18年在信息安全花费超1000亿美元,安全专家:这几个原因造成

作者: admin 分类: 科技 发布时间: 2019-05-10 09:07

如果你把2018年以来最大的数据泄露事件加起来,它们影响了全球约三分之一的人口。人们很容易对数据安全不再重要的观点产生怀疑——我们所有的信息都已经在网络上。

2018年在信息安全上的花费超过1000亿美元。Gartner预计,到2019年,这一数字将达到1240亿美元。

漏洞

根据IBM Ponemon研究所的研究,32%的安全漏洞风险来自于应用程序,但是Gartner预测,到2019年,应用程序安全支出将只占所有安全支出的2.4%左右。

更糟糕的是,目前app sec关注的是让开发者编写安全代码,而很少关注确保软件本质上设计为安全的。我们走错路了。当前大众普遍认为DevSecOps是万灵药——这意味着开发者在开发新功能时更加依赖于测试和运维的检测。这被称为“shifting left”——在开发周期的前面。

在开发人员编写代码时,将安全问题带到他们面前会有所帮助,但前提是他们愿意关注安全性,并接受培训,以了解黑客是如何渗透的。这是对开发人员学习安全知识的重视,以获得正确的结果。这种方法很有价值,但可能需要很长时间,但肯定不是万无一失的。

设计是许多安全漏洞的根源,而且这些漏洞已经存在很长时间了。如果您构建了一个程序,那么在该软件中设计安全性和可靠性当然是有意义的。现代公寓楼没有栓上的防火梯。他们有防火的内部楼梯。软件系统也是如此,安全专家对此非常了解。

差距

虽然在设计软件时考虑到安全性显然会更有效,但是有三个大的差距阻止了许多组织这样做。包括流程、技术和软件功能方面的差距,所有这些都会导致安全性不再成为设计考虑因素。

许多开发人员不了解他们正在构建的系统的完整事务流和体系结构。架构师并不总是能够访问他们系统的真实的、原本的架构。事实上,随着应用程序变得更加组件化,给定事务的体系结构变得更加难以了解。

即使他们了解产品架构,软件架构师通常也不会关注安全性。他们更关注于在软件中实现功能,弄清楚如何以一种使开发人员能够尽可能快地移动的方式构建系统,以及如何将应用程序封装起来以获得最大的灵活性。他们的目标通常是使事情在软件中发生,而不是阻止它们发生。

对于架构师、安全专家和开发人员来说,没有多少时间和空间来单独考虑安全软件设计——安全架构师不在详细的软件架构级别上操作,留给他们自己考虑,许多软件架构师可能不会考虑安全性。

重组

随着企业为数字业务而改变IT结构,目前正在进行大规模的软件重组——这可能是自2000年以来规模最大的一次重组。当然,我们现在构建的东西可能会比20年前发展得更快,但是我们仍然不能低估遗留软件的持久性。当我们构建新的应用程序、利用新的设计模式(如微服务或api)、将它们迁移到云计算并编排api以获得更快的业务结果时,软件设计问题只会变得更加复杂。但这也为设计安全性提供了机会。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!