永无止境的攻击面时代的预防

这篇文章的一个版本出现在 SD 时报。它已在此处更新和发布。

‍

当我们谈论进展时，数字化进步通常是对话的重中之重。我们希望一切都更好、更快、更方便、更强大，我们希望以更少的资金、时间和风险来做到这一点。在大多数情况下，这些 “不可能” 的目标最终得以实现；可能需要几年时间和多个版本（还有一支开发人员团队，如果要求他们在功能设计上切换方向，他们可能会发动政变） 再来一次），但是每天，代码都在改变世界。

但是，良好的软件扩展伴随着巨大的责任，而现实是，从安全的角度来看，我们根本没有做好应对的准备。软件开发不再是一个孤岛，当我们考虑软件驱动风险的各个方面——包括云端、家电和车辆中的嵌入式系统、我们的关键基础架构，更不用说连接所有风险的API——攻击面是无国界和失控的。

我们不能指望每行代码都由经验丰富的安全专家精心检查的神奇时光- 技能差距不会很快缩小 -但是，作为一个行业，我们可以采用更全面的方法来实现代码级安全。

让我们探讨如何使用手头的工具围住无限的攻击面：

现实地看待业务风险水平（以及你愿意接受的内容）

完美的安全是不可持续的，但蒙住眼睛假装一切都是蓝天也是不可持续的。我们已经知道组织会故意发布易受攻击的代码，很明显，这是根据新功能和产品的上市时间计算出的风险。

高速安全是一项挑战，尤其是在DevSecOps不是标准开发方法的地方。但是，我们只需要看看最近的 Log4Shell 漏洞 了解代码中相对较小的安全问题如何为成功的攻击开辟了机会，并了解这些经过计算的运送低质量代码的风险所产生的后果可能远大于预期。

对成为（访问）控制狂感到满意

大量代价高昂的数据泄露是由云存储环境配置不当造成的，而且访问控制错误可能导致的敏感数据泄露继续困扰着大多数组织的安全团队。

2019年，财富500强公司第一美国金融公司 艰难地发现了这个。身份验证错误——这个错误相对容易修复——导致了超过8亿条记录的泄露，包括银行对账单、抵押贷款合同和带照片的身份证。他们的文档链接不需要用户识别或登录，因此任何拥有网络浏览器的人都可以访问它们。更糟糕的是，它们是用连续数字记录的，这意味着链接中数字的简单更改就会暴露出新的数据记录。

这个安全问题在出现之前是内部发现的 在媒体上曝光但是，未能将其正确归类为高风险安全问题，以及未能将其报告给高级管理层以进行紧急补救，所造成的后果至今仍在研究中。

现在访问控制中断是有原因的 OWASP 前 10 名: 它像灰尘一样常见，开发人员需要经过验证的安全意识和实用技能，才能在自己的版本中掌握有关身份验证和权限的最佳实践，确保检查和措施到位，以保护敏感数据泄露。

API 的本质使它们特别相关且棘手；从设计上讲，它们与其他应用程序的交谈非常紧张，开发团队应该对所有潜在的接入点有可见性。毕竟，他们在寻求提供更安全的软件时无法考虑未知变量和用例。

分析您的安全计划：对预防的重视程度如何？

安全计划的很大一部分专门用于事件响应和反应是有道理的，但是许多组织一开始就没有利用所有可用资源来防止安全事件，从而错过了宝贵的风险最小化。

当然，有大量的安全工具可以帮助发现有问题的错误，但是 将近50％的公司承认了他们知道的运费代码存在漏洞。时间限制、工具集的复杂性以及缺乏训练有素的专家来回应报告，所有这些都导致了本质上是经过计算的风险，但是代码需要在云端、应用程序、API功能、嵌入式系统、库以及不断扩大的技术领域中得到保护，这一事实确保了我们当前的方法将永远落后一步。

安全漏洞是人为的问题，我们不能指望机器人为我们修复所有问题。如果你的开发团队没有得到有效的提高技能——不仅仅是年度研讨会，而是适当的教育基石——那么你总是面临接受低质量代码作为标准以及随之而来的安全风险的风险。

您是否高估了开发人员的准备情况？

很少评估开发人员的安全编码能力，这不是他们的优先事项（在很多情况下也不是关键绩效指标）。如果没有向他们展示更好的路径或被告知这是衡量他们成功的标准，他们就不可能成为不良安全做法的罪魁祸首。

但是，各组织内部往往假设所提供的指导有效地使工程团队做好了减轻常见安全风险的准备。视培训情况和他们运用安全最佳实践的意识而定，他们可能没有做好成为理想的第一道防线（以及阻止无休止的注入漏洞阻塞渗透测试报告）的准备。

理想的状态是，越来越复杂的学习路径已经完成，由此产生的技能经过验证，以确保它在现实世界中真正适合开发人员。但是，这需要一种文化标准，即从一开始就考虑开发人员，并正确启用该标准。如果我们作为一个行业要走向荒野，捍卫我们自己创建的这片广阔的代码格局，我们将需要我们所能得到的所有帮助... 而且摆在我们面前的东西比我们意识到的还要多。