《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 解決方案 > 有效的安全漏洞管理將風(fēng)險(xiǎn)消除在萌芽狀態(tài)

有效的安全漏洞管理將風(fēng)險(xiǎn)消除在萌芽狀態(tài)

2023-07-03
作者:JFrog大中華區(qū)總經(jīng)理董任遠(yuǎn)
來源:JFrog
關(guān)鍵詞: CNVD 圖像掃描器 滲透測試

  管理安全漏洞并非易事,,這不僅是因?yàn)槁┒纯赡芎茈y被發(fā)現(xiàn),,還因?yàn)槁┒搭愋头倍?。最新國家信息安全漏洞共享平臺(CNVD)漏洞信息月度通報(bào)(2023年第5期)顯示:“收集整理信息安全漏洞1581個,,其中高危漏洞727個,中危漏洞746個,,低危漏洞108個。上述漏洞中,,可被利用來實(shí)施遠(yuǎn)程網(wǎng)絡(luò)攻擊的漏洞有1357個,。”而幸運(yùn)的是,,相關(guān)工具和技術(shù)可以解決各種可能潛伏在技術(shù)棧任何一層的漏洞,。

  什么是安全漏洞?

  安全漏洞是IT資源中可能被攻擊者利用的錯誤或缺陷,,其形式多種多樣,。安全漏洞可能是應(yīng)用程序源代碼中的一個編碼錯誤,能夠被用于發(fā)動緩沖區(qū)溢出攻擊,。它可能是開發(fā)人員的疏忽,,忘記在應(yīng)用程序中對輸入內(nèi)容妥當(dāng)?shù)剡M(jìn)行驗(yàn)證,,從而使注入攻擊成為可能。它可能是訪問控制策略或網(wǎng)絡(luò)配置中的一個錯誤配置,,使外部人士能夠訪問敏感資源,。

  安全漏洞、漏洞利用,、漏洞威脅,、漏洞攻擊

  “安全漏洞”、“漏洞利用”,、“漏洞威脅”和“漏洞攻擊”這幾個詞往往會接連出現(xiàn),。然而,盡管這些術(shù)語密切相關(guān),,但它們各自指的是可能導(dǎo)致安全事件的事件鏈中不同部分:

  ·安全漏洞是有可能被利用以發(fā)動攻擊的缺陷,。

  ·漏洞利用是指利用漏洞來執(zhí)行攻擊的方法。比如,,將惡意代碼注入到應(yīng)用程序中,,就可能造成漏洞利用。

  ·漏洞威脅是導(dǎo)致漏洞利用發(fā)生的一組必要條件,。威脅可能只存在于軟件在某個操作系統(tǒng)上運(yùn)行之時(shí),,或者當(dāng)攻擊者能夠訪問某個界面時(shí)。

  ·漏洞攻擊是指發(fā)生的攻擊,。當(dāng)威脅者成功地執(zhí)行一個漏洞時(shí),,就會發(fā)生漏洞攻擊。

  ·由于安全漏洞構(gòu)成了上述漏洞利用,、漏洞威脅和漏洞攻擊的基礎(chǔ),,對漏洞進(jìn)行檢測是將安全風(fēng)險(xiǎn)扼殺在萌芽狀態(tài)的最佳方式。如果消除了漏洞,,也就消除了其可能導(dǎo)致的漏洞利用,、漏洞威脅和潛在的漏洞攻擊。

  安全漏洞的主要類型

  雖然IT環(huán)境中可能存在各種各樣安全漏洞,,但大多數(shù)都?xì)w屬于以下四類:

  ·惡意代碼: 惡意方插入代碼庫的代碼(如惡意軟件),,可被利用,以對系統(tǒng)進(jìn)行未授權(quán)訪問或?qū)?yīng)用程序進(jìn)行控制,。

  ·錯誤配置:云身份和訪問管理(IAM)規(guī)則等的配置錯誤,,提供了對敏感數(shù)據(jù)的公共訪問,可能導(dǎo)致漏洞攻擊,。

  ·編碼缺陷: 編碼錯誤或疏忽(例如未能執(zhí)行輸入驗(yàn)證,,因此不能檢測旨在獲得未授權(quán)訪問的應(yīng)用程序輸入),可能導(dǎo)致漏洞,。

  ·缺少加密: 未妥善加密的的數(shù)據(jù),,無論是靜態(tài)數(shù)據(jù)還是網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù),,都容易受到攻擊。

  檢測應(yīng)用程序的安全漏洞

  鑒于安全漏洞形式多樣,,對其檢測也需要多管齊下,。有多種技術(shù)有助于發(fā)現(xiàn)安全風(fēng)險(xiǎn)。

  靜態(tài)應(yīng)用安全分析

  靜態(tài)應(yīng)用安全分析(SAST)是安全測試的一個類別,,通過掃描源代碼和(在某些情況下)二進(jìn)制代碼,,以確定其中存在的漏洞。通常情況下,,SAST會尋找漏洞的“簽名”,,如已知不安全的依賴項(xiàng)。

  動態(tài)應(yīng)用安全分析

  動態(tài)應(yīng)用安全分析(DAST)通過對測試環(huán)境中的應(yīng)用自動發(fā)起主動攻擊來識別漏洞,。如攻擊成功,,則能揭示應(yīng)用程序中的漏洞。

  滲透測試

  在滲透測試中,,安全測試人員會手動嘗試識別和利用漏洞,。滲透測試不同于DAST之處在于,滲透測試需要安全專家來主動尋找漏洞,,而DAST則有賴于自動攻擊模擬,。

  圖像掃描器

  圖像掃描器(例如JFrog Xray)能夠在軟件被編譯或打包后檢測其漏洞。因此,,對于識別應(yīng)用程序包中可能招致攻擊的薄弱依賴項(xiàng)或配置,,圖像掃描器是非常有用的。例如,,圖像掃描器可以檢查容器圖像,,以確定該圖像的任何依賴項(xiàng)是否包含漏洞。

  配置審計(jì)

  配置審計(jì)工具通常用于驗(yàn)證承載應(yīng)用程序的基礎(chǔ)設(shè)施的配置,,而非應(yīng)用程序本身(盡管在某些情況下,,配置審計(jì)可在定義了應(yīng)用程序設(shè)置的配置文件上執(zhí)行)。

  例如,,云環(huán)境的配置審計(jì)能夠檢測不安全的IAM規(guī)則或網(wǎng)絡(luò)配置,。此外,配置審計(jì)器可用于掃描Kubernetes環(huán)境,,以檢測Kubernetes安全上下文、網(wǎng)絡(luò)策略或其他會削弱環(huán)境安全態(tài)勢的設(shè)置中的錯誤配置,。



更多精彩內(nèi)容歡迎點(diǎn)擊==>>電子技術(shù)應(yīng)用-AET<<

mmexport1621241704608.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。