广告

有效的安全漏洞管理将风险消除在萌芽状态

2023-06-26 15:05:42 董任远,JFrog大中华区总经理 阅读:
安全漏洞是IT资源中可能被攻击者利用的错误或缺陷,其形式多种多样。安全漏洞可能是应用程序源代码中的一个编码错误,能够被用于发动缓冲区溢出攻击。它可能是开发人员的疏忽,忘记在应用程序中对输入内容妥当地进行验证……
广告

管理安全漏洞并非易事,这不仅是因为漏洞可能很难被发现,还因为漏洞类型繁多。最新国家信息安全漏洞共享平台(CNVD)漏洞信息月度通报(2023年第5期)显示:“收集整理信息安全漏洞1581个,其中高危漏洞727个,中危漏洞746个,低危漏洞108个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1357个。”而幸运的是,相关工具和技术可以解决各种可能潜伏在技术栈任何一层的漏洞。

什么是安全漏洞?

安全漏洞是IT资源中可能被攻击者利用的错误或缺陷,其形式多种多样。安全漏洞可能是应用程序源代码中的一个编码错误,能够被用于发动缓冲区溢出攻击。它可能是开发人员的疏忽,忘记在应用程序中对输入内容妥当地进行验证,从而使注入攻击成为可能。它可能是访问控制策略或网络配置中的一个错误配置,使外部人士能够访问敏感资源。

安全漏洞、漏洞利用、漏洞威胁、漏洞攻击

“安全漏洞”、“漏洞利用”、“漏洞威胁”和“漏洞攻击”这几个词往往会接连出现。然而,尽管这些术语密切相关,但它们各自指的是可能导致安全事件的事件链中不同部分:

  • 安全漏洞是有可能被利用以发动攻击的缺陷。
  • 漏洞利用是指利用漏洞来执行攻击的方法。比如,将恶意代码注入到应用程序中,就可能造成漏洞利用。
  • 漏洞威胁是导致漏洞利用发生的一组必要条件。威胁可能只存在于软件在某个操作系统上运行之时,或者当攻击者能够访问某个界面时。
  • 漏洞攻击是指发生的攻击。当威胁者成功地执行一个漏洞时,就会发生漏洞攻击。
  • 由于安全漏洞构成了上述漏洞利用、漏洞威胁和漏洞攻击的基础,对漏洞进行检测是将安全风险扼杀在萌芽状态的最佳方式。如果消除了漏洞,也就消除了其可能导致的漏洞利用、漏洞威胁和潜在的漏洞攻击。

安全漏洞的主要类型

虽然IT环境中可能存在各种各样安全漏洞,但大多数都归属于以下四类:

  • 恶意代码: 恶意方插入代码库的代码(如恶意软件),可被利用,以对系统进行未授权访问或对应用程序进行控制。
  • 错误配置:云身份和访问管理(IAM)规则等的配置错误,提供了对敏感数据的公共访问,可能导致漏洞攻击。
  • 编码缺陷: 编码错误或疏忽(例如未能执行输入验证,因此不能检测旨在获得未授权访问的应用程序输入),可能导致漏洞。
  • 缺少加密: 未妥善加密的的数据,无论是静态数据还是网络中正在传输的数据,都容易受到攻击。

检测应用程序的安全漏洞

鉴于安全漏洞形式多样,对其检测也需要多管齐下。有多种技术有助于发现安全风险。

静态应用安全分析

静态应用安全分析(SAST)是安全测试的一个类别,通过扫描源代码和(在某些情况下)二进制代码,以确定其中存在的漏洞。通常情况下,SAST会寻找漏洞的“签名”,如已知不安全的依赖项。

动态应用安全分析

动态应用安全分析(DAST)通过对测试环境中的应用自动发起主动攻击来识别漏洞。如攻击成功,则能揭示应用程序中的漏洞。

渗透测试

在渗透测试中,安全测试人员会手动尝试识别和利用漏洞。渗透测试不同于DAST之处在于,渗透测试需要安全专家来主动寻找漏洞,而DAST则有赖于自动攻击模拟。

图像扫描器

图像扫描器能够在软件被编译或打包后检测其漏洞。因此,对于识别应用程序包中可能招致攻击的薄弱依赖项或配置,图像扫描器是非常有用的。例如,图像扫描器可以检查容器图像,以确定该图像的任何依赖项是否包含漏洞。

配置审计

配置审计工具通常用于验证承载应用程序的基础设施的配置,而非应用程序本身(尽管在某些情况下,配置审计可在定义了应用程序设置的配置文件上执行)。

例如,云环境的配置审计能够检测不安全的IAM规则或网络配置。此外,配置审计器可用于扫描Kubernetes环境,以检测Kubernetes安全上下文、网络策略或其他会削弱环境安全态势的设置中的错误配置。

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 初步评估0121地震未造成台南晶圆厂重大损害,但恐加剧1Q25电视面板 嘉义地区里氏规模6.4地震,台南亦是重要面板产地,厂商实际受影响情况尚待确认,只是此次地震可能加大2025年第一季电视面板供给压力......
  • 2025年中国云终端市场七大洞察 前瞻未来市场将面对的机遇和挑战,IDC总结并给出了2025年中国云终端市场七大洞察……
  • 中科院微电子所在大区域掩模三维光刻潜像的快速仿真方面取得新进 该方法首先建立掩模三维潜像数据库,以训练条件生成对抗网络。使用训练好的网络计算出大区域掩模中局部位置的三维潜像,通过拼接获得最终结果。
  • 中国汽车厂商的全球扩张会加速电动汽车的普及吗? • 中国本土汽车厂商的海外业务正在表现出显着增长,与 2023 年上半年相比,这些厂商在中国以外的销售额翻了一番。 • 欧洲、东南亚和拉丁美洲正在成为中国汽车厂商的主要目标市场。 • 2023 年中国超过日本,成为全球最大的汽车出口国。 • 由于地缘政治的保护主义政策愈演愈烈,中国汽车厂商的快速扩张可能会在某些市场放缓。
  • 含硅还是不含硅? 大多数研发人员和导热界面材料配方设计师可能会推荐使用具备诸多优异特性的硅。然而,也存在一些例外情况。这些问题强调了在选择导热界面材料时考虑终端产品最终应用的重要性.....
  • CES 2025:芯科科技CTO Daniel Cooley专访 在与芯科科技(Silicon Labs)首席技术官Daniel Cooley的交谈中,我们了解到该公司在物联网(IoT)和智能边缘领域所发挥的作用和未来发展。
  • 欧洲汽车制造商面临双重打击!中国攻势猛烈,排放标准严苛 • 2024欧洲电动汽车销售遭遇增长瓶颈,多家车企将面临因无法满足欧七排放标准而带来的巨额罚款风险。 • 汽车厂商将电动汽车销售贡献作为降低旗下所有车辆平均排放量的关键。 • 汽车制造商需要解决消费者对电动汽车价格高、相关保险费和充电体验差的看法,以提高电动汽车的销量。
  • 2024Q3全球智能手机出货量增长 2%,收入和平均售价创历史新高 • 2024 年第三季度,全球智能手机市场同比增长 2%,出货量达到 3.07 亿部。 • 全球智能手机收入同比增长 10%,平均售价增长 7%。收入和平均售价均创下历史新高。 • 三星在出货量方面继续领跑市场,占据 19% 的销量份额。 • 苹果在营收方面领先,并创下了其历年第三季度出货量、收入和平均售价的最高记录。 • 小米位居第三,收入增长超过出货量增长比例,而 OPPO 则位居第四。vivo 在前五大手机品牌厂商 中同比增长最快。
  • 人工智能服务器目前占全球服务器市场的三分之一 • 由于对 AI 服务器的强劲需求,服务器市场在 2024 年第二季度急剧增长,同比增长了 35%。 • 三大巨头分别是戴尔、超微和HPE。但由于微软、亚马逊、谷歌和 Meta 继续定制自己的服务器,ODM 直销占据主导地位。
  • 中国成为最大腕戴设备市场,引领全球增长 腕戴设备市场包含智能手表和手环产品。其中,智能手表市场在2024年前三季度全球出货量1.1亿台,同比下降3.8%;而中国智能手表市场出货量3,286万台,同比增长……
广告
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了