在线观看成人小视频_丰满少妇被猛烈进入一区二区_中文字幕成人在线_国产成人自拍网站_亚洲人成绝费网站色www_无码国产精品96久久久久_国产精品一区二区三区精品_国产在线播放一区三区四_成人精品久久av网站_在线观看日韩一区二区_欧美日韩在线亚洲一区蜜芽_韩国成人av

說起安全性話題，近年來可謂熱度不斷。從勒索軟件到初步入侵代理、再到自動化數據中毒與對抗性機器學習，2021年的IT安全領域可謂“百花齊放、百家爭鳴”。

從好的方面來說，如今的安全工作已經不需要跟在IT身后亦步亦趨。至少大型組織機構已經意識到獨立安全體系的重要意義。紅帽發布的《2021年全球技術展望》報告就將安全性列為IT投入的第一要務，有45%的受訪者將其視為接下來的頭號投入重點。

紅帽技術布道師Gordon Haff在報告中提到：“從歷史角度看，引發安全威脅的主要原因在于資金匱乏與重視度不足。但從方方面面的情況來看，這種被動局面正在發生變化。”

與DevSecOps的文化與實踐發展相結合，這種變化希望將威脅環境縮小到可管理的水平，同時盡可能提升安全準備的全面程度——這一點當然非常重要，畢竟攻擊者可不會像上班族那樣設定明確的休假時間。

Altimetrik公司信息安全負責人Aladdin Elston表示：“黑客不會任由我們組織策略、編寫程序而坐視不管，勒索軟件也不會等到數據庫經過加密之后才施以鎖定，腳本小子更不會待到補丁管理周期啟動之后才嘗試利用最新漏洞。”

考慮到以上現實、也值此年度之交，是時候重新評估并著力關注IT團隊乃至組織整體的安全目標了。以下，是2022年信息安全工作中的四大核心注意事項。

1. 基礎很重要，好習慣決定一切

如果說信息安全是一張熱門專輯，那安全習慣肯定是開篇第一首曲子。年復一年，眾多安全事件的爆發都源自某些看似平凡的日常習慣。從勒索軟件到云賬戶劫持、再到數據泄露，包括錯誤配置（包括直接使用默認配置）、用戶權限過高乃至修復補丁缺失，大部分威脅之所以能得手，倚仗的就是那些最平平無奇的小失誤。

Elston解釋到：“2022年已經到來，很多朋友可能覺得基礎安全知識早已全方位普及。但很遺憾，相當一部分基本安全實踐并沒有推開，因此極可能引發大規模安全違規。”

這就引發了新的問題：安全基礎究竟是什么？密碼安全與系統補丁當然屬于基礎，但除此之外我們還得就更多問題與同事們結合組織實際達成共識。只有這樣，大家才能建立起一種通行的安全保護與效果量化標準。此外，“基礎”這個詞本身并無意義、無法直接指向任何實質性的基本原理。

Elston表示：“在我看來，基礎知識囊括補丁管理、安全配置、威脅建模、DAST與SAST掃描、內部與外部漏洞掃描、滲透測試、網絡釣魚攻擊防御、第三方漏洞評估、備份與災難恢復、定制化安全培訓等等。”

目前市面上充斥著眾多確有價值的安全工具和技術，其中又以能夠實現安全自動化的解決方案最為亮眼。然而“工具已經部署到位”的觀念往往會導致人們放松對核心安全需求的關注，甚至樂觀地假設自己已經安全無憂、只待躺平。

“基礎”指的也不是陳舊，SAST與DAST掃描都是DevSecOps生命周期中的重要方法，而二者也正是當前頗具熱度的安全“左移”理念的重要步驟。

2. 事事優先，等于無事優先

不斷考量/重新考量組織中的安全空缺，特別是最近剛剛發現但還沒解決的問題，這對于回歸安全基礎的整體舉措具有重大意義。ELston提到，大家可以使用各類外部框架，包括NIST網絡安全框架、OWASP Top 10等等。此外，MITRE ATT&CK也是值得考量的因素，還有指向特定場景的監管規則（例如HIPAA與PCI）。

Elston建議：大家最好能從對全體資產的庫存檢查起步。我們無法測試或者保護自己壓根不認識的東西——所以這份清單將成為內部與外部漏洞評估、內部及外部滲透測試乃至其他主動安全策略的實施基礎。

在這方面，個人和組織很容易在紛繁復雜的威脅情境下迷失方向。我們在企業中發現的風險與漏洞清單，特別是在深入研究過那些涵蓋已知威脅與CVE的外部框架或其他資源時，往往讓人感到隱患是無窮的、人力卻是有限的。答案很簡單——把問題縮小到能夠解決的規模。想要解決所有問題，那很可能什么都解決不了。面對逐年增加的潛在威脅，我們只能盡人事、并且想辦法盡好人事。

Elston指出：“大家最終可能會整理出一份對組織影響最大的風險清單，之后按重要性和業務影響對內容進行排序和優先級調整。我個人建議先關注清單中的前20%條目，其他的以后再說。”

這種方法主要有兩大優勢。首先，既可以高效、又著眼于實效地關注高緊迫度風險。這樣就能廣泛聽取安全意見，同時在組織中摸索出一套具體且可操作的方法。此外，這也是一條能夠統籌各方協同努力的、易于管理的安全保護路徑。

其次，這種方法也能產生切實有效的下游影響。因為在關注最嚴重漏洞的同時，我們也能從中找到可以在其他場景中復用的固定模式。

想要解決所有問題，那很可能什么都解決不了，特別是在面對潛在威脅逐年增加的情況下。

Elston認為：“通常情況下，關注最關鍵的漏洞能夠幫助我們理解自身環境、網絡與人員的實際情況。在確定缺陷在哪里、如何進行糾正的過程中，我們將能夠制定出一種適用于其他低優先級問題的原則性方法。”

Elston還強調了為不同人員及團隊建立內部渠道，借此就安全問題開展溝通和協作的重要意義。對于還不太熟悉DevSecOps方法的朋友來說，這也不失為一種理想的探索起點。

Elston指出：“值得慶幸的是，通過負責任披露計劃、眾包信息源以及滲透測試，我們可以及早發現大部分漏洞并迅速加以修復。但要想達成這一目標，我們就必須在IT、基礎設施、安全及開發團隊之間建立起清晰而積極的溝通渠道。”

3. 解決供應鏈問題，滿足IT安全需求

容器、微服務、編排等用于描述云原生應用程序開發方法的基本概念，其實也適用于當下精密無比、環環相扣的全球供應鏈體系。雖然細節有所區別，但供應鏈管理中的很多原則、特別是供應鏈安全問題，也同樣適用于IT部門。

來自紅帽的Haff表示：“供應鏈的核心主題適用于一切領域，其中當然也包括軟件、包括開源軟件。”

那么有多普適？足以讓白宮在2021年5月發布關于網絡安全的專項行政令。

如同其他供應鏈一樣，IT供應鏈中的大多數軟件都需要依賴其他軟件進行構建、打包和部署。即使是擁有龐大開發團隊的組織，也不可能萬事從零開始親手構建——這壓根沒有可行性。

Haff指出：“組織編寫的大部分軟件都依賴于其他外來軟件，包括從互聯網上直接下載到的軟件。大部分代碼當然沒有惡意因素，但與所有軟件一樣，其中仍可能包含bug、或者已經過于陳舊。”

軟件供應鏈將成為2022年及之后IT安全中的關鍵領域。事實上，我們不妨將DevSecOps理解成一種從根本上建立安全供應鏈的范式。沒錯，這是一種新范式、而非傳統的網絡邊界問題。正因為如此，受信容器注冊表（例如Quay）和自動鏡像掃描才會變得越來越受重視。

Haff提到，開源安全基金會（OpenSSF）等行業組織已經開始在宏觀層面解決供應鏈問題，但IT專業人員也應將這種心態融入自己的組織當中。

軟件供應鏈將成為2022年及之后IT安全中的關鍵領域。

Haff認為，“IT領導者需要提高對安全問題的認知度，并在DevSecOps工作流程當中充分利用軟件掃描與簽名工具來緩解現實挑戰。”

Red Hat云與DevSecOps戰略總監Kirsten Newcomer預計，供應鏈安全將成為2022年IT領導者及其團隊的核心關注點。組織將意識到，單憑漏洞分析等現有方法已經不足以抵御潛在入侵。DevSecOps團隊將擴展自身戰略與工具鏈豐富度，全力保護供應鏈體系。

Newcomer指出，“為此，Tekton CD鏈及Sigstore等新興技術將在流程中逐漸鋪開，降低組織在流程中添加簽名的門檻。”

事實上，Newcomer還嘗試將另一個傳統概念引入IT領域：軟件材料清單（SBOM）。

Newcomer表示，“關于交付SBOM的提議標準已經初步成型，但出于對供應鏈安全的擔憂，我們現在必須加快步伐、確保所有組織都能理解該如何整理并提交軟件材料清單。”Newcomer同時補充稱，業內即將對靜態與動態BOM問題展開廣泛討論。

所謂動態，自然需要涵蓋不斷變化的信息，例如漏洞數據。換句話說，軟件包本身并沒有改變，但其運行所依賴的其他軟件也可能曝出新的漏洞。

Newcomer指出，“與之相關，圍繞SBOM及相關包元數據的自動化方案也將爆發式增長。”

4. 數據，數據為王

端點與網絡安全等傳統關注方向仍然重要，但無論是對惡意攻擊者、還是對于相阻止惡意攻擊的人員和組織來說，安全的核心都是數據。這些數據大多分布在眾多環境當中，于是“數據就是新的貨幣”在攻守兩大陣營中都成了真相、而不止是比喻。

云安全是個宏大議題，這倒不是因為云基礎設施本身安全度不足。相反，它相對安全、所以幾乎每家組織都已經成功上云，云自然也就成了數據的聚集地。

Authomize公司CTO Gal Diskin表示，組織應該優先考慮工具與策略，例如基于角色的訪問控制和零信任原則，借此規避不必要的風險。Diskin建議不斷優化身份與訪問管理范圍內的一切內容。“做最悲觀的假設”將非常重要：假設您的云賬戶、基礎設施、SaaS等等，終將、甚至已經遭到了入侵。

Diskin表示，“大家應該為企業賬戶遭受威脅做好準備，并據此規劃安全策略。縱深防御非常有效，還應輔以能限制賬戶盜竊范圍的其他工具，確保組織能夠持續驗證訪問權限，將以往粗略的身份驗證層轉化為細粒度授權體系。”

ZL Technologies全球服務負責人Melinda Watts預計，過去一直專注于基礎設施的安全團隊，將會在新一年中更多重視駐留或流經基礎設施的數據內容。

具體來講，Watts認為從安全角度出發，組織將更多關注自己掌握的暗數據。用直白的話來說，暗數據就是組織產出了、存儲了，但實際上并沒有得到使用的各種信息。

Watts指出，“DevSecOps長久以來一直采用自上而下的安全方法，確保云端或本地存儲基礎設施安全無憂。然而，2022年開始這項工作將迎來自下而上的新補充。在這種新方法中，企業將重新關注系統中所存儲數據的安全水平。”

有一些組織已經達成了這種平衡，而長期認為基礎設施重要度高于數據的組織則需要奮力追趕。攻擊者的目標肯定不單是入侵服務器，他們想要的是服務器上的容器或者登錄憑證，再借此竊取與組織相關的數據信息。數據才是重點、數據才是目標。

正因為如此，勒索軟件才成為一種體量龐大的業務模式，并繼續在醫療保健、銀行與金融服務、政府部門等備受矚目的領域瘋狂肆虐。

Elston最后總結道，“近年來，健康數據安全已經成為一波新興趨勢；隨著未來幾年勒索軟件攻擊的持續存在，這波趨勢終將成為主流關切。”