近年資安攻擊事件氾濫,不少企業縱使佈建防火牆、WAF、EDR或SIEM等防禦機制,仍無法倖免於難;係因駭客善用AI或GenAI技術,加速洞悉企業資訊系統弱點,製作高殺傷力的攻擊程式,才讓企業防不勝防。因此各界呼籲企業積極落實DevSecOps、SSDLC,藉由軟體開發者與資安維運者的緊密協作,從源頭修正系統缺陷。
果核數位為響應DevSecOps與SSDLC價值主張,日前攜手新思科技(Synopsys Software Integrity Group)、朋昶數位科技、KPMG等專業夥伴,在高科技重鎮新竹地區舉辦「軟體安全開發x資安佈署」說明會,期盼協助在地廠商加速軟體開發和測試,一併落實資安控管。
果核數位資安營運處處長張懿慶表示,越來越多企業利用CI/CD管線加速實踐DevOps與Security整合,其態勢逐漸升溫;而當前多數開發者為提升交付速度與增進程式功能,大量引用開源套件與函式庫,因而誤觸陷阱或徒留弱點。著眼於此,果核期望結合夥伴力量,共同提出對應的實作建議。
朋昶數位科技產品發展處協理陳昶儒指岀,新竹為高科技聚落,是支撐臺灣經濟成長的重要引擎,因而淪為駭客優先攻擊目標;所以高科技製造企業急需透過軟體安全開發的角度,有效杜絕駭客襲擊。朋昶也為此持續擴大代理範疇,從標準軟體硬體買賣跨足DevSecOps產品與顧問服務經營,並與原碼檢測市場翹楚Synopsys Software Integrity Group 建立夥伴關係。
捍衛軟體開發安全,須掌握闖關要領並善用SAST
果核數位軟體開發安全部資安顧問林秉正率先開講,分享饒富趣味的「軟體開發安全的闖關者」議題。他引述Netflix「今際之國的闖關者」影集指出,開發者與資安人員遇到的情境與影片類似,經常要闖蕩茫茫未知難關。
他將多種情境設計成關卡,分別提出成功闖關建議。例如「原碼檢測的弱點被發現在第三方套件怎麼辦」,建議的解法包括使用適當的第三方套件檢測工具,並評估套件版本有無安全漏洞、侵權疑慮,以及有無修復版本,若沒有,即需評估漏洞風險可否被接受,並著手建立定期審核機制。。至於難度更高的「報告正確性」,建議解方為執行自動化檢測、定期更新規則、每次檢測時應整併已排除弱點、務必保留稽核軌跡...等多面向應對手段。
接棒開講的Synopsys資深銷售工程師楊智程,表示Software Integrity Group主要任務是確保軟體開發安全性,其提供的核心方案之一為靜態分析(SAST),旨在執行脆弱性檢測,驗證各項弱點是否造成資安風險。
SAST之所重要是因開發者身處第一線戰場,不容許因任何疏失造成產線停止、機密洩漏或供應鏈中斷,可謂任重道遠。因應日益複雜的合規要求與攻擊態樣,並且守護公司利益,開發者應將商用SAST工具納入,作為主動防禦軟體漏洞的策略之一,將它整合至CI/CD開發工作流程,發揮遠優於開源SAST或程式碼質量檢測工具的自動化整合、彈性佈署、高精度掃描等綜效,依據ISO 26262、OWASP Top 10、PCI DSS…等基準執行合規性/安全性風險分析,及早修復程式缺陷,確保生產環境軟體安全無虞。
追蹤管理代碼風險,守護資訊系統的「阿基里斯腱」
朋昶數位科技高級工程師陳茂齊,援引Synopsys開源風險分析報告指出,目前各行業使用開源軟體的比例高達96%,平均每家企業近八成程式碼都取材自開源,迫切需要建立良好機制,有效管理潛藏的惡意程式或授權(License)規範衝突。
以出口導向的高科技製造業為例,尤其需要建立軟體組成風險的分析能力,否則若等到向國外政府或客戶提交軟體物料清單(SBOM)時才被檢出缺失,將揹負沈重修復代價,此外也可能面對諸如「軟體相依混淆(Dependency Confusion)」等供應鏈攻擊。如何管理與追蹤此事?他建議採用Synopsys的軟體組成分析(SCA)工具Black Duck,針對專案中的元件執行維運風險(Operation Risk)評級,以利清理隱藏風險,並藉由定期掃描,持續匹配最新安全漏洞。
擔任壓軸講師的KPMG安侯企業管理股份有限公司執行副總經理林大馗,分享如何從重大事件中學習,及如何防範資訊系統的「阿基里斯腱」受傷、因而難以復健。首先他以SWIFT國際結算系統的資安事件為例,提醒企業需留意業務流程風險、系統開發暨API串接風險、網路風險等。
接著他以AI為例演繹阿基里斯腱,強調現今已因AI帶動駭客攻擊手法大翻新,包括從繞道潛伏轉為深度偽裝、從知識驅動轉為資料驅動、從多點突襲轉為精準攻擊、從專家創造轉為智慧製造;而AI的風險成因,可分為學習偏失、人為錯誤、技術缺陷、流程瑕疵、隱私侵害或決策誤用六大類。
與此同時企業亦需慎防自身AI系統遭受攻擊,例如防止ML程式碼被植入惡意代碼。他建議企業應導入Security by Design原則並優化系統開發程序,確實執行系統安全與隱私保護分析、威脅建模、隱私設計控制、安全測試、組態強化、元件更新等基本功。
總括而言,果核與夥伴期盼藉由軟體安全開發、資安佈署等知識與經驗分享,幫助企業強化安全防線,既可順利闖過軟體安全的重重難關,亦可打贏開源戰役、避免代碼中出現隱藏威脅。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-24