保护组织数据的路径

在全球范围内，各种规模和各个行业的企业都在经历某种形式的 I.T.转型。事实上，自从大流行席卷世界以来，公司已将其内部和外部业务运营的数字化速度加快了三到四年。尽管 COVID-19 可被视为这一变化的主要促进因素，但组织领导者也认识到在整个业务中嵌入技术的战略重要性。

对于许多人来说，转型将受到采用内部部署的第三方商业现成软件、托管敏感数据的软件即服务 (SaaS) 应用程序和开源第三方库的推动用于构建软件。虽然现代技术的引入是必要进步的标志，但企业不应忽视所有这些创新带来的潜在安全风险。软件供应链的优势将以新的和复杂的方式暴露毫无戒心的业务，从而突破传统安全防御的界限。

脆弱的软件供应链甚至引起了美国政府的注意，证实了这种日益增长的网络安全风险的紧迫性。 5 月，政府领导人迈出了第一步，主动解决潜伏在日益增长的第三方依赖生态系统中的潜在威胁。 14028 号行政命令概述了一项计划，呼吁政府“做出大胆的改变和重大投资，以保护支撑美国生活方式的重要机构。” E.O.特别强调关键软件的安全性”，政府指出，“缺乏透明度，缺乏对软件抵抗攻击能力的充分关注，以及防止恶意行为者篡改的足够控制。”

美国国家标准与技术研究院 (NIST) 概述了保护关键软件的安全措施，重点关注保护数据所需的防御措施，而不仅仅是数据周围的系统和网络。这种方法侧重于保护数据及其所有路径，认识到可以直接访问敏感数据的第三方软件应用程序和库的棘手问题。正如过去几个月成功实施的攻击所证明的那样，如果我们要真正减轻软件供应链攻击的威胁，企业组织必须考虑支持其应用程序和接口的供应商的供应商或第三方软件。

复杂的生态系统

从历史上看，公司一直关注其直接供应商及其所依赖的关键软件带来的风险。这种姿势已经不够了，因为 I.T.转型突破了传统网络的界限，降低了传统控制的有效性。

虽然企业可能有适当的安全控制措施，但这并不意味着整个软件供应链的供应商都这样做。安全策略不能再依赖于信任来自生态系统的一切，甚至来自合作伙伴和供应商。不断扩大的软件供应链以及现代应用程序的复杂性意味着漏洞将以更快的速度被引入。为了帮助解决软件开发生命周期中不断增长的攻击规模，组织需要采用一种威胁模型，该模型包含供应链的所有部分，包括第 n 方代码。

现代应用程序由应用程序编程接口 (API)、微服务和无服务器功能组成的复杂生态系统提供支持。随着更多的临时工作负载和分布式架构，预生产软件分析没有灵丹妙药。即使在最严格的软件开发生命周期 (SDLC) 中，开发的复杂性也意味着会引入漏洞。这也是为什么保护所有数据路径必须成为组织的基本战略的原因。

正面解决问题

较早的软件供应链攻击证明，不良行为者通过利用第三方软件连接中的漏洞，在软件供应链中秘密活动，利用它横向移动并最终获得对目标数据的访问权限。

Web 应用程序安全性必须不断发展并更加关注识别运行时应用程序行为，例如第三方代码是否应对不需要的操作负责。只有阻止意外行为，才能防止新的攻击行为。这对于企业 I.T.演变成多样化的现代应用环境。

应用程序扫描工具很棒，但不太可能识别嵌入在应用程序中的受损第三方软件。外围工具可能会被来自应用程序的看似无害的流量所欺骗，直到签名发布。最后，虽然许多企业部署了端点安全，但这项技术往往对应用攻击视而不见，因为他们很少需要在早期接触用户设备。

相反，企业需要部署运行时应用程序自我保护 (RASP) 以实时检测和防止来自应用程序内部的攻击。这项在 NIST SP 800-53 修订版 5 中推荐的技术可以将攻击精确定位到精确的代码行并自动停止利用漏洞，让组织有时间按照自己的时间表修补漏洞。

为了实现创新并保持竞争优势，组织需要对其运营进行现代化改造。这种转变在很大程度上将依赖于第三方应用程序和服务。

但是，软件和应用程序漏洞是基本的安全问题，企业需要注意。因此，他们应该把重点放在他们的防御上，尤其是支持他们数字化转型的 API。

随着攻击者找到躲避防御并访问底层数据的隐秘方法，必须采取正确的控制措施并使用适当的工具来真正保护数据及其所有路径。

Peter Klimek 是 Imperva 首席技术官办公室的技术总监。