譯者 | 晶顏

審校 | 重樓

零日威脅正變得比以往任何時(shí)候都更加危險(xiǎn)。5月底至6月初，惡意行為者通過零日攻擊接管了眾多名人和品牌的TikTok賬戶。用戶聲稱在打開一條私信后便喪失了賬戶的控制權(quán)。而用于攻擊的惡意軟件能夠在用戶不下載或安裝任何程序的情況下感染設(shè)備。

目前尚不清楚此次事件的損害程度。TikTok發(fā)言人亞歷克斯·豪雷克（Alex Haurek）表示，被入侵的賬戶數(shù)量“非常少”，但他也拒絕提供具體數(shù)字。據(jù)悉，TikTok方面一直在與受影響帳戶的所有者合作，恢復(fù)其訪問權(quán)限，并采取措施確保問題不再發(fā)生。

從邏輯上講，即便擁有大量資源的大型組織也可能淪為零日攻擊的受害者，那么資源有限的小型企業(yè)則處于更脆弱的位置。這強(qiáng)調(diào)了最大限度地集成DevOps和安全性的重要性。

零日漏洞的威脅

零日漏洞是指軟件中那些尚未發(fā)現(xiàn)、識別和分析的安全缺陷或問題。沒有人知道它們的存在，更不用說它們的運(yùn)行原理了。沒有任何可用的安全補(bǔ)丁能夠解決這些問題，因此，當(dāng)有人發(fā)現(xiàn)它們時(shí)，通常可以不受阻礙和限制地發(fā)動攻擊。大多數(shù)現(xiàn)有的網(wǎng)絡(luò)防御措施往往對此類攻擊無效。

TikTok只是受到零日攻擊的主要組織之一。2017年，微軟遭遇了MS Word零日漏洞攻擊，導(dǎo)致個(gè)人銀行賬戶被盜。2020年，在蘋果的iOS系統(tǒng)中發(fā)現(xiàn)了至少兩個(gè)零日漏洞，允許惡意行為者進(jìn)行遠(yuǎn)程攻擊。同年，廣受歡迎的視頻會議平臺Zoom遭受嚴(yán)重的零日攻擊，允許攻擊者控制設(shè)備并訪問文件。

然而，缺乏有關(guān)漏洞的信息并不意味著沒有辦法檢測、阻止和緩解它們。零日漏洞是可以阻止的，或者至少可以通過正確的策略和解決方案加以緩解。雖然零日漏洞并不容易解決，但正確的策略可以顯著增加威脅行為者的攻擊難度。而阻止它們最好的方法之一就是通過DevSecOps。

現(xiàn)代IT安全的基礎(chǔ)

在過去的幾年里，DevOps一直是軟件開發(fā)領(lǐng)域最受歡迎的流行語，但在優(yōu)化軟件開發(fā)過程和加快上市時(shí)間的權(quán)衡中，安全性顯然是不容忽視的。網(wǎng)絡(luò)威脅正變得越來越復(fù)雜且極具侵略性，開發(fā)人員參與構(gòu)建網(wǎng)絡(luò)保護(hù)已成為必要舉措。

單獨(dú)的審查解決方案通常不能立即處理軟件代碼本身的問題。考慮到這一點(diǎn)，開發(fā)人員最適合從底層開始強(qiáng)調(diào)安全性的實(shí)踐，同時(shí)保持高可交付性。

首先，開發(fā)人員可以采用“左移”原則，將安全測試工具和過程集成到CI/CD管道中。他們可以在開發(fā)階段識別和處理漏洞，將其作為標(biāo)準(zhǔn)例程的一部分，而不是進(jìn)行單獨(dú)的安全測試。這大大消除了軟件部署之前的安全問題。

其次，開發(fā)人員也可以按照OWASP安全編碼實(shí)踐和開放項(xiàng)目（Open Project）的安全編碼實(shí)踐等指南或標(biāo)準(zhǔn)來實(shí)現(xiàn)安全編碼。這也被稱為“設(shè)計(jì)安全”（security by design）原則，要求開發(fā)人員在其中構(gòu)建專門針對已知和未知漏洞的彈性軟件。

此外，DevOps團(tuán)隊(duì)可以實(shí)現(xiàn)連續(xù)的漏洞掃描，以不斷檢查其代碼中可能存在的安全缺陷。這涉及到在整個(gè)開發(fā)流程中使用漏洞掃描工具。此舉需要額外的成本，但安全回報(bào)也是無可爭議的。實(shí)時(shí)檢測漏洞的能力確保了快速修復(fù)和補(bǔ)救，防止威脅參與者發(fā)現(xiàn)和利用漏洞。

DevOps團(tuán)隊(duì)還可以利用基礎(chǔ)設(shè)施即代碼（IaC）來簡化云環(huán)境管理。IaC支持通過代碼配置提供基礎(chǔ)設(shè)施，這使得在部署之前迭代安全配置和檢查代碼中的問題變得更加容易。安全實(shí)踐融入到代碼中，可以確保安全標(biāo)準(zhǔn)和機(jī)制的同步實(shí)現(xiàn)。

同時(shí)，DevOps團(tuán)隊(duì)可以利用容器化和微服務(wù)架構(gòu)來隔離應(yīng)用程序，并使其更容易應(yīng)對零日攻擊。這些措施不一定能防止“零日”的出現(xiàn)，但它們有助于控制和解決問題。每個(gè)容器都在孤立的環(huán)境中運(yùn)行，這意味著如果漏洞被利用，危害可能僅限于受影響的容器。此外，為受影響的容器打補(bǔ)丁并進(jìn)行取證將更快，以確保在其他容器中不會再次出現(xiàn)相同的問題。

DevSecOps最佳實(shí)踐

一個(gè)成功的DevSecOps策略需要的不僅僅是工具。將安全軟件和測試集成到整個(gè)開發(fā)過程中是不夠的。組織還應(yīng)該考慮最佳實(shí)踐，如持續(xù)監(jiān)控、定期測試和審核，以及員工教育。

重要的是要使用能夠持續(xù)監(jiān)控的安全工具，包括能夠全面監(jiān)控安全問題開發(fā)過程的自動化和人工智能驅(qū)動的服務(wù)。人工智能還可以為強(qiáng)大的漏洞警報(bào)系統(tǒng)提供動力，通過結(jié)合上下文來避免安全信息過載，并確保最重要和緊急的警報(bào)不會被掩蓋在無關(guān)緊要的細(xì)節(jié)之下，例如誤報(bào)和低風(fēng)險(xiǎn)事件的日志。

需要強(qiáng)調(diào)的是，安全審計(jì)和測試與持續(xù)監(jiān)視是不同的。審計(jì)和測試是定期進(jìn)行的，它們針對的是特定的領(lǐng)域或功能。持續(xù)監(jiān)視則是一個(gè)正在進(jìn)行的過程，它可以揭示趨勢和即時(shí)辨認(rèn)的漏洞，但是這些過程不像定期滲透測試那樣徹底和深入。

最后，DevOps團(tuán)隊(duì)?wèi)?yīng)該在安全性能優(yōu)化方面具有較高的熟練程度。這需要他們接受培訓(xùn)，并與安全團(tuán)隊(duì)密切合作。

結(jié)語

未來，零日攻擊的實(shí)例不太可能減少。組織應(yīng)該清楚地認(rèn)識到威脅行為者在尋找和利用漏洞方面正變得越來越狡猾和具有攻擊性，并為此做好準(zhǔn)備。擁抱DevSecOps是非常重要的舉措，這可能需要對許多組織進(jìn)行范式轉(zhuǎn)變。組織需要觀察新的實(shí)踐，并投資于新的工具和流程，以主動和更有效地解決與零日漏洞相關(guān)的安全問題。

雖然DevSecOps很難做到萬無一失，但如果組織集成了他們的安全工具，簡化了他們的安全流程，實(shí)現(xiàn)了持續(xù)的監(jiān)控，并進(jìn)行了定期的滲透測試和安全審計(jì)，那么他們肯定有更好的機(jī)會避免不可預(yù)測的安全問題。

原文標(biāo)題：How DevSecOps Can Combat Zero-Day Threats，作者：Annie Qureshi