内容动机
从历史上看,有时现在,组织将其安全策略集中在网络系统级别,例如防火墙,并对软件采取了被动的方法。安全性,使用通常称为“渗透和修补”的方法。[5]通过这种方法,当产品通过尝试已知攻击的渗透测试完成时,可以评估安全性;或者,当组织成为已部署软件攻击的受害者时,会在发布后发现漏洞。在任何一种情况下,组织都会通过安全补丁查找和修复漏洞来做出反应。以下缺点在以被动方式处理网络安全时可能更为普遍:
• 违规行为代价高昂。根据对15个国家/地区的477家公司的研究,2018年Poneman Institute[4]报告称,美国和中东的违规成本平均为790万美元,中东为530万美元。印度和巴西的违规行为成本最低,但这些国家/地区每次违规行为的平均费用分别为180万美元和120万美元。违规造成的声誉损失很难量化。
• 攻击者可以在不被注意的情况下发现和利用漏洞。根据对15个国家/地区的477家公司进行的一项研究,2018年Poneman Institute[4]报告称,识别发生违规行为的平均时间为197天,查找和修复漏洞的平均时间为一旦检测到违规行为,还需要69天。
• 补丁可能会引入新的漏洞或其他问题。漏洞补丁被认为是紧急的,可以匆忙推出,可能会给系统带来新的问题。例如,Microsoft针对Meltdown1芯片漏洞的早期补丁在Windows7 2中引入了一个更严重的漏洞。新漏洞允许攻击者更快地读取内核内存并写入自己的内存,并可能允许攻击者访问在机器。
• 客户通常不应用补丁。用户和系统管理员可能不愿意应用安全修补程序。例如,OpenSSL中广为人知的Heartbleed3漏洞允许攻击者轻松,悄悄地利用易受攻击的系统,窃取密码,cookie,私有加密密钥等等。该漏洞于2014年4月报告;但在2017年1月,扫描显示仍有200,000台可访问的互联网设备未打补丁[7]。一旦漏洞被公开报告,攻击者就会制定一种新的机制来利用该漏洞,因为他们知道许多组织不会采用该修复程序。
1998年,McGraw[5]主张超越渗透和补丁方法,基于他在DARPA资助的研究工作中的工作,研究软件工程在软件漏洞评估中的应用。他认为,主动严格的软件分析应该在评估和防止应用程序中的漏洞方面发挥越来越重要的作用,因为众所周知的事实,即由于软件设计和编码错误而发生安全违规。2002年,Viega和McGraw出版了第一本关于开发安全程序的书,Building Secure Software[6],重点是防止漏洞注入和降低安全性。通过将安全性集成到软件开发过程中来承担风险。
在2000年代初期,攻击者变得更加激进,Microsoft成为这种侵略的焦点,暴露了其产品中的安全漏洞,尤其是Internet信息服务(IIS)。Gartner是一家领先的研究和咨询公司,很少建议其客户避开特定的软件,建议公司停止使用IIS。为了回应客户的担忧和越来越多的负面新闻,当时的Microsoft首席执行官比尔·盖茨(Bill Gates)在一月份向所有员工发送了可信计算备忘录[2]。2002年第15期。该备忘录也在互联网上广为流传。备忘录的摘录定义了可信计算:
“可信计算是我们所有工作的最高优先级。我们必须将行业引导到一个全新的计算可信度水平......可信计算是与电力、供水服务和电话一样可用、可靠和安全的计算。
可信计算备忘录引起了公司的转变。两周后,Microsoft宣布推迟发布Windows.NET Server [8],以确保根据以下要求进行适当的安全审查(称为Windows安全推送)。Microsoft的可信计算计划在本备忘录中概述。2003年,Microsoft员工Howard和Le Blanc[9]公开出版了一本关于编写安全代码以防止漏洞,检测设计缺陷和实现的书的第二版错误,并改进测试代码和文档。在推送期间,Windows团队的所有成员都必须阅读第一版。
在随后的几年中,Microsoft改变了他们的开发流程,通过对从早期规划到产品生命周期结束的开发流程进行全面改革来构建安全产品。他们的产品包含的漏洞明显较少[9]。在内部使用该流程后,Microsoft编纂并贡献了他们的13阶段内部开发流程,即2006年名为《安全开发生命周期[3]》的书,将其Microsoft安全开发生命周期(SDL)提供给社区。正如盖茨的初衷一样,Microsoft SDL通过提供第一个记录在案的全面规范性生命周期,为信息技术行业奠定了基础。同样在2006年,McGraw出版了第一本关于软件安全最佳实践的书[10]。
正如本知识领域的其余部分所讨论的那样,组织建立在Microsoft以及Viega和McGraw奠定的基础上[6,5]。
