为什么网络安全需求超过减缓努力

公司必须降低新软件及其现有代码中网络攻击的风险。然而，大多数公司没有可靠的实践。1月28日，美国国防部发布了五角大楼战斗测试办公室发布的一份报告，宣布美国军方的网络安全能力“没有快速发展，无法保持领先于对手设想的'多重攻击'的攻击。”1月29日，有消息称Apple的Facetime软件中存在一个错误，允许用户在未经他人同意的情况下访问其他人的麦克风。这些组织在一周内领导各自的行业，已经证明了软件安全面临的巨大挑战。

2019年的软件团队正在构建更复杂的项目，拥有更多分布式团队，在更具竞争力的技术环境中。除了这个巨大的挑战之外，团队还必须在新软件和现有代码中降低网络攻击的风险。迄今为止，大多数公司已表明他们没有可靠的实践。

想要从西门子，强生，美敦力，雷神和其他数百家先进制造商那里获得销售线索?在波士顿BIOMEDevice，嵌入式系统会议和新英格兰设计与制造部门与他们会面。近400家供应商在展会上预订了展位;现在预订你的。

网络安全领域仍处于初级阶段。单独的恶意行为者通过电子邮件和网站传播的病毒始于90年代，但几乎没有经济利益。作为回应，开发并部署了防病毒软件解决方案。在世纪之交之后，网络攻击开始主要针对公司，将信用卡黑客和公司违规行为变成常规头条新闻。这不仅暴露了TJX，Target，Home Depot和Staples等公司的系统漏洞，而且还揭示了大多数公司并未将网络安全作为业务优先事项。

然后，公司开始推出新的安全计划，以阻止攻击，奖励黑客在其公司中获得错误奖励和职位。虽然这些新员工为团队带来了技术专业知识，但黑客天生就喜欢自己出发并颠覆自己的系统。现在的挑战是公司创建结构化和可预测的安全工作流，以减轻非结构化和不可预测的攻击。

可扩展的安全实践和自动化限制

团队为其开发添加了一些安全结构的一种方法是采用渗透测试，漏洞分析和监控工具。在思科2018年度年度网络安全报告中，39%接受采访的首席信息安全官表示，他们的组织完全依赖自动化。完全依赖机器学习和人工智能也很普遍，分别为34%和32%。

这应该不足为奇，因为真正需要快速扩展的组织无法通过单独招聘来合理地做到这一点，特别是考虑到某些组织软件的复杂性和广度。自动化确实并且应该发挥关键作用。

但是，自动化工具本身缺乏对业务风险的背景感。评估风险是安全工作中最具挑战性的方面之一，因为每个项目都可能存在漏洞。

开放式Web应用程序安全项目(OWASP)主张关注手动安全代码审查，称“人类审阅者可以理解某些编码实践的背景，并进行严重的风险评估，同时考虑攻击的可能性和违规的业务影响。“将更多上下文扩展到安全团队意味着将它们包含在软件开发生命周期的每个阶段(SDLC)。

在SDLC上构建安全审查质量门

在SDLC中可以找到错误和漏洞，可以更快地修复它们。这就是为什么这么多团队都希望将他们的测试转移的原因。同样的原则适用于安全性。OWASP概述了安全团队应该如何参与审核：

通过所有这些接触点，跨职能协作至关重要。对于具体的代码审查，如果安全专业人员不熟悉应用语言或框架，那么他们通常可以有效地完全理解代码正在做什么。开发和安全团队之间的有效沟通对于交叉授粉学科领域知识和最佳实践至关重要。在SmartBear于2018年发布的一份报告中，73%的受访者认为“在团队中分享知识”是代码审查的主要优势之一。

如果还没有，团队应该定期为会议设置节奏，以讨论应用程序架构，相关服务以及关键输入和输出。团队确保所有这些审核都以文档化和有组织的方式进行，这可能具有挑战性。对于通过手动，电子邮件或电子表格跟踪评论的团队来说尤其如此。Collaborator等工具有助于对与项目相关的所有代码和文档进行结构化审核。团队可以自定义审批工作流程，并确保使用审核指标和缺陷报告捕获其流程。

美国政府问责办公室主任Cristina Chaplain反映了五角大楼最近的一份报告称：“国防部测试人员经常发现正在开发的系统中的关键任务漏洞，在某些情况下，多年来反复出现的问题往往会忽视其规模和严重程度。问题。”

扫描工具可以识别关键漏洞，但如果没有基于工具的审查结构作为开发质量门，有形的最后期限压力可以鼓励团队继续前进而不解决问题。

当团队采用嵌入了安全实践的结构化审核流程时，知识共享成为项目文化的核心。鉴于各行各业对培训和技能发展的需求非常大，这一点尤为重要。

在前面提到的思科研究中，27%的受访者表示“缺乏训练有素的人员”是安全方面的最大障碍，高于2015年的22%。这并不是说公司不会招聘安全人员。该研究还发现，一个组织的安全专业人员中位数从2015年的25人增加到2017年的40人。公司需要加快招聘以满足安全需求，并积极为这些专家创造机会，指导和培训初级团队成员。由于同行评审在整个SDLC中进行，因此它们可以成为这种入职和知识转移的有效结构化工具。

MITER支持的Common Weakness Enumeration项目目前列出了800多种已知类型的软件安全漏洞。随着每种新的CWE类型的确定，安全实践不足所带来的潜在商业风险也会增加。

如果公司希望加快安全工作，则需要同时进行上下文和可扩展的方法。实际上，这意味着结构化的工作流程优先考虑跨功能审查和工具，可以大大扩展安全测试覆盖范围，理想情况下利用AI或机器学习不断改进