2019年01月14日 | 新思科技关于2019年软件安全行业的几点预测

近日，新思科技软件质量与安全部门举办2019年初发布会，公司高级安全架构师杨国梁向业界总结了新思科技2018年软件行业的安全回顾以及2019年公司在软件安全行业上的动向。

其中，最大的动向当属新思科技将在2019年整合公司所并购的各类质量与安全类产品，整合出一套基于公有云的安全测试平台，包括Coverity，Black Duck等产品都会整合。

此外，杨国梁表示，新思科技2019年将会继续专注于汽车、金融、物联网、嵌入式等行业。

新思科技软件质量与安全部门高级安全架构师杨国梁

一、汽车行业对于软件安全的要求

对于汽车来说，随着车联网越来越普及，大家的关注点也从单纯的Safety变成cyber security。国际组织（ISO／SAE）正进行21434（道路车辆－信息安全工程）标准的制定，预计2019年底前会公布。

汽车软件不再局限使用于汽车内部的少数零部件，而是变得复杂和相互连接。面向消费者的功能不断推陈出新，促使了非结构化的软件的增加，如果任其发展，就会导致组装汽车面临不可预见的安全漏洞，甚至给用户带来人身安全威胁。
 
汽车变得相互连接，一致性的系统以及抵御恶性攻击的软件安全防护成为迫切需要。因此，司机希望在享受汽车多种新功能的同时，也能确保安全性达到同等水平。
 
目前，仅普通汽车就包含多达70个电子计算单元(ECU)。此外，还有超过1亿行代码，这几乎是MicrosoftOffice 2013代码的两倍之多。更高端的车型还拥有更高的计算能力。
 
在中国，车联网发展潜力巨大，无人驾驶、半自动驾驶以及智慧汽车将成为市场的主流。预计到2030年，汽车联网率将接近100%。
 
从软件开发之初就加强安全以有效保护连网功能

每一个连网功能都有可能成为恶意攻击的对象，这些功能包括远程无钥匙进入系统、远程启动功能和GPS应用等。
 
手提电脑、智能手机或者企业网络都面临着安全漏洞威胁，汽车亦然。但是，汽车遭遇恶意攻击的后果会更加严重，不仅威胁到驾驶员、乘客以及其他行人的安全，还会增加盗窃的风险，并且有可能对制造商的声誉造成损害。

幸运的是，有许多先进的工具可用来满足汽车行业的软件测试需求，其中就包括：
 
静态代码分析
 
畸形输入测试（模糊测试）
 
软件组成分析
 
然而，应用安全测试只是一个起点，并不是终点。软件安全计划(SSI)是软件开发商用来降低风险、构建安全软件的一种途径。同时也有一些工具可以帮助汽车制造商评估其SSI的有效性。软件安全构建成熟度模型BSIMM就是这样一款工具之一。
 
汽车制造商应该建立一个与人身安全风险管理一致的软件安全风险管理流程。新思采取一种整体的方法来设计、构建和维护安全软件，新思将这一概念称为“内置完整性”（Building SecurityIn），通过提供了一套全面的软件安全性和质量解决方案组合，并以专业服务的方式来交付，这些服务包括：
 
架构与设计/威胁建模：发现缺失的/弱化的安全控件，了解设计最佳实践，解决安全性和质量方面的缺陷。

CI/CD：在正确的时间、正确的层次，采用正确的工具和流程，把安全性和质量分析固化到您的开发流程中。

云计算：为部署到云端的应用开发提供可持续的软件完整性计划。

IoT/ 嵌入式设备：通过分析访问向量（包括通信、客户端和服务器）来发现软件缺陷。
 
新思科技软件质量与安全平台助力制造商符合ISO 26262安全标准

杨国梁表示，汽车行业的供应链非常复杂，所以新思希望打造汽车行业的一个安全标准或指南，让所有供应商都有统一的标准，可以方便所有供应商更顺畅的交流与合作。目前，已有包括OEM和Tier1厂商在内的多家公司和新思开展了软件安全与质量控制相关合作。

二金融业

金融服务机构经常部署复杂的应用程序，与采用不同语言的分布式地理信息系统连接。它们通过多种协议进行通信，其中一些使用的是多个平台提供的免费开源软件。

这种复杂性使金融服务机构的网络面临更多漏洞。更糟糕的是，市场压力迫使软件行业要更快交付产品。在急于完成一个软件时，安全流程极有可能就被忽视了。

金融行业是黑客的重点攻击对象之一，从ATM攻击、DDoS攻击、勒索软件到APT攻击等，犯罪手段层出不穷。

对此，新思给出了五大建议

1. 软件安全架构
2. 威胁建模
3. 自动安全测试
4. 手动安全测试
5. 专业人员与培养计划

三、物联网与嵌入式

在网络的世界里，这种不靠谱也会发生在一些“有智慧”的物体上。在现代家庭中，很多设备在某种程度上来讲都是智能的。

这些设备出奇地方便，可以响应远程命令，当出现问题或者即将出错时，会向你发出警告，或者只是提醒你牛奶快喝完了。

但是，大多数设备因为不安全而遭人诟病。它们容易遭到黑客的攻击，往往也需要特定的对策。这种情况下，软件漏洞甚至无法修补。

如果你想避免智能家居将隐私和人身安全置于危险之中，那么你必须采取措施来防止成为“易攻击目标”。 

以下是一些你可以做也应该做的事情。你不需要是一名技术人员，你只需要投入一些时间或者是资金。这些是非常基本的安全基础。新思科技首席顾问Larry Trowell和产品市场总监Ofer Maor以及Agelight咨询集团董事总经理CraigSpiezle给大家建议了一些相关预防措施：

不要使用默认密码
使用下一代防火墙
为你的智能设备创建第二个访客网络
更新路由器固件
列出设备清单
考虑设备管理服务
考虑使用UTM（统一威胁管理）设备

杨国梁表示，对于嵌入式系统来说，随着物联网的普及，从前的信息孤岛将会联网，联网之后很容易发现系统的脆弱。随着系统越来越庞大，软件越来越臃肿，没有针对嵌入式进行精简，同时也没有针对安全问题进行扩展接口的防护，这都是易受攻击的点。

杨国梁认为，提升安全意识是开发人员首先需要做到的，为此新思科技提供了相应的培训，从设计标准角度就可以体现对于安全问题的关注，从设计层面规避安全相关。除了安全意识培训之外，对于编码工具的实时约束、上线之后的安全应急响应等都需要进行考虑。

四、开源软件成为安全重点

新思2018年年中曾经发布了《2018 年开源代码安全和风险分析》（OSSRA）报告。该报告分析了2017年经过审计的1,100多个商业代码库中的匿名数据，研究的行业包括汽车、大数据、网络安全、企业软件、金融服务、医疗保健、物联网（IoT）、制造业和移动应用市场。该报告的审计数据由黑鸭子软件公司（Black Duck Software）收集和整合。新思科技已于2017年12月完成对黑鸭子软件公司的收购。

该报告突出显示了开源代码的使用量持续大幅增长，其中96%的被扫描应用中存在开源组件。数据还显示在每个代码库中平均有 257个开源组件，比2017年的报告数据增长了75%。现在许多应用中包含的开源代码多于专有代码。令人担忧的是，78%被检查的代码库中至少包含一个漏洞，每个代码库平均包含 64个漏洞。这些代码库的漏洞中，超过54%被认为属于高风险漏洞。17%的代码库包含某种常见漏洞，如 Heartbleed、Logjam、 Freak、Drown 和 Poodle。

杨国梁认为，随着开源软件应用井喷，基于此产生的安全问题越来越多。实际上在Gartner发布的2018年度十大安全项目中，就有自动化安全扫描项目，尤其是开源软件成份分析一条。

最后，杨国梁表示，如今的安全与防护更偏向外部，资源也都大多投入在边界防护、抗攻击和入侵检测等方面，但实际上如何让软件的健壮性安全性更强，不依赖外部保护，才是最核心的价值所在。[page]

五、2019年软件安全预测

为了更好地推动软件安全的发展，新思科技给出了如下预测，这些预测将有助于企业保持警惕，最大限度地减少软件安全风险。

设计和标准的安全性

大部分软件仍然主要是在没有正式标准和流程的情况下编写的。与构建桥梁不同，软件开发并不是标准化、可重复的工作。开源持续了很长时间，现在已经司空见惯。可以想象，更多的信任将放在基于开源软件的通用构建模块中。此外，垂直领域软件开发标准将更快出现。

当生命依赖于正确的软件执行时，我们会将更多的努力放在标准、可审计性和问责制上，这一点在汽车和飞机内的安全关键系统上已经得到充分证实。这些标准可能是自下而上的，也可能是由政府监管的。金融服务、区块链以及移动解决方案安全性等领域也有机会执行这样的标准。

2019年，我们可能看到垂直市场组成联盟，以建立更多面向特定领域的安全标准，并改善信任和互换性。其中大部分可以基于开源组件构建。

继续向云迁移

随着经济的增长，各大企业也面临着新的竞争压力。这迫使企业需要重新武装自己。数字化如火如荼，新的云环境也正在改变企业部署APP的方式。因此，企业需要在APP应用和软件安全方面保持警惕。

我们预计将会有更多投资会放在云端安全上。此外，给员工普及应用安全和软件安全的概念以及这方面的培训需求也会越来越多。

AI和ML渗入到我们生活

很多人会意识到AI和ML已经在他们周围出现，对生活、家庭、健康及工作的决策等都有影响。

那AI/ML能为软件安全和网络安全做什么呢？这让人期待。网络安全很重要的一部分是数据关联和分析。这就需要具备基于多个不同的数据源（犹如海底捞针）来查找单个威胁和威胁活动以及执行威胁行动者归因的能力。

AI/ML可以通过数据建模和模式识别来提高以上过程的速度、规模和准确性。然而，很多刊出的文章都对此表示怀疑和担忧。有的时候，企业可能会有一种安全的假象，但是事实并非如此。我们还需要更多时间和投入完善数据模型和模式识别，以确保AI/ML技术能够有效提升软件安全。

我们应该期待看到大公司继续投资AI/ML技术。与此同时，宣传AI/ML能力的初创企业也将在2019年继续崛起。但是，可能还需要几年时间才能完全实现AI/ML的真正愿景。

IoT攻击仍然是一个困扰

在亚太地区，许多国家正在推进智慧城市和智能国家计划。这也为新一轮的IoT网络攻击提供了机会。不法分子可以利用数据中毒进行攻击，其中的错误信息将通过部署在目标城市或全国范围内的传感器影响决策。

我们还将看到一些旧问题仍然存在：硬编码凭证和未修补的组件，没有良好设计的空中下载技术(OTA)更新以及持续更新策略。

针对医疗和零售业的攻击将增多

原因是这些行业正在收集的数据的价值正在增加。我们必须进行投资以保护医疗、零售及其他行业的数据。需要再次强调的是：安全培训必不可少。

对开发人员使用第三方应用程序编程接口(API)的敏感性提高

它是绝大多数IT企业的盲点，类似于十年前的开源使用。大多数公司都了解确保他们发布的API免受外部攻击的重要性，但很少有公司会通过从内到外调用第三方API来跟踪他们自己的代码在Web服务的使用。

依赖第三方服务的方式还存在其它法律和业务风险。公司还必须考虑到他们可能无意中传递到防火墙外的未知和不受信任来源的机密数据。

从数据到决策

现在有许多质量和安全解决方案，每个都有自己的目的、优势和产生的数据。可能是渗透测试、日志监控和入侵检测，或自动化软件安全测试解决方案。虽然功能和技术不断发展，但它们也会创造出更多的信息和数据点。

我们很容易淹没在信息海洋中，而忽视了一些必需品。其实，关键是将这些数据融合在一起，以制定基于风险和业务的决策。一方面，我们面临的挑战在于“海底捞针”；另一方面，我们需要组合来自不同方法和域的数据，以了解整体状态。

2019年，我们需要的并不是更多数据，而是更好的决策支持。