首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >应用安全的下一个十年

应用安全的下一个十年

作者头像
安全乐观主义
发布2021-07-14 14:12:32
4270
发布2021-07-14 14:12:32
举报
文章被收录于专栏:安全乐观主义安全乐观主义
  • web安全已死
  • Security Mesh
  • 可靠与安全性 SRS
  • 蓝盒 TMAST
  • 权限和访问控制 IAM+
  • 数据类应用的安全性 Data Appsec
  • 基础架构安全 BeyondProd
  • 并不仅仅是默认安全,强制安全 Enforce Security
  • 安全访问代理 Access Security Broker
  • 可证明的安全性 FVS,Formal Verification
  • 应用编排和安全响应 DOAR

Web安全已死

从基础的信息化阶段,到移动互联网,到产业互联网、物联网,以至于未来的人工智能化大发展,产业技术的发展促使应用安全领域近年来逐步受到越来越多的重视。我们必须意识到传统的web安全技术已经逐步落实,应用安全行业在下一个时间将会有巨大的变革。

SDL还是DevSecOps?应用安全人员前景怎样?未来应用安全市场需求究竟在哪?现在的建设是否满足未来的需求?

近日,安全乐观主义在研判分析近几年网络安全政策、学术、技术和产业发展的现状,预测出应用安全领域十大发展趋势,并为安全圈抢先发明对应的新名词:)

趋势1:Security Mesh

微服务和混合云打破了基于边界的安全模型,Security Mesh理念是指重新定义网格之间异构的信任关系,这同时也将影响现有的集中安全软件类研发和部署,各项安全控制措施将拆分为紧靠业务的微服务体系。

趋势2:可靠与安全性 SRS

Secure and Reliable Systems成为创新企业对安全运维提出的最低要求,无意的可靠性故障和有意导致的安全漏洞被视为同一类风险,这意味的应用安全人员的职责需要改变。原有的系统安全工程师、应用安全工程师、开发工程师技能模型进一步得到合并并催收出此类新安全岗位,Security Chaos Engineer,安全混沌工程师岗位应运而生。(笔者似乎是国内第一位踩坑的安全人员......)

趋势3:蓝盒 TMAST

蓝盒指代Threat Modeling Application Security Testing威胁模型驱动的应用安全测试。TMAST将成为既黑盒DAST、白盒SAST、灰盒IAST后,应用安全的又一主流安全测试方法。

趋势4:权限和访问控制 IAM+

自从越权漏洞成为了各大SRC的主流高危漏洞后,人和技术的技能栈没有跟上攻防趋势的发展,IAM+提供了可理解的身份,身份验证和访问控制,任何系统都应该能够识别谁有权访问哪些资源,尤其是在资源高度敏感的情况下,企业的强烈需求加速为市场领域创新者提供红利。

趋势5:数据类应用的安全性 Data Appsec

安全是数据的共享是数据开发、利用和增值的重要一环,除了传统的数据安全继续发展以外,应用安全领域也将关注数据处理类服务的创新应用如大数据任务、BI、函数服务、边缘计算、算法的安全性评估和建设。

趋势6:基础架构安全 BeyondProd

基础服务具备种类多、结构复杂、体系结构复杂等特性,随着传统应用安全领域将从“轻管控、重检测、快响应”发展到“轻检测,重基础,自动响应“,具体参考BeyondProd、Istio项目白皮书(可恶,这个英文单词被谷歌先抢了)。

趋势7:并不仅仅是默认安全,强制安全 Enforce Security

内生、默认安全还不够。仅在设计和开发阶段都考虑安全性是不够的,对于软件生命周期来说,安全本身就是一个正在进行的项目,而这项工作永远不会完成,软件的韧性,抗摧毁性得到重视。强制安全的预期目标是确定性地降低未来漏洞的风险和影响。

趋势8:安全访问代理 Access Security Broker

ASB理念是检测和预防的关键技术,类似于将使用者关在盒子里,更多的代理功能将应用在各个用户、云服务、存储之间,提供了大量检测、分析、记录。增加个代理对于安全好处多多。

趋势9:可证明的安全性 FVS,Formal Verification

可形式化证明的安全性理论与方法研究预计得到业界重视,可被数学方式证明的安全产品、安全架构在关键基础设施将得到重视,并同安全智库形成“产、学、研”结合的新风向。安全建设的指标会是什么?不再是漏洞数量、修复比例、产品是否建设、蓝军case覆盖度的感性概念,而是转换为网络安全学科公理的证明。

趋势10:应用编排和安全响应 DOAR

数据分析驱动的应用安全将进一步提升自动化能力,并集成到研发流程,统称为Develop Orchestration、Automation, and Response ,自动化的工具辅助安全人员从审核、运营中脱离出来,开始精细化管理安全场景,形成短期应急响应,中期安全持续改进,长期安全变革提供动力。

如果你有什么新的想法,欢迎同小编留言交流哦~

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2021-06-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安全乐观主义 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Web安全已死
  • 趋势1:Security Mesh
  • 趋势2:可靠与安全性 SRS
  • 趋势3:蓝盒 TMAST
  • 趋势4:权限和访问控制 IAM+
  • 趋势5:数据类应用的安全性 Data Appsec
  • 趋势6:基础架构安全 BeyondProd
  • 趋势7:并不仅仅是默认安全,强制安全 Enforce Security
  • 趋势8:安全访问代理 Access Security Broker
  • 趋势9:可证明的安全性 FVS,Formal Verification
  • 趋势10:应用编排和安全响应 DOAR
相关产品与服务
手游安全测试
手游安全测试(Security Radar,SR)为企业提供私密的安全测试服务,通过主动挖掘游戏业务安全漏洞(如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的手游安全漏洞挖掘技术,杜绝游戏外挂损失。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档