【公益译文】如何平衡软件安全领域中的安全开发与安全运营
软件安全涉及的是如何降低软件带给使用者或软件影响人群的风险。这要求在各方面、各阶段周密考虑,积极行动,而不仅仅是在开发或使用时。这种情况下,需要一个更为全面的方案,能平衡安全开发与安全运营。糟糕的是,这两个重要领域很少互动,鲜有沟通。好消息是,人们正在积极努力,着手缩小两个领域之间的这道鸿沟。
软件安全涉及的是如何降低软件带给使用者或软件影响人群的风险。这要求在各方面、各阶段周密考虑,积极行动,而不仅仅是在开发或使用时。这种情况下,需要一个更为全面的方案,能平衡安全开发与安全运营。糟糕的是,这两个重要领域很少互动,鲜有沟通。好消息是,人们正在积极努力,着手缩小两个领域之间的这道鸿沟。
TAXII 服务指用以支持一个或多个TAXII 功能的一整套机制。一个TAXII 实现可支持多个或所有定义的TAXII 服务,也可以不支持任何此类服务。(后一种情况下,用户无需运行TAXII 后台用以支持TAXII 服务,而仍可使用TAXII 的某些功能。)
2017年2月20日,blog.blindspotsecurity.com发布文章称,由Java开发的应用,存在潜在的FTP命令注入。攻击者可以利用该漏洞借助XXE或SSRF等其他漏洞发送未授权的电子邮件。攻击者也可以利用该漏洞绕过防火墙,从而打开并连接一个TCP端口。
2016年10月21日,Mirai botnet对域名服务商Dyn发动了大规模的DdoS攻击,造成了如Twitter、Amazon、Box等知名应用无法提供正常服务。这只是去年DdoS攻击的一个案例,近两年来,随着越来越多的公共网络基础设施被利用来进行反射放大攻击流量和最近成为热点的IoT行业安全漏洞的暴露,发起大流量DDoS攻击的成本大大降低,以至于DDoS攻击的趋势逐渐向大流量型攻击倾斜。
2017年2月16日,OpenSSL官网发布安全通告,公布了编号为CVE-2017-3733的漏洞。在1.1.0e之前版本的OpenSSL握手阶段的重协商过程中,如果协商使用Encrypt-Then-Mac扩展,会导致OpenSSL崩溃。OpenSSL的服务端和客户端都受该漏洞的影响。
2017年2月15日,seclists.org网站发布了关于dotCMS存在SQL注入漏洞的消息。文章称,dotCMS 3.6.1及其之前的部分版本,在“/categoriesServlet”的q和inode参数上存在SQL注入,未经身份认证的攻击者可以利用该漏洞获取敏感数据。
虽然连续3年来,新锐厂商zscale都在砸硬件盒子。但是今年显然不能再吸引眼球,随着这几年威胁情报的兴起,通过威胁情报把各个盒子连接起来,已经成为业界的共识。今年除了Fortinet等少数厂家外,整个会场没有了盒子展示,全部是大屏平台。随着盒子逐渐变成一个情报源,这几年创新的重点转为大数据,机器学习,可视化。
RSA会议2017主题为“机会的力量”。RSA大会2017总监、总经理Linda Gray,诠释的核心思想是:拥抱机会,共建生态(安全产业链)。其中共建生态的前提就是互联。考虑到各安全厂商都在自己专攻领域深入研究多年,为形成全面解决方案或”生态系统“额外投入研发资源在陌生领域与陌生领域的佼佼者一较高下,绝非为最佳的公司战略。
网络犯罪因其低投入高回报和技术便捷性,正逐年高速增长。回顾2016年,勒索软件、mirai、工控平台攻击等安全事件频现,给广大用户造成巨大损失的同时,也一次次刷新着安全从业者的认知。
DevSecOps是2017年美国RSA大会新出现的一个概念,大会甚至专门为这个概念和方向设置的议题和讨论会。DecSecOps是一种全新的安全理念与模式,从DecOps的概念延伸和演变而来,其核心理念安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障。
2017年RSA大会的创新沙盒在选出的十家短名单的基础上,经过激烈的演讲问答环节,选出了最后的获胜者 UNIFYID。下面一起看看他们的创新点,有哪些可以学习借鉴的。
DATA,2017年USA RSA会议最热门词(参见下图)。每年RSA会议的热门词会由组委会根据参会组织所属领域、发言人提报议题内容,包含最多的领域提炼出来。DATA、CLOUD、THREAT、INTELLIGENCE等一直是近几年的热点领域,今年DATA一跃成为最热门领域。提到DATA,既有利用大数据的SIEM,又有数据的安全防护,还有进行广泛数据分析的INTELLGENCE,而今年最重要的是多了一大热点——Ransomware(勒索软件)。