極客網(wǎng)·企業(yè)級(jí)IT 1月10日,近年來(lái),云計(jì)算、人工智能(AI)、機(jī)器學(xué)習(xí)(ML)、物聯(lián)網(wǎng)(IoT)和大數(shù)據(jù)在很大程度上推動(dòng)了企業(yè)運(yùn)營(yíng)方式的演變。值得一得的是,所有這些技術(shù)都是由軟件驅(qū)動(dòng)的。有鑒于此,防止和減少軟件漏洞以維持企業(yè)健康發(fā)展至關(guān)重要。
為了更好地推動(dòng)軟件安全的發(fā)展,讓我們來(lái)參考一下新思科技軟件質(zhì)量與安全部門(Synopsys Software Integrity Group)的預(yù)測(cè)。這些預(yù)測(cè)將有助于企業(yè)保持警惕,最大限度地減少軟件安全風(fēng)險(xiǎn)。
設(shè)計(jì)和標(biāo)準(zhǔn)的安全性
大部分軟件仍然主要是在沒(méi)有正式標(biāo)準(zhǔn)和流程的情況下編寫的。與構(gòu)建橋梁不同,軟件開(kāi)發(fā)并不是標(biāo)準(zhǔn)化、可重復(fù)的工作。開(kāi)源持續(xù)了很長(zhǎng)時(shí)間,現(xiàn)在已經(jīng)司空見(jiàn)慣??梢韵胂?,更多的信任將放在基于開(kāi)源軟件的通用構(gòu)建模塊中。此外,垂直領(lǐng)域軟件開(kāi)發(fā)標(biāo)準(zhǔn)將更快出現(xiàn)。
當(dāng)生命依賴于正確的軟件執(zhí)行時(shí),我們會(huì)將更多的努力放在標(biāo)準(zhǔn)、可審計(jì)性和問(wèn)責(zé)制上,這一點(diǎn)在汽車和飛機(jī)內(nèi)的安全關(guān)鍵系統(tǒng)上已經(jīng)得到充分證實(shí)。這些標(biāo)準(zhǔn)可能是自下而上的,也可能是由政府監(jiān)管的。金融服務(wù)、區(qū)塊鏈以及移動(dòng)解決方案安全性等領(lǐng)域也有機(jī)會(huì)執(zhí)行這樣的標(biāo)準(zhǔn)。
2019年,我們可能看到垂直市場(chǎng)組成聯(lián)盟,以建立更多面向特定領(lǐng)域的安全標(biāo)準(zhǔn),并改善信任和互換性。其中大部分可以基于開(kāi)源組件構(gòu)建。
繼續(xù)向云遷移
隨著經(jīng)濟(jì)的增長(zhǎng),各大企業(yè)也面臨著新的競(jìng)爭(zhēng)壓力。這迫使企業(yè)需要重新武裝自己。數(shù)字化如火如荼,新的云環(huán)境也正在改變企業(yè)部署APP的方式。因此,企業(yè)需要在APP應(yīng)用和軟件安全方面保持警惕。
我們預(yù)計(jì)將會(huì)有更多投資會(huì)放在云端安全上。此外,給員工普及應(yīng)用安全和軟件安全的概念以及這方面的培訓(xùn)需求也會(huì)越來(lái)越多。
AI和ML滲入到我們生活
很多人會(huì)意識(shí)到AI和ML已經(jīng)在他們周圍出現(xiàn),對(duì)生活、家庭、健康及工作的決策等都有影響。
那AI/ML能為軟件安全和網(wǎng)絡(luò)安全做什么呢?這讓人期待。網(wǎng)絡(luò)安全很重要的一部分是數(shù)據(jù)關(guān)聯(lián)和分析。這就需要具備基于多個(gè)不同的數(shù)據(jù)源(猶如海底撈針)來(lái)查找單個(gè)威脅和威脅活動(dòng)以及執(zhí)行威脅行動(dòng)者歸因的能力。
AI/ML可以通過(guò)數(shù)據(jù)建模和模式識(shí)別來(lái)提高以上過(guò)程的速度、規(guī)模和準(zhǔn)確性。然而,很多刊出的文章都對(duì)此表示懷疑和擔(dān)憂。有的時(shí)候,企業(yè)可能會(huì)有一種安全的假象,但是事實(shí)并非如此。我們還需要更多時(shí)間和投入完善數(shù)據(jù)模型和模式識(shí)別,以確保AI/ML技術(shù)能夠有效提升軟件安全。
我們應(yīng)該期待看到大公司繼續(xù)投資AI/ML技術(shù)。與此同時(shí),宣傳AI/ML能力的初創(chuàng)企業(yè)也將在2019年繼續(xù)崛起。但是,可能還需要幾年時(shí)間才能完全實(shí)現(xiàn)AI/ML的真正愿景。
IoT攻擊仍然是一個(gè)困擾
在亞太地區(qū),許多國(guó)家正在推進(jìn)智慧城市和智能國(guó)家計(jì)劃。這也為新一輪的IoT網(wǎng)絡(luò)攻擊提供了機(jī)會(huì)。不法分子可以利用數(shù)據(jù)中毒進(jìn)行攻擊,其中的錯(cuò)誤信息將通過(guò)部署在目標(biāo)城市或全國(guó)范圍內(nèi)的傳感器影響決策。
我們還將看到一些舊問(wèn)題仍然存在:硬編碼憑證和未修補(bǔ)的組件,沒(méi)有良好設(shè)計(jì)的空中下載技術(shù)(OTA)更新以及持續(xù)更新策略。
針對(duì)醫(yī)療和零售業(yè)的攻擊將增多
原因是這些行業(yè)正在收集的數(shù)據(jù)的價(jià)值正在增加。我們必須進(jìn)行投資以保護(hù)醫(yī)療、零售及其他行業(yè)的數(shù)據(jù)。需要再次強(qiáng)調(diào)的是:安全培訓(xùn)必不可少。
對(duì)開(kāi)發(fā)人員使用第三方應(yīng)用程序編程接口(API)的敏感性提高
它是絕大多數(shù)IT企業(yè)的盲點(diǎn),類似于十年前的開(kāi)源使用。大多數(shù)公司都了解確保他們發(fā)布的API免受外部攻擊的重要性,但很少有公司會(huì)通過(guò)從內(nèi)到外調(diào)用第三方API來(lái)跟蹤他們自己的代碼在Web服務(wù)的使用。
依賴第三方服務(wù)的方式還存在其它法律和業(yè)務(wù)風(fēng)險(xiǎn)。公司還必須考慮到他們可能無(wú)意中傳遞到防火墻外的未知和不受信任來(lái)源的機(jī)密數(shù)據(jù)。
從數(shù)據(jù)到?jīng)Q策
現(xiàn)在有許多質(zhì)量和安全解決方案,每個(gè)都有自己的目的、優(yōu)勢(shì)和產(chǎn)生的數(shù)據(jù)??赡苁菨B透測(cè)試、日志監(jiān)控和入侵檢測(cè),或自動(dòng)化軟件安全測(cè)試解決方案。雖然功能和技術(shù)不斷發(fā)展,但它們也會(huì)創(chuàng)造出更多的信息和數(shù)據(jù)點(diǎn)。
我們很容易淹沒(méi)在信息海洋中,而忽視了一些必需品。其實(shí),關(guān)鍵是將這些數(shù)據(jù)融合在一起,以制定基于風(fēng)險(xiǎn)和業(yè)務(wù)的決策。一方面,我們面臨的挑戰(zhàn)在于“海底撈針”;另一方面,我們需要組合來(lái)自不同方法和域的數(shù)據(jù),以了解整體狀態(tài)。
2019年,我們需要的并不是更多數(shù)據(jù),而是更好的決策支持。
總結(jié)
2019年,軟件將繼續(xù)在我們的日常生活和工作中發(fā)揮越來(lái)越重要的作用。我們需要工具和支持將安全性貫穿到整個(gè)軟件開(kāi)發(fā)周期、公司文化和業(yè)務(wù)流程的各個(gè)方面,從而確保公司更快地構(gòu)建安全、高質(zhì)量的軟件。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 后人工智能時(shí)代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動(dòng)
- 2025年展望:人工智能推動(dòng)IT整合
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長(zhǎng)6.6%
- Fortinet李宏凱:2025年在中國(guó)大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬(wàn)
- 央國(guó)企采購(gòu)管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過(guò)26億美元
- 調(diào)查報(bào)告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。