网络安全始终是关于预防的–确保什么不应该发生的事情,这不会发生。这意味着采取措施,以确保最坏情况下,即使所有因素都适当,也可以升级。使用软件进行此操作更具挑战性,因为尽管您通常可以根据需要显示软件的作品,但实际上并不是一种证明这不是在背景中做一些额外的事情的方法
西蒙·怀斯曼(Simon Wiseman)博士是全球政府和关键基础设施的首席技术官。
当软件消费者签署许可并开始使用该软件时,如果它按照他们需要的方式运作,他们很高兴。但是,仅仅因为它对他们有用,这并不意味着它的安全。这只是意味着他们尚未以使它出错并可能造成损害的方式使用它。安全感觉通常可能来自使用流行的,广泛使用的软件,因为那里的用户越有可能做错事并暴露了任何安全漏洞,从而使它们可以解决。
未知的作者,未知风险
但是,这可能是一种错误的安全感。为什么?因为今天的软件是一种分层的多构成产品。回到计算的曙光中,一块软件有一个作者。但是,随着1940年代第一汇编语言的到来,使用了一块软件来编写新软件,最终结果是两位作者的共同产品。
你可能喜欢
删除软件供应链盲点,使公共部门组织处于危险之中
企业对现代第三方风险管理需要什么
工程师的指南保持在网络威胁之前
向前迈进,我们发现这些基本工具已扩展为无数作者生产的软件的完整生态系统。用户和现代计算环境所需的功能需要复杂的软件,只能使用其他人生产的工具和组件来创建它们。
商业压力还要求必须快速交付整个过程,因此即使简单的功能也需要相同的处理。最终效果是,没有人真正知道该软件的作用,如果发现存在缺陷,很难将其作者固定为谁。因此,软件供应商永远无法确定其产品没有任何不良后门功能或网络犯罪分子可以利用的其他缺陷。
现在,企业由从工作站和移动设备到数据存储和协作服务,传感器和执行器的各种各种组件和技术组成,–全部由公共互联网连接。每个业务都得到其他业务的供应链的支持,并且是与最终客户的链条链接。任何人都可以通过互联网与任何人联系,反之亦然。强大的身份验证和访问控件可以使攻击者远离,但是如果攻击者在其中一个组件的软件中有后门,因为它们可以进入内部,并且可以保持未被发现。
采用过去几年中一些最杰出的网络攻击,它有可能涉及供应链。从Stuxnet到NotPetya和Sunburst,软件代码重用是问题所在。只有一个供应商妥协的组成部分,无数组织容易受到攻击。
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有首选,意见,功能和指导!取得成功!请与我联系我们的其他未来品牌的新闻,并代表我们值得信赖的合作伙伴或Sponsorsby提交您的信息,您同意您同意的条款和隐私政策,并年龄在16岁或超过16岁之间。
验证完整性
证明供应商提供的复杂软件没有后门,缺点和漏洞永远不会是一门完美的科学。诸如Google&rsquo's SLSA之类的计划是供应商前进的一个例子,使他们能够以可衡量的方式保证整个软件供应链中的软件人工制品的完整性。供应商还应将身份验证和访问控件引入其开发过程中,并使用存储库管理写作,构建和测试,以确保所有内容都可以追溯。当源材料更改时,存储库使识别负责的用户成为可能。
在实践中,这还不够,因为不可避免的是软件作者会不会从头开始写所有内容。外部开发的软件,无论是在生产新软件期间用作工具,还是将其纳入最终产品,仍然可能包含使产品不安全的后门或缺陷。充分解决这一挑战将需要诸如软件包管理系统之类的工具,以对导入和集成第三方代码并使其审核的过程产生一些控制。
与代码重用一起生活
除了为软件开发实施更严格的环境外,组织还应寻找网络犯罪分子可以使用的网络和数据中其他潜在漏洞的方法。通过转移到零信任并需要多因素身份验证来提高网络安全性,增加了额外的障碍,可以帮助筛选潜在的恶意角色。实施诸如远程浏览器隔离(RBI)和零信任CDR之类的技术在混合工作环境中可能特别有用,因为它们可以保护桌面设备免受网络威胁的影响,并确保免费下载是不含恶意软件的。
现代软件开发的复杂性和速度意味着代码重用是常态。第三方代码库对于它们来说太有用了,无法被放弃。但是与此同时,企业不能忽略该系统中缺陷所带来的威胁,希望其他企业将首先受到袭击,并且攻击在击中它们之前被中和。找到安全生活的方法意味着要仔细研究他们使用来创建和运输软件的开发和分销过程,并以提供保证和完整性的方式积极构建。
任何工具成功验证软件代码完整性的成功的关键标志是,消费者使用这些框架生成的信息来做出购买决策。然后,这种市场压力和竞争将迫使变革的步伐,并坚持以越来越安全的方式设计和构建软件。
在Techradar Pro,我们提供了最好的业务VPN。
