标是一个红❌解决思路,如下图: 出现以上红❌情况,首先检查网线两端是否插好,检查网线没问题再检查驱动是否安装成功,(驱动查看:此电脑—鼠标右键管理—设备管理器,查看网络适配器是否有感叹号,出现感叹号即是驱动没有安装好,下载驱动精灵软件即可安…

    2022-05-20 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信