2024 年企業(yè)安全領(lǐng)導(dǎo)者需要謹(jǐn)記的五大關(guān)鍵
新年立下新志向,開啟新征程。對(duì)于 CISO 和 CSO們來說,這也意味著他們能夠借此機(jī)會(huì)打造能把自身企業(yè)安全作為優(yōu)先考量的解決方案。
去年,整個(gè)業(yè)界在加強(qiáng)軟件供應(yīng)鏈安全方面取得了顯著進(jìn)展,但安全團(tuán)隊(duì)在軟件供應(yīng)鏈方面仍然面臨著許多潛在的威脅。AI/ML模型中惡意代碼的猖獗使用、遭入侵的開源軟件、漏洞利用等問題仍持續(xù)困擾著企業(yè)。
為在 2024 年確保軟件供應(yīng)鏈盡可能安全,安全專業(yè)人士必須在今年致力于做好以下五大關(guān)鍵,包括:
對(duì)于開源代碼,在信任的同時(shí)要對(duì)其進(jìn)行驗(yàn)證
警惕安全解決方案和代碼開發(fā)中的AI/ML
不要對(duì)零日漏洞感到恐慌
將 SBOM 作為安全戰(zhàn)略的必備要素進(jìn)行集成
采取“左移”戰(zhàn)略
對(duì)于開源代碼,在信任的同時(shí)要對(duì)其進(jìn)行驗(yàn)證
安全領(lǐng)導(dǎo)者面臨的最嚴(yán)峻挑戰(zhàn)之一就是開源軟件的威脅。許多開發(fā)者盲目信任來自公共開源代碼庫的軟件,認(rèn)為它們不存在安全和合規(guī)性問題。然而,未能對(duì)代碼進(jìn)行包含必要的安全控制等在內(nèi)的正確審查以確保其始終處于最新狀態(tài),會(huì)使組織遭受軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn)增高。
步入 2024 年,安全領(lǐng)導(dǎo)者必須在信任開發(fā)者開源編碼實(shí)踐的同時(shí)對(duì)其進(jìn)行驗(yàn)證。安全風(fēng)險(xiǎn)往往始于開發(fā)者從這些公共資源庫下載代碼的那一刻。通過確保自始對(duì)代碼進(jìn)行充分審查,安全領(lǐng)導(dǎo)者就能主動(dòng)減輕對(duì)軟件供應(yīng)鏈的威脅,避免造成不可挽回的損失。
警惕安全解決方案和代碼開發(fā)中的AI/ML
2023年,人工智能的興起推動(dòng)了創(chuàng)新,但也引起了人們對(duì)安全問題的高度關(guān)注。軟件開發(fā)安全方面的疏忽可能會(huì)無意中將惡意代碼引入AI/ML 模型,讓攻擊者有機(jī)可乘,由此對(duì)企業(yè)造成進(jìn)一步的損害。
開發(fā)者還可能會(huì)使用從公共 AI/ML 源生成的代碼,而不知道模型是否已遭到入侵。如果盲目信任AI/ML 模型,就可能會(huì)給企業(yè)招致更多的漏洞——所有來自AI/ML 源的代碼都必須經(jīng)過審查。
無需對(duì)零日漏洞感到恐慌
2023 年,網(wǎng)絡(luò)犯罪分子利用零日漏洞的速度創(chuàng)下了歷史新高,而新的一年里,這一趨勢(shì)還將持續(xù)。
面對(duì)零日攻擊,安全團(tuán)隊(duì)常常會(huì)感到恐慌,不確定 CVE (關(guān)鍵漏洞披露)會(huì)產(chǎn)生怎樣的影響。雖然CVE可能存在于他們的軟件中,但也完全有可能在極端特殊情況下被利用,而這些情況并不適用于該企業(yè)。在這種情況下,可能會(huì)無緣無故地對(duì)最終用戶實(shí)施耗時(shí)且可能具有破壞性的補(bǔ)丁。
今年,CISO 和 CSO 們?cè)诓扇⌒袆?dòng)之前,需要先了解 CVE 及其與企業(yè)的關(guān)系。盲目修補(bǔ)可能弊大于利,而將 CVE 與具體情況聯(lián)系起來,則有助于更好地保護(hù)企業(yè)并明確真正需要采取的行動(dòng)。
將 SBOM 作為必備要素納入安全戰(zhàn)略
SBOM 已成為安全領(lǐng)導(dǎo)者使用的重要 DevSecOps 工具,因其能為用戶提供更快的識(shí)別方法,縮短恢復(fù)時(shí)間,提高代碼修復(fù)的效率和效力,并在更嚴(yán)格的監(jiān)管環(huán)境中增強(qiáng)合規(guī)性。
SBOM 可以系統(tǒng)性地跟蹤每個(gè)應(yīng)用程序中存在的組件,以及應(yīng)用程序運(yùn)行所需的依賴項(xiàng),使安全團(tuán)隊(duì)能夠準(zhǔn)確地查看在發(fā)生漏洞利用時(shí)受到影響的系統(tǒng)。此外,在 2024 年,網(wǎng)絡(luò)安全監(jiān)管環(huán)境還將繼續(xù)收緊,這使得 SBOM 不再只是“錦上添花”的存在,而且是確保遵守新規(guī)則的必需。
采取“左移”戰(zhàn)略
對(duì)于安全領(lǐng)導(dǎo)者來說,落實(shí)上述所有的解決方案可能是一項(xiàng)艱巨的任務(wù),這也是為什么CSO 和 CISO 們?cè)?2024 年必須采用“左移”的方法來確保安全性。
通過從一開始就將安全納入軟件開發(fā),安全領(lǐng)導(dǎo)者可以確保為其軟件供應(yīng)鏈建立更加積極主動(dòng)的防線。這樣,他們?cè)谲浖_發(fā)中使用開源或公開開發(fā)的 AI/ML 代碼時(shí)就更具靈活性,可以更好地控制為其企業(yè)而構(gòu)建的AI/ML 模型,確保盡可能降低CVE 漏洞利用的可能性,并提高了 SBOM 的有效性。
步入2024 年并展望更遠(yuǎn)的未來,軟件領(lǐng)域的復(fù)雜性只會(huì)有增無減。通過在軟件供應(yīng)鏈安全方面采取“左移”思維,CISO 和 CSO 們可以確保企業(yè)更強(qiáng)大、更具韌性,以應(yīng)對(duì)新的安全挑戰(zhàn)。
(來源:JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn))
原文標(biāo)題 : 2024 年企業(yè)安全領(lǐng)導(dǎo)者需要謹(jǐn)記的五大關(guān)鍵

發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長度6~500個(gè)字
最新活動(dòng)更多
-
3月27日立即報(bào)名>> 【工程師系列】汽車電子技術(shù)在線大會(huì)
-
4月30日立即下載>> 【村田汽車】汽車E/E架構(gòu)革新中,新智能座艙挑戰(zhàn)的解決方案
-
5月15-17日立即預(yù)約>> 【線下巡回】2025年STM32峰會(huì)
-
即日-5.15立即報(bào)名>>> 【在線會(huì)議】安森美Hyperlux™ ID系列引領(lǐng)iToF技術(shù)革新
-
5月15日立即下載>> 【白皮書】精確和高效地表征3000V/20A功率器件應(yīng)用指南
-
5月16日立即參評(píng) >> 【評(píng)選啟動(dòng)】維科杯·OFweek 2025(第十屆)人工智能行業(yè)年度評(píng)選
推薦專題
- 1 UALink規(guī)范發(fā)布:挑戰(zhàn)英偉達(dá)AI統(tǒng)治的開始
- 2 北電數(shù)智主辦酒仙橋論壇,探索AI產(chǎn)業(yè)發(fā)展新路徑
- 3 降薪、加班、裁員三重暴擊,“AI四小龍”已折戟兩家
- 4 “AI寒武紀(jì)”爆發(fā)至今,五類新物種登上歷史舞臺(tái)
- 5 國產(chǎn)智駕迎戰(zhàn)特斯拉FSD,AI含量差幾何?
- 6 光計(jì)算迎來商業(yè)化突破,但落地仍需時(shí)間
- 7 東陽光:2024年扭虧、一季度凈利大增,液冷疊加具身智能打開成長空間
- 8 地平線自動(dòng)駕駛方案解讀
- 9 封殺AI“照騙”,“淘寶們”終于不忍了?
- 10 優(yōu)必選:營收大增主靠小件,虧損繼續(xù)又逢關(guān)稅,能否乘機(jī)器人東風(fēng)翻身?