2022年我们不能忽视的网络安全问题

本文的一个版本发表于 《信息安全》杂志。它已在此处更新和发布。

‍

过去两年对每个人来说都是一场激烈的洗礼，但是大多数组织的网络安全蓝图都经受了考验，因为我们中的许多人几乎在一夜之间就陷入了远程工作模式。作为一个行业，我们确实必须加大赌注并进行调整，尤其是在威胁行为者出现绝望的情况下 导致举报的网络犯罪激增300％ 自从大流行开始以来。

我们都吸取了一些教训，令我感到欣慰的是，不仅普遍的网络安全受到更加认真对待，代码级软件的安全性和质量也得到了更加认真的对待。 拜登的行政命令 关于保护软件供应链的关键问题暴露了出来，尤其是在SolarWinds大规模泄露之后。我们都需要更加关心安全的想法， 和 通过可衡量的安全意识努力减少漏洞无疑是对话的重要组成部分。

话虽如此，在打击网络犯罪分子时，我们需要尽可能与他们保持一致，以预防的心态抢占他们的游乐场。

我认为来年他们可能会开始掀起波澜：

元宇宙是一个新的攻击面

元宇宙可能是互联网的下一次演变，但大多数行业保护软件和数字环境的方式尚未实现类似的转变。

虽然网络钓鱼诈骗等普遍的网络安全陷阱将是不可避免的（而且在每个人都在元宇宙中站稳脚跟时可能会有很多陷阱），但使这个身临其境的虚拟世界成为可能的实际基础设施和设备必须是安全的。与智能手机帮助我们在线生活的方式类似，虚拟现实头戴式耳机等外围设备是通往大量用户数据的新门户。为了确保物联网设备的安全，需要越来越复杂的嵌入式系统安全性，主流虚拟现实/增强现实的全新世界也不例外。正如我们在Log4Shell漏洞中看到的那样，代码级别的简单错误可能会成为威胁参与者的后台通行证，而在模拟现实中，每一个动作都会产生可能被盗的数据。

尽管处于起步阶段，但成功的元宇宙将需要切实采用加密货币（而不仅仅是随机囤积最新的模因币）和NFT等有价值的物品，这意味着我们的现实生活中的财富、身份、数据和生计有可能向可能使人们处于危险之中的新的 “狂野西部” 敞开大门。在我们工程师开始疯狂使用史诗般的功能和增强功能之前，从头开始最大限度地减少这种新的庞大攻击面应该是当务之急。

Log4Shell 之后的立法

对于数十名陷入混乱、争先恐后地寻找广泛使用的Log4j日志工具的可利用版本是否存在任何实例或与之相关的依赖关系的开发人员来说，我认为假期不会是一个愉快的时光。

这种未修补的攻击是 是有记录以来最差的，将 Log4Shell 与毁灭性的 Heartbleed OpenSSL 漏洞进行了比较 六年多后仍被剥削。如果这个时间表有待遵守，我们将在未来很长一段时间内处理 Log4Shell 宿醉问题。很明显，即使吸取了 Heartbleed 的经验教训——至少在需要尽快推出和实施补丁方面是如此，但许多组织的行动速度仍然不够快，无法保护自己。根据公司的规模，补丁可能非常困难和官僚主义，需要跨部门的文档和实施。通常，IT 部门和开发人员对所有正在使用的库、组件和工具并不了解百科全书，并且受到严格的部署时间表的阻碍，以最大限度地减少中断和应用程序停机时间。这种方法起作用是有正当理由的（阅读：没有人愿意在工作中大放异彩然后破坏某些东西），但是补丁太慢就是坐视不管。

就像 SolarWinds 攻击 改变了软件供应链的游戏规则，我预计 Log4Shell 之后也会发生类似的情况。虽然中已经有补丁管理要求和建议 一些关键行业，广泛的立法则是另一回事。预防性软件安全永远是我们完全避免紧急安全补丁的最佳机会，但是安全最佳实践规定，修补是一项不可谈判的优先措施。我认为这将是一个热门话题，并提出了一些不太微妙的建议，可以快速且经常地进行补丁。

更加重视架构安全（而开发人员还没准备好）

新的 OWASP 2021 年前 10 名 有一些重要的新增内容，令人惊讶的是，注入漏洞从第一位下降到第三位。这些新增内容说明了开发人员在安全编码和安全最佳实践方面的历程的 “第二阶段”，遗憾的是，除非经过适当的培训，否则大多数人没有能力对降低风险产生积极影响。

一段时间以来，我们已经知道，如果我们要解决代码中常见的安全漏洞，开发人员必须具备安全技能，而且各组织在开发人员驱动的预防前提下做出了更好的回应。但是，随着 不安全的设计 在OWASP前10名中占有一席之地，并且是架构安全问题的一类而不是单一类型的安全漏洞，开发人员一旦掌握了基础知识，就需要超越基础知识。一旦开发人员成功提高技能，涵盖威胁建模的学习环境——最好是在安全团队的支持下——可以减轻巨大的压力，但就目前而言，对于大多数软件工程师来说，这是一个巨大的知识差距。

应对这种情况 “需要一个村庄”，该组织可以在为开发人员创造积极的安全文化方面发挥作用，在不对他们的工作流程造成重大干扰的情况下激发他们的好奇心。