聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
SC Media 分析当前挑战、威胁和解决方案后勾画出应用安全现状令人充满希望同时充满挑战的景象。和以往一样,应用安全的状态一直在改变,企业挣扎于管理太多的API、追踪API以及保护API的安全。
Akamai公司指出,超过91%的网络流量构成API,平均每家企业使用超过1000款应用,因此应用攻击服务的规模就是我们面临的一个核心安全挑战。
更复杂的是,组织机构部署应用程序的速度越来越快,部署数量超过了他们安全能力的范围,从而导致被忽视和未解决的安全漏洞数量激增。2024年,虽然人工智能 (AI) 和自动化如火如荼,但Crowdstrike 公司发现多数组织机构仍然在通过文档(占比74%)和表格(占比64%)的形式手动追踪应用和API。此外,Cycognito 公司在今年6月5日发布的《2024 Web 应用安全测试现状》报告中提到,70%的受访人员表示他们所在环境中web 应用的数量太多导致无法全部妥善测试。近四分之三的受访者表示平均每个月或者以更低的频率测试一次 web 应用,导致超过40%的攻击面并未在既定时间内得到测试。
Akamai 公司的高级副总裁兼安全官 Boaz Gelbord 在今年RSA大会上的主旨演讲《保护现代应用的安全:从代码到基础设施》中提到,2023年至2024年期间,针对API的网络攻击翻了两番还多,29%的web攻击如今针对的是API。Gelbord 表示,“我们防御人员越来越难以发现恶意流量,而攻击者越来越容易肆意妄为。”
加剧应用安全挑战的另外一个重大挑战是供应链安全,包括通过第三方应用入侵组织机构、利用自有应用程序中的第三方代码依赖发动攻击,如臭名昭著的很幸运在造成重大损失之前就已被发现的 XZ utils 后门事件。
Verizon 公司在发布的《2024数据泄露调查报告 (DBIR)》中提到,2023年至2024年期间,涉及供应链互联的数据泄露事件数量增长了68%。开源软件是其中的一大部分原因。ReversingLabs 发布《2024软件供应链安全现状》报告提到,开源包的威胁从2020年到2023年增长了惊人的1300%。
同时,开源软件的使用不断增多。OpenLogic 公司发现,超过三分之二的组织机构在2023年增加了对开源软件的使用。
随着对数百甚至数千应用安全的管理,人们发现很难管理数量不断增长的开源依赖。OpenLogic调查发现,79%的受访者表示发现维护开源安全存在挑战,27%表示甚至没有意识到所在组织机构使用了哪些开源安全工具。
在2024 RSA 大会上,Veracode 公司的安全风险官 Chris Eng 和 Cyentia 研究所创始人兼首席数据科学家 Jay Jacobs 注意到,79%的开源库从未更新过。他们在《量化开源缺陷的概率》演讲中提到了使用 OpenSSF ScoreCard 来评估开源供应链风险的指南,同时提到了在实现中的缺陷和限制条件。
人工智能在包括应用安全在内的网络安全领域中既时风险也是机遇,这一点已成为讨论焦点。AI可能会使威胁行动者自动化在API 端点上的攻击,但这已经是前几年在AI爆发之前的情况了。更大的风险可能是在组织机构还没来得及评估AI所带来的新风险和漏洞时,应用程序就迅速采用了AI。
然而,在应用程序和API防御领域,与其说AI是威胁,倒不如说是利好。F5 公司的API 安全领域首席技术官 Charles Herrin 和首席技术营销经理 Byron McNaught 在2024年RSA 大会上发表《应用安全的下一个前沿:AI就位的API防御》演讲中,说明了防御人员可使用生成式AI来管理API和更好地理解API威胁的三种方法。
首先,通过快速创建准确的分类和签名,大语言模型 (LLMs) 可用于训练和优化以API防御为目标的机器学习检测模型。其次,AI模型可用于生成使用简单语言提示词如“上周该攻击发生了多少次”来生成API活动的可视化。最后,受LLM驱动的虚拟助手或聊天机器人可简化搜索、提出建议以及调优。McNaught 表示,“我们如何简化复杂度、缓解风险以及处理人员短缺问题正式生成式AI能够发挥作用并引领的地方。”
采用可靠方式追踪应用程序及其组件并尽早缓解漏洞,也是2024年改进应用安全的关键。
漏洞管理尤为重要,因为2023年至2024年期间,涉及漏洞利用的数据泄露事件增长了180%。但漏洞管理远非简单,CrowdStrike 公司在发布的《2024应用安全现状报告》中提到,60%的受访者挣扎于对漏洞进行优先级排序和分类,而 Cycognito 在报告中提到,超过一半的受访者表示在缓解web应用安全测试中发现的漏洞时面临困难。
快速部署应用程序的压力以及开发和安全团队之间的分离是漏洞问题的主要因素。Checkmarx 公司在《2024应用安全的未来》报告 发现,高达91%的受访者在明知的情况下部署易受攻击的应用,而业务最后期限是造成这种情况的常见原因。Palo Alto Networks 公司也在《2024云原生安全现状》报告中提到,71%的受访者将匆忙部署列为造成安全漏洞的根因。
Palo Alto Networks 公司指出,开发运维 (DevOps) 和安全运维 (SecOps) 之间的分歧巨大。该公司开展的调查显示,92%的受访者认为这种分歧拖慢了开发和部署,86%的受访者将安全视作阻碍软件发布的“门控因子”。这些结果应当视作组织机构必须更加努力地形成更好地协调开发运维和安全运维优先级以及拥抱设计安全原则的文化。
该报告提到,“如果你未有意、策略性地百分之百地投入建立 DevSecOps 文化,那么你的业务结果就面临风险。”
https://www.scmagazine.com/feature/the-state-of-appsec-in-2024-expanded-use-expanded-attack-surface
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~