政府对网络安全威胁的反应对您的组织来说是否足够?

随着今年的袭击 殖民管道 和 Kaseya 一样,勒索软件及其对基础设施的影响已经被推到了美国政治意识的前沿。这些网络攻击给公众带来了痛苦,推动了 白宫的回应.

政府网络安全威胁响应

NIST 和管理和预算办公室 (OMB) 最近发布了一份备忘录,澄清了国家安全工作的定义、程序和时间表。网络安全团队不得错误地遵循此计划以全面防范风险;政府的应对措施没有解决一个重大威胁。

原因如下:OMB 指示政府组织专注于连接到关键基础设施或敏感信息的独立系统,但忽略了一个关键领域——私营部门多年来开展业务所依赖的 Web 应用程序。 Web 应用程序通常在公司内部深度集成和广泛访问,无视 OMB 所针对的独立系统的整齐定义的安全边界。因此,忽视 Web 应用程序安全会忽视公司网络风险的一个重要领域。

Forrester 得出的结论是,Web 应用程序是最常用的漏洞攻击媒介,但漏洞通常不是源于新的攻击。数据泄露通常源于组织未能解决的众所周知的漏洞(和相应的漏洞利用)。一些违规是由简单的事故或疏忽造成的,例如暴露的数据库。很明显,除了保护 OMB 指定的系统外,公司还需要通过全面发现和持续扫描漏洞来保护其 Web 应用程序和 Web 资产。

组织需要发现他们使用的每个 Web 应用程序

大中型企业可能有数百个 Web 应用程序和 Web 资产在生产中。由于像未打补丁的电子邮件服务器或暴露的数据库这样简单的事情可能会导致严重的数据泄露或系统失控,因此公司需要保护所有 Web 应用程序的安全。但随着开发人员和安全资源日益紧张,公司应该优先考虑什么?

第一步是弄清楚有哪些应用程序存在。对于组织而言,这意味着发现 每一个 网络资产,包括可能已丢失、遗忘或非官方部署的网络资产 公民开发商.一旦公司确定了每个暴露的 Web 应用程序,它就可以评估每个应用程序以确定每个应用程序所代表的安全风险,并相应地确定修复计划的优先级。

公司可以通过两种类型的扫描发现他们的 Web 应用程序和资产:

  • 爬行网络空间以发现与公司域相关的公开暴露的网络资产;和
  • 扫描 Web 应用程序、Web 服务和 Web API,包括专有、开源和第三方代码。

这些扫描共同为安全专业人员评估风险和制定补救计划奠定了基础。

左移安全

通过将安全性左移,公司可以在应用程序投入生产之前,在软件开发生命周期的最早阶段捕获漏洞。尽早检测漏洞可以防止生产延迟、成本高昂的重新开发周期,并有助于向安全编码实践进行必要的演进。

创新的压力可能与维护安全的压力相悖。 Osterman Research 于 2021 年 5 月进行的一项研究表明,89% 的开发人员至少在某些时候故意发布不安全的代码。开发人员越来越多地使用第三方组件,也可能引入漏洞。根据最近的一份报告,多达 91% 的现代软件包含开源组件,75% 的代码库包含至少一个开源漏洞 新思科技.其中一些漏洞只是软件中的缺陷,而另一些则可能是黑客植入的木马。

安全专业人员应在开发过程中扫描代码和组件,以及早发现漏洞。这不仅包括代码,还包括系统配置、与软件相关的技术、框架和库的版本和补丁级别。一旦检测到并量化,漏洞数据就可以与发现的应用程序和资产列表相结合,以创建一个优先修复列表。

转移安全权

近年来,公司在转移安全方面投入了大量资金,但在过去十年中,违规行为与网站数量的比例一直保持不变。部分原因是并非公司使用的所有 Web 应用程序和资产都通过其内部开发管道。为了增强左移策略,公司还必须扫描他们的 Web 应用程序和 Web 资产,其中橡胶与道路相遇:在生产中。

渗透测试服务以及各种应用程序安全测试扫描程序(如 SAST、DAST 和 IAST)使安全专业人员能够扫描生产中的应用程序并从外部攻击者的角度测试漏洞。有些甚至将他们的扫描与内部软件代理结合起来,使扫描仪能够测试未链接或隐藏的页面和文件。当扫描器抓取 Web 应用程序页面和资产时,他们可以测试各种漏洞,例如 SQL 注入和跨站点脚本(XSS).

连续扫描应用程序

白宫建议通过渗透测试来测试系统的安全性。以 Web 应用程序在 DevOps 环境中发展的速度以及人们可以轻松启动集成的第三方应用程序的速度,渗透测试报告可能在完成后几个小时就过时了。公司应制定政策,持续扫描开发、质量保证和生产中的所有应用程序,以了解其不断变化的攻击面并及时实施安全加固。

这仅仅是开始

白宫推动的安全工作是在国家层面保护基础设施和敏感数据的重要一步,但我们必须记住,这只是漫长道路的开始。

一味遵循政府指令而不考虑其他攻击角度的公司将发现自己容易受到来自犯罪分子和国家资助的黑客日益复杂的攻击。为了最大限度地提高安全性并最大限度地降低风险,公司必须超越国家指令来了解其风险,并不断努力以领先对手一步。




分享这个