iT邦幫忙

0

Cyber security -5 Module3 Vulnerability: Flaws in the system

vulnerability
yennefer 2025-05-30 04:26:01452 瀏覽

  • 分享至 

  • xImage
    •  

學習重點

  • common approach to vulnerability management: the defense and depth model.
  • how vulnerabilities are documented in online libraries like the CVE list.
  • attack surfaces security teams protect. And lastly, you'll expand your
  • common attack vectors cybercriminals try to exploit.

Vulnerability 脆弱性

Vulnerability is a weakness that can be exploited by a threat.

  • exploit被利用:In security, an exploit is a way of taking advantage of a vulnerability.
  • 重要性:有助於在威脅發生前防止問題。

Vulnerability Management(脆弱性管理)

Vulnerability management is the process of finding and patching vulnerabilities.

  • 定義:發現並修補脆弱性的過程。

  • 重要性:幫助保持資產安全,防止威脅成為問題。

  • 四個步驟 + 1:

    1. 識別脆弱性 (Identify Vulnerabilities)
    2. 考慮潛在利用 (Consider Potential Exploits)
    3. 準備防禦措施 (Prepare Defenses)
    4. 評估防禦措施 (Evaluate Defenses)
    5. When the last step ends, the process starts again.

  • 持續性循環 (Cycle):

  • 當步驟結束後,過程重新開始。Vulnerability management happens in a cycle.

  • 零日漏洞 (Zero-Day Exploits):

    • 定義:為之前未知的利用,立即發生,沒有修補時間。當一個漏洞被某人利用時,開發者沒有時間來修正,時間為零,因而稱之為「零日」。the exploit is happening in real time with zero days to fix it
    • 危險性:代表尚未規劃的威脅。

  • 多樣化的團隊 (Diverse Teams):

    • 有助於找到利用方式,但仍無法掌控所有情況。
    • 安全規劃 (Security Planning):
    • 依據容易被利用的脆弱性來保護資產。
    • 需要考慮潛在的利用方式 (Exploits)。
    • Besides finding vulnerabilities, security planning relies a lot on thinking of exploits.

CI/CD pipelines 的安全性

CI/CD概述

  • Continuous Integration (CI): 定期將代碼變更合併到中央代碼庫,觸發自動化建構和測試。
  • Continuous Delivery (CD): 確保代碼隨時準備好部署,經過自動測試和人工批准後自動部署到Testing/ staging臨時環境。
  • Continuous Deployment (CD): 自動將通過所有檢查的變更部署到production生產環境。

Why a secure CI/CD Pipelines is Non-Negotiable

  • Secure Automation: CI/CD 的安全自動化能減少人工錯誤、加速流程並確保安全,但若實施不當,可能大規模自動化引入漏洞。
  • Improved Code Quality Via Security Checks:通過在 CI/CD 中進行自動化安全測試,可提高代碼質量,減少最終軟件中的漏洞和安全問題,但前提是安全測試能有效整合進管道中。
  • Faster Time to Market for Security Updates:CI/CD加速釋出,縮短發布安全更新的時間,有助於快速滿足用戶需求及應對安全威脅,是完善的CI/CD管線的一項重要安全優勢。
  • Enhanced Collaboration and Feedback with Safety Focus:CI/CD 通過促進開發、安全、測試及運維團隊的協作,快速反饋幫助早期發現和解決漏洞,並在管道中主動構建安全性。
  • Reduced Risk: 持續整合/持續交付的頻繁小型發布比大規模罕見的發布風險更小。如果出現問題,包括安全問題,找出和解決問題將更容易。同樣的道理適用於安全漏洞;較小和頻繁的發布可限制單次發布中引入的安全漏洞的潛在影響,前提是安全監控和測試是持續的。
項目 內容
安全性優勢 自動化安全檢查(如DAST/Dynamic Application Security Testing (DAST) SQL 注入、跨站腳本 (XSS:合規性檢查)檢測運行中應用程式的漏洞。提高安全性。
安全性優勢 Security Compliance Checks:自動檢查以確保軟體符合組織的安全規範和政策。
安全性優勢 Infrastructure Security Validations:基礎設施安全驗證:確保托管您軟體的系統是安全的檢查措施。
加快安全更新的發布速度,促進團隊合作。
常見漏洞 Insecure Dependencies: 第三方庫的漏洞。Common Vulnerabilities and Exposures, or CVEs
Misconfigured Permissions: 不當的訪問控制。Role-Based Access Control (RBAC)
Lack of Automated Security Testing: 缺乏自動化安全測試。
Exposed Secrets: hardcode敏感信息。
Unsecured Build Environments: 不安全的構建環境。
最佳實踐 融入安全流程(DevSecOps)從開發到部署的每個階段。
實施強有力的訪問控制(如RBAC)。
自動化安全測試(SAST、DAST等)。
定期更新第三方依賴項,使用專用的秘密管理工具。

常見漏洞

脆弱點 問題描述 行動步驟
不安全的依賴項Insecure Dependencies 使用的第三方庫和組件可能導致已知漏洞。 定期掃描並更新依賴項,確保使用安全版本。
配置錯誤的權限Misconfigured Permissions 弱訪問控制可能使未授權訪問成為可能。 實施基於角色的訪問控制(RBAC)。
缺少自動化安全測試Lack of Automated Security Testing 未實施自動化安全測試將導致上線後的漏洞檢測不足。 集成自動化安全測試(SAST 和 DAST)到管道中。
暴露的秘密Exposed Secrets hardcode敏感數據將造成安全漏洞。 使用安全保管庫或專用的秘密管理工具來存儲敏感信息。
不安全的構建環境Unsecured Build Environments CI/CD 環境不安全將導致攻擊風險。 加固構建環境,使用安全容器或虛擬機以減少風險。

Building a Secure CI/CD Pipeline: Defense in Depth

事項
Integrate Security from the Start 在開發的每個階段嵌入安全性檢查。(DevSecOps) 是「Development(開發)」、「Security(安全)」與「Operations(運維)」的縮寫結合,代表一種將安全性無縫整合到軟體開發生命週期(Software Development Lifecycle, SDLC)中的文化、實踐與方法論
Implement Strong Access Controls 設定嚴格的訪問控制,使用MFA和RBAC。
Automate Security Testing Everywhere 自動化安全掃描和測試是構建和部署過程的基本部分。Static Application Security Testing」用於在應用程式的早期開發階段檢測源代碼中的漏洞與安全問題,透過分析應用程式的源代碼、二進制檔或者物件檔,而不需要實際執行程式
Keep Dependencies Updated Regularly update these components to patch security vulnerabilities (CVEs).定期更新第三方依賴,使用工具如Dependabot和Snyk。
Secure Secrets Management 不硬編碼敏感信息,使用專用的秘密管理工具 HashiCorp Vault or AWS Secrets Manager. 。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
iThome鐵人賽
參賽組數
400
團體組數
13
累計文章數
2855
最後報名日
9/15
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 17th鐵人賽 windows php c# windows server linux css react
熱門問題
熱門回答
熱門文章
IT邦幫忙