新思预测2019年软件安全趋势
刚刚过去的2018年,云计算、人工智能(AI)、机器学习(ML)、物联网(IoT)和大数据获得了极大进展,但同时也出现了一系列与安全有关的事件:万豪酒店数亿数据泄露、英特尔处理器的“Meltdown”(熔断)和“Spectre” (幽灵)漏洞、台积电因新机床被“感染”导致苹果生产线停产……随着云计算、人工智能(AI)、机器学习(ML)、物联网(IoT)和大数据等技术的进一步演进,相关的安全隐患也越来越多。
近日,新思科技发布了对2019年软件安全行业的预测,软件质量与安全部门高级安全架构师杨国梁表示,这些新技术其实也都是软件驱动的,其中不少软件仍然是在没有正式标准和流程的情况下编写,软件设计和标准的安全性亟待规范。
更多特定领域的安全标准将出现
“开源已经持续了很长时间,预计2019年,更多的信任将放在基于开源软件的通用构建模块中,而垂直领域软件开发标准将更快出现。”杨国梁分析,金融服务、区块链以及移动解决方案安全性等领域,或可能出现由垂直市场组成的联盟,以建立更多面向特定领域的安全标准,并改善信任和互换性,其中大部分可以基于开源组件构建。
此外,随着经济的增长,各大企业也面临着新的竞争压力,新的云环境正在改变企业部署App的方式,因此,企业需要在App应用和软件安全方面保持警惕,预计将会有更多投资放在云端安全上,给员工普及应用安全和软件安全的概念以及这方面的培训需求也会越来越多。
AI和ML将为网络安全做更多
AI(人工智能)和ML(机器学习)对人们生活的渗透越来越广,在软件安全和网络安全方面,两者的表现很让人期待。
杨国梁分析,网络安全很重要的一部分是数据关联和分析,这需要具备基于多个不同的数据源(犹如海底捞针)来查找单个威胁和威胁活动以及执行威胁行动者归因的能力。
AI/ML可以通过数据建模和模式识别来提高以上过程的速度、规模和准确性。但从目前来看,对于这种模型的准确性还没得到权威性认证,需要开发人员将更多时间和投入完善数据模型和模式识别,以确保AI/ML技术能够有效提升软件安全。
杨国梁认为,实现AI/ML的真正愿景,可能还需要几年的时间。
IoT攻击仍然是一个困扰
在亚太地区,许多国家正在推进智慧城市和智能国家计划。这也为新一轮的IoT网络攻击提供了机会。新思科技认为,不法分子可以利用数据中毒进行攻击,其中的错误信息将通过部署在目标城市或全国范围内的传感器影响决策。此外,医疗、零售、酒店等行业正成为黑客攻击的重要领域,因为这些行业收集的数据价值正在增加。