如何消除对云原生应用程序的安全威胁(VB On-Demand)

如何消除对云原生应用程序的安全威胁(VB On-Demand)

阿皮罗 介绍


近年来,公司加速采用云原生应用程序。 但伴随着这一飞跃而来的是云原生计算所特有的风险。 要了解有关危险和挑战以及如何克服它们的更多信息,请不要错过此 VB On-Demand 活动。

在此处访问此点播网络研讨会


随着对快速、敏捷开发的需求不断增长,公司越来越多地采用云服务和应用程序。 但是,随着开源代码的普及,开发变得如此容易,带来了新的和独特的安全风险。

Apiiro 安全研究副总裁 Moshe Zioni 说:“为正常组织结构贡献代码的开发人员远远超过了安全专业人员。” “由于发展迅速,他们无法应对所有类型的问题,除非他们使用大规模的解决方案,让他们能够主动大规模地修复风险,而不是在问题出现时打地鼠。 ”

Zioni 说,云原生应用程序和移动应用程序可以通过各种独特的方式受到攻击,并产生级联后果。

云原生应用的云原生风险

当一个允许开发依赖的软件包成为目标时,它会对供应链产生指数级的影响。 对软件开发生命周期 (SDLC) 和持续集成/持续交付/部署 (CICD) 工具集的攻击对快速开发至关重要,它们为攻击者提供了破坏您正在部署和编译的所有代码的关键。

Zioni 说:“在过去的两三年里,攻击者已经大量瞄准了这类工具,首先是因为它们对许多组织来说并不那么重要,其次,当恶意用户获得对这些工具的控制权时过程中,它可以持续数月,甚至数年而不被注意,这当然对我们今天认为安全的任何东西都是毁灭性的打击。”

为了领先于大规模攻击,安全领导者需要找到一种方法来将其软件的风险情境化。

为什么情境化风险是关键

考虑风险的传统方法是评估代码、包、流程等的内在危险。例如,人工编写的代码的内在风险是它会有错误。 但这是一种一维的方式来看待它,Zioni 说。 没有上下文,您将无法理解弱点或漏洞带来的更广泛风险。

上下文包括各种各样的东西。 它包括代码所处的环境,以及引入新代码将对外围、基础设施和环境产生的影响。 这也意味着知道是哪个开发人员编写了代码,开发人员是否接受过安全培训,代码是否对授权机制进行了更改——以及开发人员是否知道这些授权。 开发人员是否曾经以相同的方式贡献过代码,以及代码是根据组织的协议编写还是从某个地方复制而来,这也很重要。

“所有这些情报信息构成了我们所说的情境风险,”齐奥尼说。 “一旦你掌握了所有关于提交的数据点,你就可以评估提交所带来的风险,除了代码本身。 如果没有这种多维性,你将无法区分一个提交和另一个提交。”

可以通过创建风险概况来获得这种背景。

风险概况的重要性

Zioni 说,应该从三个方面来看待风险。 首先是开发者层,包括对开发者的行为分析。 第二个是代码本身,在这里对代码进行解析以了解它的含义以及它涉及到什么样的机制。 第三个是语义方法,自动化机器学习和 NLP 处理在票务系统上解析堆栈消息和特征请求,以了解代码提交所包含的历史和上下文类型。

通过这三层,您可以获得关于提交背后的基本信息、开发人员可能拥有的上下文消息类型、编写代码的开发人员类型以及您可以从中了解代码的信息。

“总而言之,这三层将使您立即获得更好的上下文风险位置,通过它,您将能够更好地确定优先级,”他解释道。

最后一部分是简单地知道什么是重要的,并从那里确定优先级。 如果更改在安全性方面不重要,那么您可以优先考虑的优先级远低于本质上更改代码中特定于安全性机制的更改。

当心这些安全隐患

Zioni 说,您可以采取一些步骤来提高云安全性。

已知的未知数。 首先是了解你知道的,但也要了解你不知道的。 这意味着要了解您的代码、您的开发人员基础、您的组织,甚至是部落知识(正在计划什么,谁在贡献什么,正在使用什么沟通渠道,等等)。

大规模整治。 第二个是战略性地计划大规模的补救措施——或者一直追溯到问题的根本原因。 如果您在非常特定的代码或代码库的一部分上一次又一次地发现有问题的 SQL 注入,请深入了解它为何不断发生。 也许开发人员没有经过适当的培训,或者审阅者不知道如何发现这种漏洞,或者它正在滑过您的风险优先级。

监控和测量。 最后,您需要弄清楚可以衡量什么,哪些衡量很重要,然后确定您的 KPI。 您将了解什么代表了进步,以及什么可以让您不被困在只修复最新漏洞的那种一心一意、打​​地鼠的方法上。

“目标不应该是扑灭火灾,而是要在整个应用程序安全计划上取得进展,”Zioni 说。

要了解有关基于云的应用程序的安全风险、如何确定威胁的优先级、深入挖掘根本原因以及建立一支具有安全意识的开发人员团队的更多信息,请访问此点播网络研讨会。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9119.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • U盘使用什么格式可以加快读写速度?

    如何加快U盘读写速度? 选择合适的格式 定期杀毒清理 正确拔出U盘 选择合适的格式 U盘的文件系统格式直接影响着其读写速度。常见的U盘文件系统格式有FAT32、NTFS和exFAT。其中,FAT32格式兼容性较好,但是单个文件不得超过4GB;NTFS格式支持单个文件超过4GB,但是在某些设备上可能无法读取;exFAT格式则是FAT32和NTFS的结合体,既支…

    2023-07-12
    00
  • GHO镜像文件下载:快速获取Win7系统安装文件!

    GHO镜像文件下载:快速获取Win7系统安装文件! 什么是GHO镜像文件? 为什么需要GHO镜像文件? 如何下载GHO镜像文件? 如何使用GHO镜像文件安装Win7系统? 什么是GHO镜像文件? GHO镜像文件是一种系统备份文件,包括操作系统、软件、驱动程序等,可以用于快速恢复系统或安装系统。它是通过GHOST软件创建的,因此也称为GHOST镜像文件。 为什…

    2023-05-29
    00
  • U盘怎么一分为二,分别启动存储?

    如何将U盘一分为二,分别启动存储? 步骤一:准备工作 步骤二:分区和格式化 步骤三:制作启动盘 步骤四:设置启动顺序 步骤一:准备工作 在开始操作之前,需要准备以下工具: 一台电脑 一个U盘 一个U盘启动制作工具(如rufus等) 步骤二:分区和格式化 将U盘连接到电脑上,打开磁盘管理工具,对U盘进行分区和格式化。具体步骤如下: 右键点击“我的电脑”,选择“…

    2023-07-14
    00
  • 怎样学电脑编程入门(无任何编程基础的人必知的四个阶段)

    相比于其他传统行业,程序员的确是低投入、高产出的工作。但你千万不要以为有台电脑,就能编程变现。零基础入行,如果方法不对,一定会困难重重。拿我自己来说吧,作为一个入行8年的老程序员,我不是科班生,完全是从零基础自学的编程,刚开始的时候也遇到了很多问题,跌过不少跟头,好在一路坚持了下来,现在也算有所建树。就给你分享一下我自己学编程的经验吧。 第一阶段,选择语言。…

    2022-05-17
    00
  • 1080ti和3060ti哪个性能好(GTX1080Ti与RTX 3060Ti游戏测试)

    数码产品更新换代一般都比较快,有的一年一代,有的一年两代比如国内安卓机,性能也越来越强比如英特尔12代。有不少网友为追求更好的PC性能不断买买买换换换,换新CPU新GPU,但如果你有一块英伟达的GTX 1080 Ti显卡很好别换,或者换了也可也当个宝收藏。 相信不少网友都听过“老当益壮”这个词,这个词用来形容GTX 1080 Ti这款显卡再合适不过了。这款显…

    2022-05-18 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信