2024 年企業(yè)安全領(lǐng)導(dǎo)者需要謹(jǐn)記的五大關(guān)鍵

  • 人閱讀
  • 2024-03-07 11:08:21

  • 來源:飛象網(wǎng)

  • 相關(guān)關(guān)鍵詞

作者:JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)

新年立下新志向,開啟新征程。對于CISO和CSO們來說,這也意味著他們能夠借此機(jī)會打造能把自身企業(yè)安全作為優(yōu)先考量的解決方案。

去年,整個業(yè)界在加強(qiáng)軟件供應(yīng)鏈安全方面取得了顯著進(jìn)展,但安全團(tuán)隊在軟件供應(yīng)鏈方面仍然面臨著許多潛在的威脅。AI/ML模型中惡意代碼的猖獗使用、遭入侵的開源軟件、漏洞利用等問題仍持續(xù)困擾著企業(yè)。

為在2024年確保軟件供應(yīng)鏈盡可能安全,安全專業(yè)人士必須在今年致力于做好以下五大關(guān)鍵,包括:

●對于開源代碼,在信任的同時要對其進(jìn)行驗證

●警惕安全解決方案和代碼開發(fā)中的AI/ML

●不要對零日漏洞感到恐慌

●將SBOM作為安全戰(zhàn)略的必備要素進(jìn)行集成

●采取“左移”戰(zhàn)略

對于開源代碼,在信任的同時要對其進(jìn)行驗證

安全領(lǐng)導(dǎo)者面臨的最嚴(yán)峻挑戰(zhàn)之一就是開源軟件的威脅。許多開發(fā)者盲目信任來自公共開源代碼庫的軟件,認(rèn)為它們不存在安全和合規(guī)性問題。然而,未能對代碼進(jìn)行包含必要的安全控制等在內(nèi)的正確審查以確保其始終處于最新狀態(tài),會使組織遭受軟件供應(yīng)鏈攻擊的風(fēng)險增高。

步入2024年,安全領(lǐng)導(dǎo)者必須在信任開發(fā)者開源編碼實踐的同時對其進(jìn)行驗證。安全風(fēng)險往往始于開發(fā)者從這些公共資源庫下載代碼的那一刻。通過確保自始對代碼進(jìn)行充分審查,安全領(lǐng)導(dǎo)者就能主動減輕對軟件供應(yīng)鏈的威脅,避免造成不可挽回的損失。

警惕安全解決方案和代碼開發(fā)中的AI/ML

2023年,人工智能的興起推動了創(chuàng)新,但也引起了人們對安全問題的高度關(guān)注。軟件開發(fā)安全方面的疏忽可能會無意中將惡意代碼引入AI/ML模型,讓攻擊者有機(jī)可乘,由此對企業(yè)造成進(jìn)一步的損害。

開發(fā)者還可能會使用從公共AI/ML源生成的代碼,而不知道模型是否已遭到入侵。如果盲目信任AI/ML模型,就可能會給企業(yè)招致更多的漏洞——所有來自AI/ML源的代碼都必須經(jīng)過審查。

無需對零日漏洞感到恐慌

2023年,網(wǎng)絡(luò)犯罪分子利用零日漏洞的速度創(chuàng)下了歷史新高,而新的一年里,這一趨勢還將持續(xù)。

面對零日攻擊,安全團(tuán)隊常常會感到恐慌,不確定CVE(關(guān)鍵漏洞披露)會產(chǎn)生怎樣的影響。雖然CVE可能存在于他們的軟件中,但也完全有可能在極端特殊情況下被利用,而這些情況并不適用于該企業(yè)。在這種情況下,可能會無緣無故地對最終用戶實施耗時且可能具有破壞性的補(bǔ)丁。

今年,CISO和CSO們在采取行動之前,需要先了解CVE及其與企業(yè)的關(guān)系。盲目修補(bǔ)可能弊大于利,而將CVE與具體情況聯(lián)系起來,則有助于更好地保護(hù)企業(yè)并明確真正需要采取的行動。

將SBOM作為必備要素納入安全戰(zhàn)略

SBOM已成為安全領(lǐng)導(dǎo)者使用的重要DevSecOps工具,因其能為用戶提供更快的識別方法,縮短恢復(fù)時間,提高代碼修復(fù)的效率和效力,并在更嚴(yán)格的監(jiān)管環(huán)境中增強(qiáng)合規(guī)性。

SBOM可以系統(tǒng)性地跟蹤每個應(yīng)用程序中存在的組件,以及應(yīng)用程序運(yùn)行所需的依賴項,使安全團(tuán)隊能夠準(zhǔn)確地查看在發(fā)生漏洞利用時受到影響的系統(tǒng)。此外,在2024年,網(wǎng)絡(luò)安全監(jiān)管環(huán)境還將繼續(xù)收緊,這使得SBOM不再只是“錦上添花”的存在,而且是確保遵守新規(guī)則的必需。

采取“左移”戰(zhàn)略

對于安全領(lǐng)導(dǎo)者來說,落實上述所有的解決方案可能是一項艱巨的任務(wù),這也是為什么CSO和CISO們在2024年必須采用“左移”的方法來確保安全性。

通過從一開始就將安全納入軟件開發(fā),安全領(lǐng)導(dǎo)者可以確保為其軟件供應(yīng)鏈建立更加積極主動的防線。這樣,他們在軟件開發(fā)中使用開源或公開開發(fā)的AI/ML代碼時就更具靈活性,可以更好地控制為其企業(yè)而構(gòu)建的AI/ML模型,確保盡可能降低CVE漏洞利用的可能性,并提高了SBOM的有效性。

步入2024年并展望更遠(yuǎn)的未來,軟件領(lǐng)域的復(fù)雜性只會有增無減。通過在軟件供應(yīng)鏈安全方面采取“左移”思維,CISO和CSO們可以確保企業(yè)更強(qiáng)大、更具韌性,以應(yīng)對新的安全挑戰(zhàn)。

###

關(guān)于JFrog

JFrog Ltd.(納斯達(dá)克股票代碼:FROG)的使命是創(chuàng)造一個從開發(fā)者到設(shè)備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應(yīng)鏈平臺是統(tǒng)一的記錄系統(tǒng),幫助企業(yè)快速安全地構(gòu)建、管理和分發(fā)軟件,確保軟件可用、可追溯和防篡改。集成的安全功能還有助于發(fā)現(xiàn)和抵御威脅和漏洞并加以補(bǔ)救。JFrog的混合、通用、多云平臺可以作為跨多個主流云服務(wù)提供商的自托管和SaaS服務(wù)。全球數(shù)百萬用戶和7000多名客戶,包括大多數(shù)財富100強(qiáng)企業(yè),依靠JFrog解決方案安全地開展數(shù)字化轉(zhuǎn)型。一用便知!如欲了解更多信息,請訪問jfrogchina.com或者關(guān)注我們的微信官方賬號:JFrog捷蛙。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )