2020年確實(shí)是不同尋常的一年,，隨著眾多組織持續(xù)推進(jìn)大規(guī)模數(shù)字化轉(zhuǎn)型，我們也迎來了一波又一波令人始料未及的沖擊,。在此期間,，商業(yè)、政府,、醫(yī)療保健以及教育機(jī)構(gòu)都出現(xiàn)了巨大變化,，各類組織都在新冠疫情陰影的籠罩下尋求可行的出路。但同樣令人振奮的是,，相當(dāng)一部分組織確實(shí)成功完成了轉(zhuǎn)型,，在逆境之下獲得了令人矚目的輝煌勝利。

與此同時(shí),，網(wǎng)絡(luò)攻擊方與防守方的對(duì)抗仍然存在,，甚至有愈演愈烈之勢(shì)。事實(shí)上,，幾乎沒人能準(zhǔn)確評(píng)估當(dāng)下的攻擊面與威脅前景,。因此，本文采訪了以色列知名軟件安全廠商Checkmarx的專家,，探討未來一年中將要出現(xiàn)的新型威脅,、新型防御機(jī)制,、創(chuàng)新型軟件開發(fā)及部署方法等議題。這里提出的預(yù)測(cè)全部源自趨勢(shì)洞察,、專業(yè)見解以及專家們對(duì)于技術(shù)及軟件驅(qū)動(dòng)行業(yè)的整體認(rèn)知,。以下為Checkmarx的見解：

• 網(wǎng)絡(luò)安全將努力適應(yīng)云時(shí)代下的軟件開發(fā)速度

目前的一項(xiàng)基本思路是如何在快速開發(fā)并發(fā)布應(yīng)用程序的同時(shí)，使其安全性得到保障,。盡管人們一直在討論這種思路,，但其并未得到有效執(zhí)行。因此,，不少組織決定先將軟件快速投入生產(chǎn),，并在發(fā)現(xiàn)錯(cuò)誤時(shí)立即撤回，確保借此更快地推送新功能,。但可以預(yù)見,，這種方式對(duì)于安全性沒有任何幫助。雖然是先發(fā)布,、再撤回,，但那些可能被惡意攻擊者所利用的漏洞仍然會(huì)在一段時(shí)期內(nèi)存在于生產(chǎn)系統(tǒng)中。2021年,，用于保障應(yīng)用程序安全性的集成工具鏈方案必須加快發(fā)展步伐,、向云環(huán)境擴(kuò)展，并快速提供開發(fā)人員能夠理解且易于應(yīng)用的結(jié)論及修復(fù)方案,。

• 當(dāng)機(jī)構(gòu)試圖阻止黑客入侵時(shí),，開源攻擊將加速推進(jìn)

如今黑客們意識(shí)到，利用開源軟件入侵組織機(jī)構(gòu)變得愈發(fā)容易,。而這種趨勢(shì)很可能在2021年進(jìn)一步加速,。目前，幾乎每周都會(huì)曝出開源程序包存在惡意代碼的消息,。因此,，組織機(jī)構(gòu)必須了解他們正在使用且亟需保護(hù)的開源組件，并盡可能利用現(xiàn)有解決方案刪除易受攻擊的程序包（包括開發(fā)者意外遺留下漏洞代碼的程序包）,。但開發(fā)者并不能很好的發(fā)現(xiàn)惡意攻擊者向程序包中提交受到污染的代碼的情況,。在2021年，我們必須拿出有針對(duì)性的解決方案,。

作為核心準(zhǔn)則,，最好要求各方堅(jiān)持在關(guān)鍵項(xiàng)目中使用得到廣泛認(rèn)可的開源組件（而非成熟度相較對(duì)低的），并查看開源項(xiàng)目采取的新貢獻(xiàn)者政策（無論是允許任何人做出貢獻(xiàn)還是進(jìn)行背景調(diào)查以消除潛在的惡意影響）,。

• 對(duì)基于云計(jì)算環(huán)境的安全需求將推動(dòng)基礎(chǔ)設(shè)施即代碼（IaC）的增加

2020年,，由于數(shù)字化服務(wù)持續(xù)升級(jí)導(dǎo)致各類組織迫于現(xiàn)實(shí)壓力逐步轉(zhuǎn)向云以維持業(yè)務(wù)的連續(xù)性。云服務(wù)為居家公辦的員工們帶來了強(qiáng)大的工作能力保障,；但這種過渡帶來了新的挑戰(zhàn),，其中之一便是基礎(chǔ)設(shè)施即代碼（IaC）的出現(xiàn),。

IaC迫使開發(fā)人員們?cè)谏形醋龊脺?zhǔn)備的情況下，倉(cāng)促在這一未知領(lǐng)域中快速構(gòu)建代碼,。事實(shí)上,，承載代碼的底層云基礎(chǔ)設(shè)施具有極為復(fù)雜的結(jié)構(gòu)，目前市場(chǎng)上的安全工具通常較為分散,，根本不足以準(zhǔn)確檢測(cè)出代碼中的漏洞,。因此在新的一年中，相信會(huì)有惡意攻擊者開始在靈活的云環(huán)境中利用開發(fā)者犯下的種種錯(cuò)誤,。為了解決這個(gè)問題,，我們需要將精力集中在云安全培訓(xùn)、IaC最佳實(shí)踐普及以及針對(duì)軟件和應(yīng)用程序安全性保護(hù)的額外支出等方面,，以保證遠(yuǎn)程辦公人員及高復(fù)雜度軟件生態(tài)系統(tǒng)的需求,。

• 安全人員應(yīng)直接向開發(fā)團(tuán)隊(duì)報(bào)告，而非向其他人

首先需要明確一點(diǎn),，開發(fā)人員是組織內(nèi)推動(dòng)數(shù)字化轉(zhuǎn)型的引領(lǐng)者,。將安全性集成至軟件開發(fā)當(dāng)中，則需要同時(shí)推進(jìn)自上而下與自下而上兩條實(shí)施途徑,。事實(shí)證明,，開發(fā)人員們總是自以為是，憑借自己的影響力拒絕一切他們不打算做或者不愿意遵循的建議,。為了促進(jìn)安全團(tuán)隊(duì)與開發(fā)團(tuán)隊(duì)的協(xié)作,，2021年的安全流程應(yīng)該轉(zhuǎn)為以開發(fā)團(tuán)隊(duì)為中心，將安全集成至開發(fā)工具鏈當(dāng)中,。開發(fā)人員不愿在不同的界面（一套開發(fā)界面,、一套安全界面）之間來回切換，因此必須將二者的推進(jìn)速度統(tǒng)一起來,，消除這種切換方式。另外,，開發(fā)者希望以更簡(jiǎn)單的方式使用所有數(shù)據(jù),，無論是質(zhì)量數(shù)據(jù)還是安全數(shù)據(jù)。所以安全團(tuán)隊(duì)?wèi)?yīng)高度強(qiáng)調(diào)服務(wù)精神,，著力為開發(fā)人員提供他們熟悉并喜愛的界面與工具,。

• 上下文將成為重要特征：使用應(yīng)用程序整體視圖以改善安全性

新的一年，我們應(yīng)該拋棄“一招鮮,、吃遍天”的思維模式,。2021年，應(yīng)用安全市場(chǎng)將迎來全面融合,，屆時(shí)組織需要立足多個(gè)有利位置全面審視應(yīng)用程序的安全狀況（例如審視應(yīng)用程序上下文,，并將其整合至基礎(chǔ)設(shè)施即代碼的網(wǎng)格當(dāng)中）,，推動(dòng)一站式解決方案的全面應(yīng)用，借此建立起完整的生態(tài)系統(tǒng)視圖,。特別是在開源安全方面,，這種更為全面的視圖不僅能夠幫助組織了解到當(dāng)前使用的軟件包中是否存在漏洞，同時(shí)也將保證組織可以了解當(dāng)前使用應(yīng)用程序的方式是否存在問題,、或者給攻擊者留下可乘之機(jī),。

舉個(gè)例子：當(dāng)開源代碼組件中存在漏洞時(shí)，黑客一方要想利用此漏洞,，必須滿足三個(gè)條件：

1）您使用了存在該漏洞的開源代碼版本,；

2）您的應(yīng)用程序編碼使用到了這部分開源代碼中的特定功能；

3）您的基礎(chǔ)設(shè)施即代碼需要開啟特定端口,。因此,，只要將這三項(xiàng)因素結(jié)合起來并對(duì)應(yīng)用上下文進(jìn)行分析，我們就能準(zhǔn)確判斷出自身是否容易受到攻擊影響,。

• 云原生安全將成為核心焦點(diǎn)
  

在現(xiàn)代軟件的開發(fā)及安全保障方面,，API一直是個(gè)熱門議題。但如果將2020年視為API全面崛起的元年,，那么2021年將是云原生安全全面進(jìn)入主流視野的一年,。API在云原生安全領(lǐng)域扮演著重要角色，而問題的核心則表現(xiàn)為如何適應(yīng)云技術(shù)在組織內(nèi)的持續(xù)擴(kuò)散與廣泛采用,。在這樣的背景之下,，保護(hù)由云解決方案彼此互連而建立起的生態(tài)系統(tǒng)將成為重中之重。

就目前來看,，人們對(duì)于云原生安全問題的整體理解仍處于起步階段,。API、容器與編排工具已經(jīng)在軟件開發(fā)領(lǐng)域站穩(wěn)腳跟,，并且組織一直努力提高各類工具之間的連接性,，希望借此提高效率與產(chǎn)出水平。但是,，這些工具之間的每個(gè)接點(diǎn)都有可能構(gòu)成漏洞并導(dǎo)致安全風(fēng)險(xiǎn),。2021年，組織需要直面這種由軟件復(fù)雜性引發(fā)的殘酷現(xiàn)實(shí),，并切實(shí)采取措施保護(hù)自身,。

• 存在漏洞的API很可能成為軟件與應(yīng)用程序安全違規(guī)問題的重要因素

盡管過去幾年以來，人們對(duì)于API安全性的認(rèn)知有所提升,，但我們?nèi)匀豢梢灶A(yù)測(cè),，2021年，API將繼續(xù)成為攻擊者們最關(guān)注的攻擊媒介之一（甚至沒有之一）,。盡管API已經(jīng)成為開發(fā)人員在復(fù)雜應(yīng)用程序當(dāng)中構(gòu)建并運(yùn)行多種負(fù)載的便捷方式,，但以訪問控制為代表的實(shí)際難題正給開發(fā)人員帶來直接挑戰(zhàn),。很明顯，解決并消除這些漏洞是一項(xiàng)艱難的任務(wù),，而且目前來看幾乎沒有簡(jiǎn)單的解決方案,。

惡意攻擊者將繼續(xù)加大對(duì)API的攻擊力度，而組織又尚未完全了解其中的缺陷所在,，因此攻擊方很可能在短期內(nèi)抓住機(jī)會(huì)快速行動(dòng),，并迫使開發(fā)人員盡快找到更好的AI身份驗(yàn)證與授權(quán)等保護(hù)安全的方法。

• 傳統(tǒng)物聯(lián)網(wǎng)設(shè)備將令消費(fèi)者們身處危險(xiǎn)

2021年,，另一個(gè)需要密切關(guān)注的領(lǐng)域就是企業(yè)及個(gè)人環(huán)境中廣泛部署及使用的陳舊物聯(lián)網(wǎng)設(shè)備,。過去幾年以來，物聯(lián)網(wǎng)設(shè)備迎來了一波爆炸式增長(zhǎng),，我們的生活幾乎瞬間被其淹沒,。如今，我們已經(jīng)習(xí)慣于讓物聯(lián)網(wǎng)設(shè)備在后臺(tái)運(yùn)行,，但卻很少想到該及時(shí)進(jìn)行更換,、升級(jí)或者淘汰它們。

這些逐漸過時(shí)的小裝置仍在持續(xù)運(yùn)行,，而且大多數(shù)已經(jīng)得不到制造商的軟件更新及修復(fù)支持,。因此，不少陳舊型號(hào)成為惡意攻擊者們的首選目標(biāo),。隨著時(shí)間推移,，這類產(chǎn)品中的更多漏洞將被陸續(xù)發(fā)現(xiàn)并加以利用。正所謂“花有重開日”,，可惜這次的主動(dòng)權(quán)掌握在黑客一方手中,。

• 物聯(lián)網(wǎng)安全性有所提升，但仍不夠完善

2021年,，物聯(lián)網(wǎng)安全領(lǐng)域仍有不少空缺需要填補(bǔ),。好消息是物聯(lián)網(wǎng)行業(yè)已經(jīng)朝著正確方向邁進(jìn)了一大步，例如美國(guó)政府已經(jīng)通過了物聯(lián)網(wǎng)安全保護(hù)法案,。但問題在于,，消費(fèi)者及制造商這一側(cè)的有效應(yīng)對(duì)措施仍然缺席。除非消費(fèi)者能夠?qū)φ约爸圃焐淌┘訉?shí)際壓力,，要求他們改善物聯(lián)網(wǎng)設(shè)備的安全水平；或者制造商能夠主動(dòng)對(duì)物聯(lián)網(wǎng)安全給予高度重視,，否則距離徹底解決問題仍有漫長(zhǎng)的道路要走,。