不当的项目开发和部署将使企业容易受到网络攻击,因此有必要致力于清除技术债务。Proofpoint公司发布的《2021年首席信息安全官之声》报告中,三分之二的首席信息安全官认为技术债务(即项目所需内容与最终部署内容的差异)是造成安全漏洞的重要原因。
应用安全平台提供商提供商应用程序安全平台Contrast Security公司首席技术官Jeff Williams大多数技术债务是通过架构、代码质量、性能和可用性来实现的性和最终的安全性等关键方面有时会被搁置。他解释说,“许多大型企业在其漏洞管理系统中存在数万或数十万个发现但未修复的风险。”许多行业组织都有一个想法,“资金不足的安全工作和风险管理可能和实际完成所需的安全工作一样好”,但这是一个错误的想法,可能会对企业及其合作伙伴造成重大伤害。
为了最大限度地减少技术债务对安全的影响,我们必须首先了解各种方为网络入侵者和攻击者提供攻击机会,以及如何快速、安全地弥补发现的漏洞。以下是技术债务可能成为首席信息安全官需要解决的七种方式:
1. 狡猾的软件
卡内基梅隆大学海因茨信息系统和公共政策学院信息系统教授Rahul Telang技术债务是一个过度使用的术语。他解释说,“这意味着企业的技术和产品在现实和目标上存在一些差距,现在必须偿还债务。不难想象,除非债务偿还迅速,否则会增加安全风险。”
Telang指出,首席信息安全官应该意识到,每个软件开发项目都将经历一些阶段,代码必须重建以解决潜在的安全漏洞。他说,首席信息安全官在部署前必须有一个适当的结构来检测可能的问题,因为当产品推出并使用时,很容易忽略这些问题。
DNS与流量管理技术开发商和NS1公司首席信息安全官Ryan Davis该软件造成的技术债务带来了最大的业务安全风险。“这包括来自企业外部的项目,如语言、第三方库和软件内置的其他组件,以及由内部开发人员编写的代码。”
软件会随着时间的推移而老化,需要定期发布补丁来解决错误和安全问题。但最终,当它不再得到开发人员的支持时,所有软件都将进入生命周期的结束阶段。不幸的是,在某些情况下,由于开发人员或放弃产品或开发人员关闭,可能很难淘汰软件产品。在这种情况下,继续运行剩余的软件可能会产生危险的技术债务,因为网络入侵者和攻击者可能已经找到了使用这些软件的新方法。结果可能是毁灭性的。Davis说,“我们已经看到许多真实世界的例子,表明某种软件的安全状况将会对全球各地的企业带来的影响。”
2. 治理不力
强有力的治理对防止技术债务成为安全问题至关重要。IT咨询机构West Monroe公司网络安全实践主管David Chaddock在初始设计和实施过程中,确保资产的生命周期问题得到解决是非常重要的,包括长期运营成本和降低所需的支持资源系统突然或逐渐成为安全问题。“这就要求安全团队尽快参与设计过程。”
3. 战略一致性差
全球业务和IT外包商Guidehouse公司网络安全解决方案主管Eugene Okwodu建议首席信息安全官了解企业内部的技术债务,并制定正确的管理指标。他补充说,“首席信息安全官还应将所需的技术更新成本纳入预算。”
当IT技术债务经常发生在与网络安全策略发生冲突时。Okwodu为了确保充分协调和解决冲突,有必要与内部项目管理办公室进行观察(PMO)合作或寻求外部帮助。
4. 忽视或延迟现代化
在某些情况下,技术债务可能需要几年时间才能出现。Okwodu说:“无论是硬件还是软件,老化技术都会带来很大的安全风险。”他解释说,这些技术不仅在某些情况下无法更换和修复,而且通常更相关,目前员工对它了解更少。
Okwodu说:“几年甚至几十年的灵活性、更新、升级和并购可能会使技术债务问题特别严重。技术债务需要实现高成本的系统现代化,特别是在软件系统中,加上当今劳动力中不常见的专业知识,这将对企业构成重大的安全风险。”
5. 未能采取良好的发展实践
DevSecOps不仅仅是一个流行术语。当应用良好的开发实践时,可以解决和控制许多安全问题。技术培训师Infosec Institute公司首席安全研究员Keatron Evans建议说,“从开发项目开始就坚持正确DevSecOps坚持控制有利于可视化安全漏洞的指标。”
随着应用程序的发展,它们通常变得更加有用和广泛使用。然而,这些属性也可能使安全漏洞更难修复或缓解。Evans说,“从长远来看,导致代码增长和高效、有用和有价值的能量也会导致被忽视的安全问题更具颠覆性。DevSecOps自动集成安全性,有效防止软件开发生命周期各阶段的突然漏洞。”
6. 延迟测试
将软件安全测试推迟到开发的后期可能会导致漏洞产生,这些漏洞可能难以纠正,耗时且昂贵。DevOps咨询服务提供商NextLink Labs首席信息安全官Jeremy Dodson警告说:“将测试推迟到流程结束可能会导致大规模的重新开发来解决安全问题,这可能意味着利润损失和开发时间显著增加。”
Dodson安全应该是一种合作努力。“首席信息安全官在企业内部创造安全文化非常重要,特别是开发团队态度的转变,可以显著帮助在整个设计和开发过程中整合安全措施。”
7. 失控的复杂性
低代码应用程序开发平台提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供低代码应用程序开发平台提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供商提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供提供OutSystems公司平台战略高级总监Barry Goffe技术债务的主要原因之一是过度开发语言、工具、平台和框架。“复杂性带来了犯错误的机会,这种风险的叠加使得更难识别这些错误何时发生。即使发现了问题,复杂性也会使这些漏洞更难修复。”
Goffe说,“复杂性本身不会带来安全漏洞,但肯定会增加漏洞的可能性,增加预防漏洞的成本。鉴于复杂性是技术债务的主要原因,标准化和简化应用程序开发工具和基础设施的努力可以为最大限度地减少技术债务的产生带来巨大的好处。”
Goffe将技术债务视为风险驱动因素,也是阻碍创新和安全的主要因素。随着疫情过后企业致力于恢复经营业务正常,是时候解决多年快速建设造成的障碍和安全风险了。Goffe总结说,“企业解决的技术债务越多,面临的安全风险创新能力越强。”