近两年,全球网络安全威胁愈加复杂化,攻击手段多变,造成的经济损失不可估量。网络安全已经成为全球企业和政府共同面对的棘手问题之一。
不稳定性已经成为了新常态,而且网络安全挑战仍然持续存在。一方面新技术不断涌现,应用场景更加多元化;另一方面,安全威胁相伴相生,甚至其中一些安全问题会爆发在令人意想不到的领域。很多企业都在加强对软件安全和技术供应链的审查。在新的一年到来之际,新思科技与大家分享观察到的新兴趋势,希望能帮助企业在推进软件安全计划时做出更加明智的决策。
1.人工智能驱动系统的安全性成为开发和安全团队的重要实践
新思科技软件质量与安全部门总经理Jason Schmitt表示:“人工智能已从一项有前景的技术迅速发展成为 IT 和消费等几乎所有领域的主流。因此,人工智能驱动系统的安全性将成为开发和安全团队的另一个重要目标,因为他们了解针对人工智能的算法操作的性质和范围。”
2.软件的透明度将增强
随着供应链攻击越来越严重,大家对软件物料清单(SBOM)的关注度也有所提升。根据最新版本的软件安全构建成熟度模型(BSIMM)--BSIMM12,在过去24个月,软件物料清单活动增加了 367%。
新思科技首席科学家Sammy Migues表示:“2022年,更多企业希望掌握他们的软件有哪些组件。企业将要求供应商说明应用和设备中的所有软件、软件来源、软件如何构建和测试以及维护。”
3.企业逐渐意识到AppSec是风险管理的关键
过去,AppSec 被视为业务进展的障碍。 现在,企业开始意识到 AppSec 与构建、部署和运行软件的方式密不可分。
新思科技高级安全策略师Jonathan Knudsen表示:“企业开始认识到 AppSec 是风险管理的关键部分,并且正确实施 AppSec 计划会带来商业利益。 成功的 AppSec 意味着更少的软件漏洞,这意味着更低的风险,生产力以及客户满意度也会更高。”
另外,在 AppSec 领域,企业一直在采用静态分析工具、交互式应用安全测试工具和软件组成分析工具等,以期快速做出决策并培养DevSecOps文化。企业不想浪费开发人员的时间来梳理大量重复的缺陷信息,或修复不可利用的缺陷。 因此,整合来自多个工具的结果并提供优先级的缺陷列表将成为优先事项。
4.云安全策略日益成熟,容器编排技术持续增加
在未来一年,网络安全意识培训对于各种形式和规模的企业预防网络攻击仍然至关重要。
新思科技软件质量与安全部门安全工程师Amit Sharma表示:“随着越来越多企业采用云解决方案,云安全策略将在未来几个月到几年内日益成熟。自动化和配置可以有助于保护云端的敏感数据。我们将看到 Kubernetes 等编排技术的使用持续增加,并且对容器和 Kubernetes 安全解决方案的需求也会增加。”
5.基础设施即代码在亚太区的采用速度将进一步加快
新思科技软件质量与安全部门亚太区客户服务总监Ian Hall表示:“基础设施即代码已经存在多年,但亚太地区的采用速度相比其它地区较慢,预计这种情况将在 2022 年发生变化。现在,基础设施即代码与云原生架构都已经是常态化。因此,企业将需要重新审视已实施的安全计划,以防在迁移到新架构时,以往的策略变得没有效用。 这些技术变革意味着需要对员工加强培训,以便他们具备有效支持和保护系统所需的技能。”
6.更多汽车行业网络安全标准将出台
2021年,许多汽车行业网络安全标准出台,包括 ISO/SAE 21434、Automotive SPICE for Cybersecurity和TR-68:3。专注于开源软件安全性的OpenChain ISO 5230也已发布。此外,还有更多相关的标准正在制定,包括ISO 5112、ISO/SAE 8475及 ISO/SAE 8477等。所有这些不同的标准和技术参考为汽车行业提供指导,以制造更安全的汽车。
新思科技首席汽车安全策略师Dennis Kengo Oka博士表示:“2022 年,我们将看到汽车行业继续采用以上这些标准和技术参考。主要活动包括建立新的网络安全政策和流程、雇用安全人员并分配网络安全角色和职责,以及在企业中开展网络安全活动。我们还期待看到更简化的工作流程。”
7.软件安全合规需求持续增加
中国在2021年陆续颁布的《数据安全法》和《个人信息保护法》,有助于规范数据处理活动,保障数据安全,以及更加有效地保护个人隐私。
新思科技中国区软件应用安全技术总监杨国梁表示:“最近几年,全球各地都陆续推出数据保护有关的法律法规。软件企业在合规方面的投入也在加大。在BSIMM12报告中,77%的受访者表示已经将合规约束转变为需求。这有助于提高审计时的可追溯性和可视性。在未来,合规在软件质量与安全管理中重要性将越来越高。”
推进数字化转型,才能真正赋能高质量发展。现在,数字化转型已经成为中国乃至全球各大产业的必答题。这离不开软件的驱动和应用。因此,软件是否安全直接关乎到数字化转型的成功与否。无论是为了提升效率,还是为了合规,软件安全不可忽视;无论是企业,还是消费者,对软件安全的关注度只会有增无减。