有声,如何发布网络小说,欢乐颂第一季免费阅读

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

技術(shù)債務增加安全風險的7種情況

開發(fā)和部署不當?shù)捻椖繉蛊髽I(yè)容易受到網(wǎng)絡攻擊，因此需要致力于清除技術(shù)債務。根據(jù)Proofpoint公司發(fā)布的《2021年首席信息安全官之聲》報告，三分之二的首席信息安全官認為技術(shù)債務(即項目所需內(nèi)容與最終部署內(nèi)容之間的差異)是導致產(chǎn)生安全漏洞的重要原因。

應用程序安全平臺提供商Contrast Security公司首席技術(shù)官Jeff Williams表示，大多數(shù)技術(shù)債務都是通過在將架構(gòu)、代碼質(zhì)量、性能、可用??性以及最終的安全性等關(guān)鍵方面擱置時而造成的。他解釋說，“許多大型企業(yè)在其漏洞管理系統(tǒng)中存在數(shù)萬或數(shù)十萬個已發(fā)現(xiàn)但未修復的風險。”許多行業(yè)組織都有一種想法，“就是資金不足的安全工作加上風險管理可能與實際完成所需的安全工作一樣好”，但這是一種錯誤的想法，這可能會使企業(yè)及其合作伙伴受到重大傷害。

為了最大限度地減少技術(shù)債務對安全的影響，首先要了解執(zhí)行不力的項目可能為網(wǎng)絡入侵者和攻擊者提供攻擊機會的各種方式，以及如何快速安全地彌補發(fā)現(xiàn)的漏洞。以下是技術(shù)債務可能成為首席信息安全官需要解決的問題的7種方式：

1. 狡猾的軟件

美國卡內(nèi)基梅隆大學海因茨信息系統(tǒng)與公共政策學院信息系統(tǒng)教授Rahul Telang指出，技術(shù)債務是一個被過度使用的術(shù)語。他解釋說，“這意味著企業(yè)的技術(shù)和產(chǎn)品在現(xiàn)實和目標方面出現(xiàn)了一些差距，現(xiàn)在必須償還債務。不難想象，除非迅速償還債務，否則會增加安全風險?！?/p>

Telang指出，首席信息安全官應該意識到，每個軟件開發(fā)項目都會經(jīng)歷一些階段，隨著時間的推移，必須重構(gòu)代碼以解決潛在的安全漏洞。他表示，首席信息安全官必須有一個適當?shù)慕Y(jié)構(gòu)在部署之前檢測可能的問題，因為當產(chǎn)品已經(jīng)推出并使用時很容易忽略這些問題。

DNS和流量管理技術(shù)開發(fā)商NS1公司首席信息安全官Ryan Davis認為，軟件造成的技術(shù)債務帶來最大的業(yè)務安全風險。他說，“這包括源自企業(yè)外部的項目，例如語言、第三方庫和軟件內(nèi)置的其他組件，以及由內(nèi)部開發(fā)人員編寫的代碼?！?/p>

軟件會隨著時間的推移而老化，并且需要定期發(fā)布補丁以解決錯誤和安全問題。但是最終，所有軟件都將在其不再受到開發(fā)者的支持時進入生命周期結(jié)束階段。不幸的是，在某些情況下，可能很難淘汰軟件產(chǎn)品，這是由于其開發(fā)者或者放棄了該產(chǎn)品，或者開發(fā)商倒閉。在發(fā)生這種情況時，繼續(xù)運行遺留的軟件可能會產(chǎn)生危險的技術(shù)債務，因為網(wǎng)絡入侵者和攻擊者可能已經(jīng)發(fā)現(xiàn)了利用這些軟件的新方法。其結(jié)果可能是毀滅性的。Davis說，“我們已經(jīng)看到許多真實世界的例子，表明某種軟件的安全狀況將會對全球各地的企業(yè)帶來的影響?！?/p>

2. 治理不力

強有力的治理對于防止技術(shù)債務成為安全問題至關(guān)重要。商業(yè)和IT咨詢機構(gòu)West Monroe公司網(wǎng)絡安全實踐主管David Chaddock認為，確保資產(chǎn)的生命周期問題在其初始設計和實施過程中得到解決非常重要，其中包括長期運營成本和減少所需的支持資源系統(tǒng)突然或逐漸成為安全問題。他說，“這就要求安全團隊盡早參與設計過程?！?/p>

3. 戰(zhàn)略一致性差

全球業(yè)務和IT外包商Guidehouse公司網(wǎng)絡安全解決方案主管Eugene Okwodu建議，首席信息安全官應該了解企業(yè)內(nèi)部的技術(shù)債務，并制定正確的指標來管理它。他補充說，“首席信息安全官還應該將所需的技術(shù)更新成本納入他們的預算?！?/p>

當IT和網(wǎng)絡安全策略發(fā)生沖突時，經(jīng)常會出現(xiàn)技術(shù)債務。Okwodu觀察到，為了確保充分協(xié)調(diào)并解決沖突，可能有必要與內(nèi)部項目管理辦公室(PMO)合作或?qū)で笸獠繋椭?/p>

4. 忽視或延遲現(xiàn)代化

在某些情況下，技術(shù)債務可能需要數(shù)年時間才能顯現(xiàn)出來。Okwodu說：“無論是硬件還是軟件，老化陳舊的技術(shù)都會帶來很大的安全風險?！彼忉屨f，這些技術(shù)不僅在某些情況下無法更換和修復，而且通常相互關(guān)聯(lián)性更高，目前的員工對它的了解也更少。

Okwodu說：“數(shù)年甚至數(shù)十年的變通、更新、升級以及并購活動可能會使技術(shù)債務問題特別嚴重。技術(shù)債務需要實現(xiàn)成本高昂的系統(tǒng)現(xiàn)代化，特別是在軟件系統(tǒng)中，再加上當今勞動力中不太常見的專業(yè)知識，對于企業(yè)都會構(gòu)成重大的安全風險?！?/p>

5. 未能采用良好的開發(fā)實踐

DevSecOps不僅僅是一個流行術(shù)語。當應用良好的開發(fā)實踐時，許多安全問題都可以得到解決和控制。技術(shù)培訓商Infosec Institute公司首席安全研究員Keatron Evans建議說，“從開發(fā)項目一開始就堅持正確的DevSecOps原則，并堅持控制有助于可視化安全漏洞的指標?！?/p>

隨著應用程序的發(fā)展，它們通常變得更加有用和廣泛使用。然而，這些屬性也可能使安全漏洞更難修復或緩解。Evans說，“從長遠來看，導致一段代碼增長并變得高效、有用和有價值的能量也會導致被忽視的安全問題變得更具顛覆性。DevSecOps在軟件開發(fā)生命周期的每個階段自動集成安全性，有效防止突然出現(xiàn)的漏洞。”

6. 延遲測試

將軟件安全測試推遲到開發(fā)后期階段可能會導致漏洞的產(chǎn)生，而這些漏洞的糾正可能困難、耗時且成本高昂。DevOps咨詢服務提供商NextLink Labs的首席信息安全官Jeremy Dodson警告說：“將測試延遲到流程結(jié)束可能會導致大規(guī)模的重新開發(fā)工作以解決安全問題，這可能意味著利潤損失和開發(fā)時間顯著增加。”

Dodson表示，安全應該是一項協(xié)作努力。他說，“首席信息安全官對于在企業(yè)內(nèi)部創(chuàng)建安全文化至關(guān)重要，特別是對于開發(fā)團隊態(tài)度的轉(zhuǎn)變可以顯著有助于在整個設計和開發(fā)過程中整合安全措施?！?/p>

7. 失控的復雜性

低代碼應用程序開發(fā)平臺提供商OutSystems公司平臺戰(zhàn)略高級總監(jiān)Barry Goffe表示，技術(shù)債務的一個主要原因是依賴過多的開發(fā)語言、工具、平臺和框架。他說，“復雜性帶來了出錯的機會，而這種風險的疊加使得識別這些錯誤何時發(fā)生變得更加困難。即使發(fā)現(xiàn)了問題，復雜性也會使修復這些漏洞變得更加困難?！?/p>

Goffe說，“復雜性本身并不會帶來安全漏洞，但它肯定會增加漏洞發(fā)生的可能性，并增加防范漏洞的成本。鑒于復雜性是技術(shù)債務的主要原因，標準化和簡化應用程序開發(fā)工具和基礎設施的努力可以為最大程度地減少技術(shù)債務的產(chǎn)生帶來巨大收益。”

Goffe將技術(shù)債務視為風險驅(qū)動因素，也是阻礙創(chuàng)新和安全的主要因素。隨著企業(yè)在發(fā)生疫情之后致力于將其運營的業(yè)務恢復正常，現(xiàn)在是解決多年來快速建設所造成的障礙和安全風險的時候了。Goffe總結(jié)說，“企業(yè)解決的技術(shù)債務越多，他們面臨的安全風險就越少，創(chuàng)新能力就會越強。”

本文名稱：技術(shù)債務增加安全風險的7種情況
標題來源：http://m.fisionsoft.com.cn/article/dpcjdcd.html