- web安全已死
- Security Mesh
- 可靠与安全性 SRS
- 蓝盒 TMAST
- 权限和访问控制 IAM
- 数据类应用的安全性 Data Appsec
- 基础架构安全 BeyondProd
- 并不仅仅是默认安全,强制安全 Enforce Security
- 安全访问代理 Access Security Broker
- 可证明的安全性 FVS,Formal Verification
- 应用编排和安全响应 DOAR
Web安全已死
从基础的信息化阶段,到移动互联网,到产业互联网、物联网,以至于未来的人工智能化大发展,产业技术的发展促使应用安全领域近年来逐步受到越来越多的重视。我们必须意识到传统的web安全技术已经逐步落实,应用安全行业在下一个时间将会有巨大的变革。
SDL还是DevSecOps?应用安全人员前景怎样?未来应用安全市场需求究竟在哪?现在的建设是否满足未来的需求?
近日,安全乐观主义在研判分析近几年网络安全政策、学术、技术和产业发展的现状,预测出应用安全领域十大发展趋势,并为安全圈抢先发明对应的新名词:)
趋势1:Security Mesh
微服务和混合云打破了基于边界的安全模型,Security Mesh理念是指重新定义网格之间异构的信任关系,这同时也将影响现有的集中安全软件类研发和部署,各项安全控制措施将拆分为紧靠业务的微服务体系。
趋势2:可靠与安全性 SRS
Secure and Reliable Systems成为创新企业对安全运维提出的最低要求,无意的可靠性故障和有意导致的安全漏洞被视为同一类风险,这意味的应用安全人员的职责需要改变。原有的系统安全工程师、应用安全工程师、开发工程师技能模型进一步得到合并并催收出此类新安全岗位,Security Chaos Engineer,安全混沌工程师岗位应运而生。(笔者似乎是国内第一位踩坑的安全人员......)
趋势3:蓝盒 TMAST
蓝盒指代Threat Modeling Application Security Testing威胁模型驱动的应用安全测试。TMAST将成为既黑盒DAST、白盒SAST、灰盒IAST后,应用安全的又一主流安全测试方法。
趋势4:权限和访问控制 IAM
自从越权漏洞成为了各大SRC的主流高危漏洞后,人和技术的技能栈没有跟上攻防趋势的发展,IAM 提供了可理解的身份,身份验证和访问控制,任何系统都应该能够识别谁有权访问哪些资源,尤其是在资源高度敏感的情况下,企业的强烈需求加速为市场领域创新者提供红利。
趋势5:数据类应用的安全性 Data Appsec
安全是数据的共享是数据开发、利用和增值的重要一环,除了传统的数据安全继续发展以外,应用安全领域也将关注数据处理类服务的创新应用如大数据任务、BI、函数服务、边缘计算、算法的安全性评估和建设。
趋势6:基础架构安全 BeyondProd
基础服务具备种类多、结构复杂、体系结构复杂等特性,随着传统应用安全领域将从“轻管控、重检测、快响应”发展到“轻检测,重基础,自动响应“,具体参考BeyondProd、Istio项目白皮书(可恶,这个英文单词被谷歌先抢了)。
趋势7:并不仅仅是默认安全,强制安全 Enforce Security
内生、默认安全还不够。仅在设计和开发阶段都考虑安全性是不够的,对于软件生命周期来说,安全本身就是一个正在进行的项目,而这项工作永远不会完成,软件的韧性,抗摧毁性得到重视。强制安全的预期目标是确定性地降低未来漏洞的风险和影响。
趋势8:安全访问代理 Access Security Broker
ASB理念是检测和预防的关键技术,类似于将使用者关在盒子里,更多的代理功能将应用在各个用户、云服务、存储之间,提供了大量检测、分析、记录。增加个代理对于安全好处多多。
趋势9:可证明的安全性 FVS,Formal Verification
可形式化证明的安全性理论与方法研究预计得到业界重视,可被数学方式证明的安全产品、安全架构在关键基础设施将得到重视,并同安全智库形成“产、学、研”结合的新风向。安全建设的指标会是什么?不再是漏洞数量、修复比例、产品是否建设、蓝军case覆盖度的感性概念,而是转换为网络安全学科公理的证明。
趋势10:应用编排和安全响应 DOAR
数据分析驱动的应用安全将进一步提升自动化能力,并集成到研发流程,统称为Develop Orchestration、Automation, and Response ,自动化的工具辅助安全人员从审核、运营中脱离出来,开始精细化管理安全场景,形成短期应急响应,中期安全持续改进,长期安全变革提供动力。
如果你有什么新的想法,欢迎同小编留言交流哦~