博客家

优先考虑产品安全的重要性

通过萨里特·塔格,JFrog安全公司产品副总裁

7分钟阅读

由于各种因素,为组织交付和部署的产品实现全面的安全性变得越来越困难。hth华体会最新官方网站一个关键的问题是使用中的软件和连接设备的数量、种类和复杂性不断增长。另一个是继承软件供应链暴露的巨大风险。结果是:公司每天都在努力为软件提供最佳的安全性和保护,以防止恶意活动、收购、数据盗窃和商业破坏。

恶意行为者利用产品软件的机会比以往任何时候都多安全漏洞在软件的生命周期中,制造商、供应商、设备部署者和最终用户都面临着缺乏安全卫生的灾难性后果。

在这篇博文中,我们的目标是阐明安全软件开发优先级的重要性产品安全。我们还将提供关于在您的组织中实现产品安全性的策略、方法和战术的可操作建议。虽然产品安全与任何提供硬件或软件产品的组织都相关,但我们强调了设备供应商的特定需求和挑战。hth华体会最新官方网站

在当今的气候下,特别是自2019冠状病毒病爆发以来,我们的工作方式、工作地点以及运营设施的方式发生了重大变化。随着远程操作和连接成为我们交付和消费的产品的标准,是时候重新考虑我们保护软件的方式了。hth华体会最新官方网站

为了防御复杂的攻击,我们需要在产品的整个生命周期中保护产品,并考虑完整的产品环境和特征,例如连接类型、软件类型和底层操hth华体会最新官方网站作系统。如果说传统的网络安全方法侧重于保护网络,那么现在,随着第一方和供应链攻击,我们必须用产品安全来补充网络安全,以保护组织的每一层攻击面。

虽然它在产品生命周期的每个阶段都扮演着至关重要的角色,但产品安全是一个相对较新的概念,尚未定义明确。

产品安全趋势

根据idc最近的一项研究,到2018年底,估计有220亿台连接设备,到2030年,这一数字预计将增长到500亿台Statista。每个设备都面临网络攻击的风险,恶意行为者正在利用这一现实。

以下是一些趋势,这些趋势正在提高对连接和物联网设备的产品安全性的关注。

  • 市场需求

多个行业对产品安全性的需求都在增长,尤其是消费电子、医疗保健和汽车行业。正如最近美国网络安全改进法案和ENISA关于设备供应链安全的指导方针所示,这些行业正受到严格监管。此外,消费者还需要更安全的联网产品,让他们安心,尤其是用于健身、家庭自动化、交通和医疗保健的设备。hth华体会最新官方网站

  • 设备的进化

设备正在发展和现代化,它们的软件在许多方面开始类似于服务器应用程序和移动应用程序。这些连接设备的庞大数量和复杂性正在扩大攻击面。

  • 新出现的威胁

威胁行为者不断引入新的风险。一个特别值得关注的问题涉及到供应商软件供应链。供应链风险包括故意后门或“漏洞门”(故意后门伪装成漏洞),以及无意的已知cve或其他安全问题。无论是有意还是无意,还有典型的恶意软件,如僵尸网络和勒索软件,可以驻留在开放源代码和第三方代码中,而接收方无法访问这些代码。

  • 安全解决方案

设备安全解决方案的许多层旨在评估和加强来自网络的连接设备的网络安全性。虽然这一点很重要,但基于网络的安全解决方案是在设备已经部署的情况下实现的,因此它们并不总是足够的。它们无法抵御许多类型的威胁,例如通过受损设备或代码将漏洞引入网络的软件供应链风险。

保护设备的挑战

安全利益相关者面临着驾驭复杂现实的艰难壮举。

  • 安全挑战

保护连接的设备会给设备制造商和资产所有者带来巨大的开销。分析和识别威胁的传统工具产生了太多的误报,导致安全和工程团队浪费宝贵的时间和精力,延迟了上市时间。最重要的是,有一些法规和标准强加了新的技术要求。

  • 业务挑战

从商业角度来看,设备制造商和软件供应商的目标是在更短的时间内交付更多的产品,而不需要在安全性上花费太多的时间和精力。hth华体会最新官方网站

  • 组织的挑战

安全涉众和开发人员经常存在分歧。开发人员想要快速交付,而安全涉众将减慢这个过程,特别是由于传统安全工具的误报。

产品安全-技术挑战

保护嵌入式设备、连接设备和物联网的其他挑战包括技术障碍:

  • 识别:低级编译代码、独特的漏洞利用、漏洞链方法和碎片化的软件供应链都使识别安全问题变得复杂。
  • 优先级:大量的安全问题,不同地区和行业的安全标准的多样性,缺乏专门的产品安全专家,以及安全和开发团队之间的错误沟通,使得人们很难专注于真正重要的事情:具有潜在影响的漏洞。
  • 部署后:缺乏对已部署设备的可见性、缓慢且无效的软件更新过程以及严格的操作要求限制了可用于已部署设备的安全补救措施。

在整个设备生命周期内实现产品安全

实现产品安全性的第一步是了解其需求并在整个组织中建立意识。它需要高层领导的支持,理想情况下,还需要一个集中的职能部门来指导流程并确保采取行动。在设计阶段,最重要的是创建特定于产品的安全性需求,以便知道稍后要针对什么进行测试。

在开发阶段,贯穿始终SDLCCI / CD过程中,您必须确保每个新工件都是根据前一阶段的需求集进行测试的。在预发布阶段,重要的是要采用把关机制,以确保设备或其中的软件没有可利用的问题。

最后,但并非最不重要的是,在部署后阶段,我们必须确保存在持续的漏洞监视和运行时设备安全性。此外,必须跟上新的威胁,并在现场的所有设备上实施事件响应和问题解决程序。

构建产品安全

组织经常在为产品安全创建正确结构的关键任务上挣扎。在管理层、开发人员和安全涉众之间找到正确的机制并不容易。我们的建议是大力投资建立一个全球实体,它不仅定义流程,而且成为产品安全的事实上的监管者和执行者。这种结构的成功与执行层是否赋予全球团队适当的预算和权限高度相关。

结论

建立一个健壮的产品和软件安全过程不会在一夜之间发生,但是通过适当的意图、计划和所有相关方的合作,对于所有类型和规模的组织都是可以实现和可扩展的。

有关JFrog安全产品的更多信息,请访问JFrog安全页面

受欢迎的标签

试试JFrog平台

在云中或自托管

开始试验

预订演示