japan丰满大乳大屁股,午夜在线美女网站视频,日韩北条麻妃一区在线

當前位置： 首頁 >綜合 > 正文

如何管理現(xiàn)代云原生應用程序中的漏洞-當前播報

2023-05-25 10:15:41 來源：51CTO.COM

漏洞管理是一種主動識別、管理和修復網(wǎng)絡漏洞以提高企業(yè)應用程序、軟件和設備安全性的方法，包括識別 IT資產(chǎn)中的漏洞、評估風險以及對系統(tǒng)和網(wǎng)絡采取適當?shù)拇胧?。為保護系統(tǒng)和網(wǎng)絡免受安全漏洞和數(shù)據(jù)盜竊的影響，世界各地的組織都在漏洞管理方面有所投資。為防止利用IT漏洞（如代碼和設計設計缺陷）來危害整個企業(yè)網(wǎng)絡的安全性，漏洞管理通常與風險管理和其他安全措施相結(jié)合，這已成為當今計算機和網(wǎng)絡安全實踐不可或缺的一部分。

漏洞管理的重要性

盡管漏洞管理能有效應對許多網(wǎng)絡安全風險，但很多組織往往忽視了漏洞管理流程的實施，大量的數(shù)據(jù)泄露案例證實了這一點。也因此，組織在毫無意識的狀況下會受到補丁和錯誤配置的影響。

(資料圖片僅供參考)

漏洞管理旨在調(diào)查組織的安全狀況，并在此類漏洞之前被惡意攻擊者發(fā)現(xiàn)之前檢測它們。

這就是為什么實施漏洞管理計劃對于各種規(guī)模的公司都至關(guān)重要的原因。強大的漏洞管理利用威脅情報和 IT團隊知識對風險進行排名并快速響應安全漏洞。

漏洞管理的四個階段

創(chuàng)建漏洞管理程序時必須考慮以下幾個步驟。將這些步驟納入管理流程不僅有助于防止漏洞被忽視，還可以正確解決發(fā)現(xiàn)的漏洞。

一、識別漏洞

漏洞掃描程序是標準漏洞管理解決方案的核心，包括四個階段。

1.通過發(fā)送Ping或 TCP/UDP數(shù)據(jù)包掃描有權(quán)訪問網(wǎng)絡的系統(tǒng)；

2.識別掃描系統(tǒng)上運行的開放端口和服；

3.遠程登錄系統(tǒng)并收集詳細的系統(tǒng)信息；

4.將系統(tǒng)信息與已知漏洞進行關(guān)聯(lián)。

漏洞掃描工具可以識別網(wǎng)絡上運行的各種系統(tǒng)，包括便攜式計算機、臺式機、虛擬和物理服務器、數(shù)據(jù)庫、防火墻、交換機和打印機等。它會使用各種方法來調(diào)查這些系統(tǒng)的屬性，例如了解操作系統(tǒng)、開放端口、安裝的軟件、用戶帳戶、文件系統(tǒng)結(jié)構(gòu)和系統(tǒng)配置等信息。這些信息用于將已知漏洞與掃描的系統(tǒng)相關(guān)聯(lián)。這些信息可以與漏洞掃描工具中包含的常見已知漏洞數(shù)據(jù)庫對比，以此來簡歷掃描系統(tǒng)與已知漏洞之間的關(guān)聯(lián)。

二、評估

在掃描到所有潛在的已知網(wǎng)絡安全漏洞后，下一步就是評估這些漏洞并確定處理優(yōu)先級。成百上千個漏洞的威脅性并不相同。為了分類，需要進行漏洞評估來確定它們被利用對公司的威脅程度。許多系統(tǒng)可用于優(yōu)先排序，Common Vulnerability Scoring System（CVSS）是其中最常被引用的一種方法。每次運行掃描發(fā)現(xiàn)新的漏洞時都必須重復此優(yōu)先排序過程，以查找對IT安全最為關(guān)鍵的那些漏洞。

三、漏洞修復

如果驗證漏洞并確定其為風險，下一步就是解決漏洞。漏洞可以通過以下方式來解決：

修復：完全修復漏洞或應用補丁以防止被利用。這是組織所追求的理想治療方法。緩解：降低漏洞被利用的可能性和影響。如果無法為已識別的漏洞提供適當?shù)男迯突蜓a丁，則可能需要采取此措施。理想情況下，此選項用于允許組織爭取最終修復漏洞所需的時間。

漏洞管理解決方案提供了漏洞修復的建議。但值得注意的是，可能存在比推薦方法更為有效的修復法案。

四、報告和后續(xù)行動

在處理完已知漏洞后，就可以開始使用漏洞管理解決方案中的報告工具。安全團隊可以從中了解到每種修復技術(shù)大概需要付出多少努力，并允許他們確定未來解決漏洞問題的最有效方式。此時需要采取以下措施：

設置補丁工具；安排自動更新；與網(wǎng)絡安全團隊協(xié)調(diào)；在出現(xiàn)安全問題時設置一個工單系統(tǒng)。

這些報告還可以通過展示數(shù)據(jù)泄露風險的級別以及降低此類風險所采取的行動，來確保符合行業(yè)監(jiān)管機構(gòu)的合規(guī)要求。由于網(wǎng)絡犯罪分子也在不斷進化，因此必須定期進行漏洞管理評估，以減少漏洞數(shù)量并確保網(wǎng)絡安全性能處于最新狀態(tài)。

集成安全性的方法1. 應用安全掃描以保護CI/CD管道安全

持續(xù)集成和持續(xù)交付（CI/CD）管道是每個從事軟件開發(fā)的現(xiàn)代軟件公司的基礎(chǔ)。結(jié)合DevOps實踐，CI/CD管道使公司能夠更快、更高頻地交付軟件。然而，能力越大責任越大。雖然大家都專注于編寫安全應用程序，但許多人忽略了 CI/CD管道的安全性。然而，CI/CD配置應該得到密切關(guān)注。

2. CI/CD安全的重要性

CI/CD管道通常需要大量權(quán)限才能完成其工作。您還需要處理應用程序和基礎(chǔ)結(jié)構(gòu)機密。任何未經(jīng)授權(quán)訪問CI/CD管道的人幾乎可以無限制地破壞所有基礎(chǔ)架構(gòu)或部署惡意代碼。因此，保護CI/CD管道應是一項高優(yōu)先級任務。不幸的是，統(tǒng)計數(shù)據(jù)顯示，近年來對軟件供應鏈的攻擊顯著增加。

3.靜態(tài)應用程序安全測試（SAST）

靜態(tài)應用程序安全測試（SAST）通過評估源代碼中的潛在漏洞來補充 SCA。換句話說，SCA可以基于已知漏洞的數(shù)據(jù)庫來識別第三方代碼中的漏洞。同時，SAST對自定義代碼進行分析，以檢測潛在的安全問題，如不正確的輸入驗證。

這樣，通過在CI/CD管道開始時運行SAST以及SCA，您可以獲得源代碼內(nèi)在風險的第二層保護。

4.漏洞掃描

漏洞掃描是一個自動化過程，可以有力地確定網(wǎng)絡、應用程序和屏蔽漏洞。漏洞掃描通常由IT部門或第三方安全服務提供商執(zhí)行。不幸的是，攻擊者也利用這種掃描來尋找進入網(wǎng)絡的入口。

掃描涉及檢測和分類網(wǎng)絡、通信設備和計算機系統(tǒng)中的弱點。漏洞掃描可以識別安全漏洞，并預測在威脅或攻擊事件發(fā)生時安全措施的有效性。

在漏洞診斷服務中，軟件從診斷方的角度進行操作，并診斷要診斷的攻擊目標區(qū)域。漏洞掃描程序利用數(shù)據(jù)庫來對應目標攻擊的詳細信息，該數(shù)據(jù)庫參考已知缺陷、編碼錯誤、數(shù)據(jù)包構(gòu)造異常、默認設置以及攻擊者可能利用的敏感數(shù)據(jù)的路由。

數(shù)據(jù)庫引用已知缺陷、編碼錯誤、數(shù)據(jù)包構(gòu)造中的異常、默認設置以及攻擊者可能利用的敏感數(shù)據(jù)的路由。

5.軟件成分分析

軟件成分分析（SCA）是自動化可視化開源軟件（OSS）用于風險管理、安全和許可證合規(guī)目的的過程。開源（OS）被各行業(yè)的軟件所使用，追蹤組件以保護公司免受問題和開源漏洞的影響的需求呈指數(shù)增長。然而，由于大多數(shù)軟件生產(chǎn)涉及操作系統(tǒng)，手動跟蹤非常復雜，并且還需要自動化掃描源代碼、二進制文件和依賴項。

SCA工具正在成為應用程序安全的重要組成部分，使組織能夠使用代碼掃描來發(fā)現(xiàn)OSS證據(jù)，創(chuàng)建一個減少早期修復漏洞和許可問題成本的環(huán)境，并能夠通過使用自動掃描使查找和解決問題的過程更加輕松。此外，SCA不斷監(jiān)測安全和漏洞問題，以更好地管理工作負載并提高生產(chǎn)力，使用戶能夠為當前產(chǎn)品及其交付中的新漏洞創(chuàng)建可操作警報。

6.動態(tài)應用程序安全測試（DAST）

DAST解決方案識別應用程序中的潛在輸入字段，并向其發(fā)送各種異常和惡意輸入。它可以包括嘗試利用常見漏洞，例如SQL注入命令、跨站點腳本（XSS）漏洞、長輸入字符串以及可能會揭示應用程序中的輸入驗證和內(nèi)存管理問題的異常輸入。

DAST工具根據(jù)應用程序?qū)Ω鞣N輸入的響應來識別應用程序是否包含特定漏洞。例如，如果SQL注入攻擊嘗試未經(jīng)授權(quán)地訪問數(shù)據(jù)，或者應用程序由于無效或未經(jīng)授權(quán)的輸入而崩潰，則表明存在可利用的漏洞。

7.容器安全

保護容器的過程是持續(xù)不斷的。它必須整合到開發(fā)流程中并自動化，以減少手動接觸點并擴展到維護和操作基礎(chǔ)架構(gòu)。這意味著保護構(gòu)建管道的容器鏡像和運行時主機、平臺和應用層。將安全性作為持續(xù)交付生命周期的一部分實施可以減少業(yè)務中不斷增長的攻擊風險和漏洞。

容器具有安全優(yōu)勢，例如出色的應用程序可分離性，但它們也擴展了組織威脅的范圍。在生產(chǎn)環(huán)境中部署容器的顯著增加使其成為惡意行為者的有吸引力的目標，并增加了系統(tǒng)的工作負載。此外，一個容器存在漏洞或被攻擊成功，就可能成為整個組織環(huán)境的入口點。

8.基礎(chǔ)設施安全

漏洞掃描是一個復雜的主題，評估漏洞掃描解決方案的組織通常需要認證。基礎(chǔ)架構(gòu)漏洞掃描是針對基礎(chǔ)設施中的一個或多個目標范圍運行一系列自動檢查以檢測是否存在潛在惡意安全漏洞的過程。目標是指完全限定的域名（FQDN），該域名解析為一個或多個要掃描的 IP地址或IP地址范圍。

基礎(chǔ)設施漏洞掃描是通過網(wǎng)絡（如互聯(lián)網(wǎng)）執(zhí)行的。掃描在專用掃描中心上運行，并源自該中心。掃描中心運行掃描引擎以連接到掃描的目標以評估漏洞。

結(jié)論

漏洞管理是一種主動識別、管理和緩解網(wǎng)絡漏洞的方法，以提高企業(yè)應用程序、軟件和托管在云中的設備的安全性。它包括識別 IT資產(chǎn)中的漏洞，評估風險，以及對系統(tǒng)和網(wǎng)絡采取適當?shù)男袆?。實施漏洞管理計劃對各種規(guī)模的公司來說都是必不可少的，因為它利用威脅情報和 IT 團隊的知識對風險進行排序，并對安全漏洞作出快速反應。漏洞管理計劃包括四個階段：識別漏洞、評估漏洞、修復漏洞以及報告和跟進。集成安全措施，例如保護 CI/CD管道、使用漏洞掃描工具以及實施 SCA、SAST、DAST等，可以補充漏洞管理程序，以提供強大的安全防線。

原文標題 |How To Manage Vulnerabilities in Modern Cloud-Native Applications

作者 |Harshad Ithape

標簽：

上一篇：德國軍火商萊茵金屬遭遇勒索軟件攻擊，民用業(yè)務遭重創(chuàng)

上一篇：最后一頁