?從RSAC看DevSecOps的進化與落地思考

隨著云計算、微服務(wù)和容器技術(shù)的快速普及，不僅IT基礎(chǔ)架構(gòu)發(fā)生了巨大的變化，政企組織的業(yè)務(wù)交付模式也迎來巨大變遷。DevSecOps通過一套全新的方法論及配套工具鏈將安全能力嵌入到整個DevOps體系中，在保證業(yè)務(wù)快速發(fā)展的情況下實現(xiàn)安全內(nèi)生和自成長。

DevSecOps的廣泛應(yīng)用將標志著軟件供應(yīng)鏈的安全保障進入到一個全新的時代，將安全作為管理對象的一種屬性，從軟件供應(yīng)鏈開發(fā)早期開始進行全生命周期的安全管理，將徹底改善企業(yè)和機構(gòu)在軟件和IT基礎(chǔ)設(shè)施的安全現(xiàn)狀。

?如何逃離弱密碼黑洞？

全球遠程辦公大潮中，一些企業(yè)安全的脆弱性問題被放大，全球數(shù)據(jù)泄露事件的頻率和規(guī)模以肉眼可見的速度逐年遞增，如果說身份與訪問管理是數(shù)據(jù)安全的“重災(zāi)區(qū)”，那么“弱密碼”則無疑是“震中”。

根據(jù)Verizon的《數(shù)據(jù)違規(guī)調(diào)查報告》，有81％與黑客相關(guān)的違規(guī)行為都利用了被盜密碼或弱密碼，只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業(yè)網(wǎng)絡(luò)安全防御體系。

以上調(diào)查是針對安全行業(yè)人士進行，普通企業(yè)員工的密碼違規(guī)情況要比上面的數(shù)據(jù)嚴重得多！

?暗網(wǎng)流行數(shù)據(jù)報告，個人數(shù)據(jù)只值1美元

隨著時間的流逝，網(wǎng)絡(luò)犯罪分子已經(jīng)改變了暗網(wǎng)市場的運營結(jié)構(gòu)，目前主要是開始模仿大型零售商，比如亞馬遜和eBay，提供搜索功能、電子商務(wù)和賣家評級等服務(wù)。

根據(jù)調(diào)查結(jié)果，欺詐指南是最常出售的數(shù)據(jù)類別（49％），其次是個人數(shù)據(jù)（15.6％），非金融賬戶和憑證（12.2％），金融帳戶和憑據(jù)（8.2％），欺詐工具和模板（8％）和支付卡（7％）。一方面，網(wǎng)絡(luò)犯罪分子可以物有所值的事實加劇了企業(yè)面臨的風(fēng)險。另一方面，組織經(jīng)常忽視欺詐指南的負面影響，也給企業(yè)帶來更大的數(shù)字風(fēng)險。

?網(wǎng)絡(luò)犯罪將成為第三大“經(jīng)濟”？

網(wǎng)絡(luò)犯罪正在經(jīng)歷一次全球范圍的工業(yè)化“革命”，網(wǎng)絡(luò)犯罪組織們開始提供“正規(guī)”公司所做的一切：產(chǎn)品開發(fā)，技術(shù)支持，分銷，質(zhì)量保證甚至客戶服務(wù)。網(wǎng)絡(luò)犯罪分子搶劫然后出售新技術(shù)或秘密戰(zhàn)略計劃，這將使他們的買家在競爭者中占優(yōu)勢。黑客竊取軍事機密，可再生能源創(chuàng)新知識產(chǎn)權(quán)等高價值信息。

有組織的網(wǎng)絡(luò)犯罪分子通過分工合作來實現(xiàn)平穩(wěn)運營。有“團隊負責(zé)人”負責(zé)協(xié)調(diào)工作，并負責(zé)保持法律上領(lǐng)先一步。他們擁有大數(shù)據(jù)專家來處理被盜數(shù)據(jù)，開發(fā)者負責(zé)編寫和更改惡意代碼，以及“入侵專家”負責(zé)感染并滲透目標公司。

?RainbowMiner，Linux挖礦病毒

RainbowMiner一個“求生欲“極強的Linux挖礦病毒家族，為了躲避DDG及安全人員的查殺，其采用了多種方式進行隱藏及持久化攻擊。該挖礦病毒對系統(tǒng)命令進行劫持，隱藏自身，中毒的主機出現(xiàn)了奇怪現(xiàn)象，CPU占用率很高，卻找不到可疑的進程。定時任務(wù)是惡意軟件慣用的持久化攻擊技巧，但該病毒沒有采用定時任務(wù)的方式駐留，而是創(chuàng)建了一個ssh公鑰后門，躲避了通過檢查定時任務(wù)排除惡意軟件的安全檢查方法。

?用計算機電源竊取機密數(shù)據(jù)

以色列蓋夫本古里安大學(xué)研究出了一種讓電源發(fā)聲泄露數(shù)據(jù)的新型惡意軟件，這種讓電源說話的惡意軟件，會通過啟動和停止CPU工作負載，影響電源的開關(guān)頻率，從而讓電源中的變壓器和電容器發(fā)出聲音信號，這種特殊的“噪音”，一旦被聲波接收設(shè)備捕獲，稍加提取處理，就能復(fù)原成原始信息，也就是目標電腦設(shè)備上的高敏感數(shù)據(jù)。變化的電流一定會有對應(yīng)變化的電磁場，而惡意軟件就是將電磁變化轉(zhuǎn)為音頻，以便竊取數(shù)據(jù)。這種利用電源電流的惡意軟件，并不需要任何特殊的系統(tǒng)權(quán)限、訪問硬件資源或是root權(quán)限，大大降低了惡意軟件攻擊過程中被安全軟件發(fā)現(xiàn)的可能性。

?4400萬巴基斯坦移動用戶信息泄露

根據(jù)ZDNet消息4400萬巴基斯坦移動用戶的詳細信息遭泄露，而這只是是1.15億用戶的一部分。ZDNet對泄露文件的分析，該軟件包數(shù)據(jù)包含個人可識別信息、電話相關(guān)信息、家庭用戶和本地公司的詳細信息。其中包括：客戶全名、家庭住址（城市，地區(qū)，街道名稱）、國家身份證號（CNIC）、手機號碼、座機號碼。