如今,软件主宰着世界,但仍然是一个巨大的、可访问的攻击面。2022年,估计有60亿美元投资于应用安全,预计到2023年,这一数字将达到75亿美元。在应用安全内部,软件供应链安全两年前就开始受到关注,这是应用安全增长最快的攻击类别,经常发生重大漏洞和利用事件。
在此背景下,在不久的将来,应用程序安全性将出现一些相关的大趋势。首先,在预生产开发环境中,开发管道越来越复杂,并且依赖于第三方。其次,应用程序安全和云安全之间的协同作用日益增强。这两个趋势定义了未来的安全挑战和我们对现代应用程序安全的预测。
1.云安全与应用安全将开始融合
在云中运行的应用程序的安全状态主要由云配置和应用程序代码决定。多年来,云安全和应用程序安全作为独立的安全问题运行。然而,把它们放在一起看的好处正变得越来越明显:
(1)统一态势:应用程序风险是云和应用程序安全态势的结合。例如,应用程序代码漏洞和承载应用程序的云服务的错误配置都是确定攻击面的基础。它们是不可分割的,应该一起分析和优先排序。
(2)场景:漏洞修复的优先级由云和应用程序场景驱动。例如,由面向互联网的服务暴露的代码中的漏洞可能比内部服务中不可访问的代码漏洞更需要修复。当您同时拥有应用程序和云场景时,有许多机会了解哪些漏洞对业务最关键。
(3)补救:有机会将在运行时发现的漏洞追溯到预生产开发环境中的代码更改和所有者。将整个链链接在一起——从代码到云——有助于快速确定问题的根本原因,更有效地修复它,在某些情况下还可以自动修复。
将云安全与应用程序安全结合在一起是安全观念的转变。安全解决方案将继续融合,这将为组织提供机会,将应用安全和云安全工程师的职责合并,并提高效率和有效性。
2.开源软件更加安全
如果没有数百个(或更多)第三方组件,几乎不可能发布软件。然而,开源生态系统不断受到攻击,人们试图通过隐藏的代码插入、排字抢注和其他一些技术来操纵开源库和组件。
为了跟上这些持续不断的网络犯罪创新,新的举措正在进行中,将额外的安全控制引入开源生态系统。我们期望看到:
软件开发公司对开源验证的需求增加,包括信誉检查、真实性检查和持续的漏洞扫描。
开源存储库(例如NPM)将对上传的软件提出更高的安全标准,以加强组织的检查控制,从代码签名开始。
更多第三方将包括软件材料清单(SBOM),可以在使用前进行验证。
软件安全度量的可用性不断增加,以及用于在SDLC中和部署之前验证软件使用的更通用的工具集将变得更加普遍。
3.代码工厂攻击面将继续扩大
针对开发人员、代码或构建系统的攻击大幅增加(根据一些来源,每年增长460-660%),增长是巨大的。最近的事件包括OKTA的源代码被盗,丰田的漏洞始于一个承包服务通过源代码暴露敏感机密,大规模的LastPass漏洞始于一个受侵害的开发人员,等等。
由于我们构建软件的现代方法:分布式工作人员、多个系统和插件、使用许多访问密钥、令牌、机器帐户和自动化,SDLC作为一个攻击面继续增长。这些都不会很快改变,只是变得更加复杂、异构和分布式。
在LegitSecurity,当我们运行价值证明(PoV)项目时,我们会在潜在客户环境中直接发现巨大的多样性和漏洞范围。我们发现和缓解的大多数安全问题都是由于诚实的错误或安全知识的差距造成的。例如,我们不断发现流氓构建服务器和工件存储,要么是遗留的,要么是由快速移动的开发团队快速生成的,它们是完全开放的,并且包含敏感的源代码和密码。
现在的预生产开发攻击面太广、太脆弱、目标太丰富。不幸的是,预测2023年将发生更多涉及软件供应链漏洞的事件——从恶意篡改到代码盗窃,再到开发系统的敏感数据泄露等等。
4.安全软件遵从性和SBOM
在SolarWinds受到攻击后,美国政府已经开始要求供应商包括一份签署的SBOM,并为安全软件开发框架(SSDF)进行审计。2023年,我们预计将看到:
当软件交付时,对应用安全的需求增长,而不仅仅是针对美国政府消费者。越来越多的买家将要求他们的软件供应商提供SBOM,越来越多的供应商将提供SBOM供下载。
企业将寻求在其管道中实现代码签名和认证生成,以满足SSDF的完整性要求。
B2B安全评估将需要更多安全开发实践的证据,并要求安全护栏、控制和自动漏洞扫描的证据。
5.通过安全问题场景实现更智能的优先级
有一个悖论——使用现代开发堆栈的安全和开发团队遭受“漏洞疲劳”。安全问题的数量是无法忍受的,它们产生的噪音分散了团队的注意力,减慢了他们试图分类和/或修复所有问题的速度。例如,当一个普通的容器映像立即产生数百个漏洞时——实际上,您应该怎么做?
通常情况下,安全团队面临着一个不可能的选择。漏洞扫描器的可用性和功能以及社区中的安全知识是巨大的(这是一件令人惊讶的事情)——但人们一致认为优先级是一场噩梦。“CVSS已死”这个词最近被广泛引用。
团队正在寻找更聪明的方法来确定优先级。对更智能的安全态势管理的需求不断增长——这可以通过依赖于应用程序场景的更全面的风险方法来实现。因此,我们看到了“代码到云”安全方法解决这个问题的一个强有力的例子——能够理解应用程序的准确解剖结构,并将代码风险与其运行时(云)特征联系起来。这为有意义的优先级集中提供了很好的机会。
例如,安全工程师在看到安全问题时可以问自己的第一个问题是——“这个东西是可利用的吗?”,或者“这是外露的吗?”,甚至“这段代码在哪里运行,这是处理敏感数据的业务关键型应用程序的一部分吗?”将看到更多的团队和更多的安全解决方案改变他们看待漏洞的方式,以及团队如何选择专注于问题并降低其他问题的优先级。
6.文化变更:应用程序发布治理的执行需求
应用程序发布时仍然存在漏洞,这是事实。组织开始意识到问题不在于检测漏洞的能力,而在于实施安全有效的端到端发布流程的能力。
现代的方法需要更多的开发人员参与,包括“安全冠军”程序,并向左移动以包括更多的自动化安全扫描。在一天结束的时候,安全和开发团队仍然对安全的发布负责,他们现在面临着更广泛的挑战:如何构建一个安全的应用程序开发管道。
这样做的压力已经开始从上到下。c级对演示保证每个软件部署安全的有效发布过程的需求正在增加。我们称这种需求为“释放治理”。
安全团队将寻找方法:
1.定义一个考虑到应用程序场景的整体发布策略。
2.在管道中构建一个补救工作流。
3.对安全的生产前开发环境的覆盖范围和有效性具有实时可见性,具有跟踪所有权、提供风险报告和调优的能力。
我们预测,随着时间的推移,这种更全面的应用程序安全范式将占据主导地位。安全团队将推动更多的自动化和开发协作,但安全的新优先事项将是获得过程的可见性和控制,以确保安全的应用程序发布——强调跨团队的报告和问责制。
现代应用程序的未来-从不无聊的时刻
应用程序安全是一场猫捉老鼠的游戏,充斥着快速变化、创新的攻击和利用,以及不断发展的安全解决方案。一些更大的趋势正在发生,将永久性地改变这一动态格局。
应用安全与云安全将更加紧密。第三方软件的安全性将升级,包括对消费者的信任机制。安全漏洞的处理方式正在发生更大的转变——首先是利用基于代码到云可追溯性的场景风险,其次是将重点从分类问题转移到拥有真正的发布治理。
人们受益于一个运行在软件上的世界,而软件的安全性对我们所有人都至关重要。合法安全平台在这里帮助迎来这个更安全的未来。这是为了现代应用安全的未来,以确保一个安全可靠的世界。
