作者:JFrog大中华区总司理董任远
治理平安破绽并非易事,这不仅是由于破绽可能很难被发现,还由于破绽类型繁多。最新国家信息平安破绽共享平台(CNVD)破绽信息月度转达(2023年第5期)显示:“网络整理信息平安破绽1581个,其中高危破绽727个,中危破绽746个,低危破绽108个。上述破绽中,可被行使来实行远程网络攻击的破绽有1357个。”而幸运的是,相关工具和手艺可以解决种种可能隐蔽在手艺栈任何一层的破绽。
什么是平安破绽?
平安破绽是IT资源中可能被攻击者行使的错误或缺陷,其形式多种多样。平安破绽可能是应用程序源代码中的一个编码错误,能够被用于发动缓冲区溢出攻击。它可能是开发职员的疏忽,遗忘在应用程序中对输入内容稳健地举行验证,从而使注入攻击成为可能。它可能是接见控制计谋或网络设置中的一个错误设置,使外部人士能够接见敏感资源。
平安破绽、破绽行使、破绽威胁、破绽攻击
“平安破绽”、“破绽行使”、“破绽威胁”和“破绽攻击”这几个词往往会接连泛起。然而,只管这些术语亲热相关,但它们各自指的是可能导致平安事宜的事宜链中差异部门:
平安破绽是有可能被行使以发动攻击的缺陷。
破绽行使是指行使破绽来执行攻击的方式。好比,将恶意代码注入到应用程序中,就可能造成破绽行使。
破绽威胁是导致破绽行使发生的一组需要条件。威胁可能只存在于软件在某个操作系统上运行之时,或者当攻击者能够接见某个界面时。
破绽攻击是指发生的攻击。当威胁者乐成地执行一个破绽时,就会发生破绽攻击。
由于平安破绽组成了上述破绽行使、破绽威胁和破绽攻击的基础,对破绽举行检测是将平安风险抹杀在萌芽状态的最佳方式。若是消除了破绽,也就消除了其可能导致的破绽行使、破绽威胁和潜在的破绽攻击。
平安破绽的主要类型
虽然IT环境中可能存在林林总总平安破绽,但大多数都归属于以下四类:
恶意代码: 恶意方插入代码库的代码(如恶意软件),可被行使,以对系统举行未授权接见或对应用程序举行控制。
错误设置:云身份和接见治理(IAM)规则等的设置错误,提供了对敏感数据的公共接见,可能导致破绽攻击。
编码缺陷: 编码错误或疏忽(例如未能执行输入验证,因此不能检测旨在获得未授权接见的应用程序输入),可能导致破绽。
缺少加密: 未妥善加密的的数据,无论是静态数据照样网络中正在传输的数据,都容易受到攻击。
检测应用程序的平安破绽
鉴于平安破绽形式多样,对其检测也需要多管齐下。有多种手艺有助于发现平安风险。
静态应用平安剖析
静态应用平安剖析(SAST)是平安测试的一个种别,通过扫描源代码和(在某些情形下)二进制代码,以确定其中存在的破绽。通常情形下,SAST会寻找破绽的“署名”,如已知不平安的依赖项。
动态应用平安剖析
动态应用平安剖析(DAST)通过对测试环境中的应用自动提议自动攻击来识别破绽。如攻击乐成,则能展现应用程序中的破绽。
渗透测试
在渗透测试中,平安测试职员会手动实验识别和行使破绽。渗透测试差异于DAST之处在于,渗透测试需要平安专家来自动寻找破绽,而DAST则有赖于自动攻击模拟。
图像扫描器
图像扫描器(例如JFrog Xray)能够在软件被编译或打包后检测其破绽。因此,对于识别应用程序包中可能招致攻击的微弱依赖项或设置,图像扫描器是异常有用的。例如,图像扫描器可以检查容器图像,以确定该图像的任何依赖项是否包罗破绽。
设置审计
设置审计工具通常用于验证承载应用程序的基础设施的设置,而非应用程序自己(只管在某些情形下,设置审计可在界说了应用程序设置的设置文件上执行)。
例如,云环境的设置审计能够检测不平安的IAM规则或网络设置。此外,设置审计器可用于扫描Kubernetes环境,以检测Kubernetes平安上下文、网络计谋或其他会削弱环境平安态势的设置中的错误设置。
###
关于JFrog
JFrog Ltd.(纳斯达克股票代码:FROG)的使命是缔造一个从开发职员到装备之间流通无阻的软件交付天下。承袭“流式软件”的理念,JFrog软件供应链平台是统一的纪录系统,辅助企业快速平安地构建、治理和分发软件,确保软件可用、可追溯和防改动。集成的平安功效尚有助于发现和抵御威胁和破绽并加以解救。JFrog的夹杂、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7000多名客户,包罗大多数财富100强企业,依赖JFrog解决方案平安地开展数字化转型。一用便知!