<p id="iuri5"><del id="iuri5"></del></p>
  • <p id="iuri5"></p>
  • 
    

      機房360首頁
      當前位置:首頁 ? 業界動態 ? 2024年企業安全領導者需要謹記的五大關鍵

      2024年企業安全領導者需要謹記的五大關鍵

      來源:JFrog大中華區總經理 作者:董任遠 更新時間:2024/3/4 7:33:13

      摘要:新年立下新志向,開啟新征程。對于CISO和CSO們來說,這也意味著他們能夠借此機會打造能把自身企業安全作為優先考量的解決方案。

      新年立下新志向,開啟新征程。對于CISO和CSO們來說,這也意味著他們能夠借此機會打造能把自身企業安全作為優先考量的解決方案。
        
        去年,整個業界在加強軟件供應鏈安全方面取得了顯著進展,但安全團隊在軟件供應鏈方面仍然面臨著許多潛在的威脅。AI/ML模型中惡意代碼的猖獗使用、遭入侵的開源軟件、漏洞利用等問題仍持續困擾著企業。
        
        為在2024年確保軟件供應鏈盡可能安全,安全專業人士必須在今年致力于做好以下五大關鍵,包括:
        
        對于開源代碼,在信任的同時要對其進行驗證
        
        警惕安全解決方案和代碼開發中的AI/ML
        
        不要對零日漏洞感到恐慌
        
        將SBOM作為安全戰略的必備要素進行集成
        
        采取“左移”戰略
        
        對于開源代碼,在信任的同時要對其進行驗證
        
        安全領導者面臨的最嚴峻挑戰之一就是開源軟件的威脅。許多開發者盲目信任來自公共開源代碼庫的軟件,認為它們不存在安全和合規性問題。然而,未能對代碼進行包含必要的安全控制等在內的正確審查以確保其始終處于最新狀態,會使組織遭受軟件供應鏈攻擊的風險增高。
        
        步入2024年,安全領導者必須在信任開發者開源編碼實踐的同時對其進行驗證。安全風險往往始于開發者從這些公共資源庫下載代碼的那一刻。通過確保自始對代碼進行充分審查,安全領導者就能主動減輕對軟件供應鏈的威脅,避免造成不可挽回的損失。
        
        警惕安全解決方案和代碼開發中的AI/ML
        
        2023年,人工智能的興起推動了創新,但也引起了人們對安全問題的高度關注。軟件開發安全方面的疏忽可能會無意中將惡意代碼引入AI/ML模型,讓攻擊者有機可乘,由此對企業造成進一步的損害。
        
        開發者還可能會使用從公共AI/ML源生成的代碼,而不知道模型是否已遭到入侵。如果盲目信任AI/ML模型,就可能會給企業招致更多的漏洞——所有來自AI/ML源的代碼都必須經過審查。
        
        無需對零日漏洞感到恐慌
        
        2023年,網絡犯罪分子利用零日漏洞的速度創下了歷史新高,而新的一年里,這一趨勢還將持續。
        
        面對零日攻擊,安全團隊常常會感到恐慌,不確定CVE(關鍵漏洞披露)會產生怎樣的影響。雖然CVE可能存在于他們的軟件中,但也完全有可能在極端特殊情況下被利用,而這些情況并不適用于該企業。在這種情況下,可能會無緣無故地對最終用戶實施耗時且可能具有破壞性的補丁。
        
        今年,CISO和CSO們在采取行動之前,需要先了解CVE及其與企業的關系。盲目修補可能弊大于利,而將CVE與具體情況聯系起來,則有助于更好地保護企業并明確真正需要采取的行動。
        
        將SBOM作為必備要素納入安全戰略
        
        SBOM已成為安全領導者使用的重要DevSecOps工具,因其能為用戶提供更快的識別方法,縮短恢復時間,提高代碼修復的效率和效力,并在更嚴格的監管環境中增強合規性。
        
        SBOM可以系統性地跟蹤每個應用程序中存在的組件,以及應用程序運行所需的依賴項,使安全團隊能夠準確地查看在發生漏洞利用時受到影響的系統。此外,在2024年,網絡安全監管環境還將繼續收緊,這使得SBOM不再只是“錦上添花”的存在,而且是確保遵守新規則的必需。
        
        采取“左移”戰略
        
        對于安全領導者來說,落實上述所有的解決方案可能是一項艱巨的任務,這也是為什么CSO和CISO們在2024年必須采用“左移”的方法來確保安全性。
        
        通過從一開始就將安全納入軟件開發,安全領導者可以確保為其軟件供應鏈建立更加積極主動的防線。這樣,他們在軟件開發中使用開源或公開開發的AI/ML代碼時就更具靈活性,可以更好地控制為其企業而構建的AI/ML模型,確保盡可能降低CVE漏洞利用的可能性,并提高了SBOM的有效性。
        
        步入2024年并展望更遠的未來,軟件領域的復雜性只會有增無減。通過在軟件供應鏈安全方面采取“左移”思維,CISO和CSO們可以確保企業更強大、更具韌性,以應對新的安全挑戰。
        
        編輯:Harris

      機房360微信公眾號訂閱
      掃一掃,訂閱更多數據中心資訊

      本文地址:http://www.thatfreebiesite.com/news/202434/n4003156389.html 網友評論: 閱讀次數:
      版權聲明:凡本站原創文章,未經授權,禁止轉載,否則追究法律責任。
      轉載聲明:凡注明來源的文章其內容和圖片均為網上轉載,非商業用途,如有侵權請告知,會刪除。
      相關評論
      正在加載評論列表...
      評論表單加載中...
      • 我要分享
      推薦圖片
      片源丰富、内容全面_亚洲A∨综合色区无码一区_亚洲91在线_精品国产在天天线在线