2022年，大量企業(yè)組織開始關(guān)注AppSec（應(yīng)用程序系統(tǒng)的安全性），并將其作為保障組織數(shù)字化轉(zhuǎn)型發(fā)展的推動(dòng)因素。而在此前，AppSec往往被視為阻礙業(yè)務(wù)系統(tǒng)快捷運(yùn)行的一種障礙。通過正確實(shí)施AppSec計(jì)劃，不僅可以保障企業(yè)業(yè)務(wù)的穩(wěn)定開展，而且可以避免安全攻擊導(dǎo)致的財(cái)產(chǎn)和商譽(yù)損失。不過有安全研究人員表示，為了在2023年提高應(yīng)用程序的安全性，企業(yè)組織應(yīng)該為AppSec制定專門的事件響應(yīng)計(jì)劃。

AppSec威脅形勢(shì)嚴(yán)峻

2022年初爆發(fā)的Log4j漏洞，讓很多企業(yè)陷入了業(yè)務(wù)系統(tǒng)應(yīng)用防護(hù)的困境，這突出表明了目前大多數(shù)的組織還不熟悉應(yīng)用程序的構(gòu)成組件，也沒有找到在應(yīng)用開發(fā)過程中保證安全性的方法。據(jù)Sonatype最新發(fā)布的AppSec態(tài)勢(shì)研究報(bào)告研究認(rèn)為，2023年的AppSec威脅形勢(shì)將依然嚴(yán)峻，很多企業(yè)需要與不安全的應(yīng)用程序、脆弱的軟件組件以及易受攻擊的云服務(wù)開展斗爭。

報(bào)告數(shù)據(jù)顯示，軟件供應(yīng)鏈攻擊在2021年快速增長了633%，其中有41%的應(yīng)用程序組件還是易受攻擊的版本。與此同時(shí)，隨著企業(yè)組織將IT基礎(chǔ)設(shè)施遷移至云端，并采用更多的Web應(yīng)用程序，這導(dǎo)致對(duì)API使用快速增長，平均每家企業(yè)使用了15,600個(gè)API。這也使得企業(yè)中的員工成為可被利用的攻擊路徑。攻擊者可以通過勒索軟件、惡意軟件、網(wǎng)絡(luò)釣魚和詐騙等諸多手段，通過普通員工的人為錯(cuò)誤達(dá)成攻擊企圖。

在2022年，有83%的受訪企業(yè)遭受了基于電子郵件的網(wǎng)絡(luò)釣魚攻擊，這很容易導(dǎo)致憑據(jù)失竊，繼而危及Web應(yīng)用程序和云基礎(chǔ)設(shè)施。西班牙桑坦德銀行（Banco Santander）網(wǎng)絡(luò)安全研究全球主管Daniel Cuthbert認(rèn)為，通過一些非常簡單的社會(huì)工程技術(shù)就可以繞過企業(yè)多層應(yīng)用安全措施，實(shí)現(xiàn)訪問敏感數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的攻擊目標(biāo)，而對(duì)此的防范措施還很不完善。

除此之外，攻擊者還專注于通過在網(wǎng)絡(luò)邊緣運(yùn)行的許多安全控制來鎖定應(yīng)用程序。在2022年舉行的Black Hat Asia會(huì)議上，研究人員就展示了通過WAF設(shè)備漏洞進(jìn)行入侵攻擊的方法。而在2021年12月，網(wǎng)絡(luò)安全公司Claroty也同樣演示了如何使用JSON繞過五款主流WAF產(chǎn)品進(jìn)行模擬攻擊。

制定專屬事件響應(yīng)計(jì)劃

隨著AppSec威脅變得越來越普遍，企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該在應(yīng)用系統(tǒng)安全事件響應(yīng)方面做得更好。通過制定專門的AppSec事件響應(yīng)計(jì)劃，企業(yè)可以更好地應(yīng)對(duì)AppSec威脅，為各種可能出現(xiàn)的應(yīng)用系統(tǒng)攻擊做好準(zhǔn)備。主要原因包括：

• 軟件開發(fā)成為新的攻擊面：由于軟件系統(tǒng)的研發(fā)速度不斷加快，開發(fā)人員成為一個(gè)重要的攻擊目標(biāo)。根據(jù)供應(yīng)鏈攻擊防護(hù)的要求，企業(yè)安全團(tuán)隊(duì)需要對(duì)業(yè)務(wù)有更深入的了解，他們必須能夠展示出具備數(shù)據(jù)管理和評(píng)估安全問題的領(lǐng)導(dǎo)力，而不是在安全攻擊發(fā)生后成為研發(fā)部門的負(fù)擔(dān)；
• 大規(guī)模災(zāi)難事件：供應(yīng)鏈攻擊通常是大規(guī)模災(zāi)難事件，可能在一次“攻擊”中影響數(shù)千個(gè)組織。標(biāo)準(zhǔn)的安全事件響應(yīng)計(jì)劃通常不適用于需要外部協(xié)商的大規(guī)模應(yīng)用系統(tǒng)安全事件。外部的安全專家們此時(shí)可能已經(jīng)不堪重負(fù)，而企業(yè)組織卻無法承擔(dān)響應(yīng)延遲的后果與損失；
• AppSec還是一個(gè)不成熟的領(lǐng)域：AppSec的重要性直到最近才得到企業(yè)組織的關(guān)注，這也是安全團(tuán)隊(duì)必須正視的客觀現(xiàn)象，因此很多安全人員對(duì)這類威脅的認(rèn)知并不全面。如今，隨著應(yīng)用程序攻擊面不斷擴(kuò)大并在全球范圍內(nèi)相互交織，可用的解決方案和專有技術(shù)在能力上仍然存在不足；
• 攻擊者并不需要先進(jìn)的技術(shù)：由于企業(yè)缺乏足夠的工具來保護(hù)行業(yè)免受供應(yīng)鏈風(fēng)險(xiǎn)的影響，并且現(xiàn)有的安全工具仍然不夠完善。這對(duì)攻擊者而言是非常有利的，一旦攻擊成功，他們可以從數(shù)千個(gè)組織獲得重要數(shù)據(jù)，而非一個(gè)組織。在防御方面，組織對(duì)通過CI/CD構(gòu)建的應(yīng)用系統(tǒng)缺乏可見性，對(duì)開發(fā)過程的可見性更少，這使得保護(hù)AppSec非常困難。

事件響應(yīng)是一項(xiàng)專業(yè)的工作，涉及大量的資源和策略，并非一蹴而就的，每個(gè)AppSec事件響應(yīng)計(jì)劃都只適合特定的組織。以下是針對(duì)惡意應(yīng)用系統(tǒng)攻擊（如ESLint攻擊）的基本AppSec事件響應(yīng)清單示例：

1. 檢查CI日志，查看惡意包的具體使用情況；
2. 識(shí)別被惡意代碼獲取到訪問權(quán)限的資產(chǎn)；
3. 識(shí)別所有可能受到損害的憑據(jù)，并在相關(guān)環(huán)境中更新/輪換所有憑據(jù)；
4. 識(shí)別所有提交了惡意包的相關(guān)開發(fā)人員，輪換相關(guān)憑據(jù)，并讓安全或IT部門對(duì)其工作站進(jìn)行調(diào)查；
5. 通知研發(fā)部門（R&D）存在惡意包嫌疑，相關(guān)密鑰需要盡快輪換；
6. 審計(jì)對(duì)組織資產(chǎn)的所有訪問。識(shí)別任何表明憑據(jù)使用被破壞的異常情況。在初始事件響應(yīng)之后繼續(xù)執(zhí)行此步驟；
7. 在采取以上步驟的同時(shí)，企業(yè)管理層應(yīng)該考慮并起草一份針對(duì)攻擊事件的公開回應(yīng)，并讓所有利益相關(guān)者和部門參與進(jìn)來，共同完成后續(xù)的事件處置工作。

參考鏈接：

??https://www.darkreading.com/application-security/appsec-threats-deserve-their-own-incident-response-plan??

??https://www.darkreading.com/application-security/internet-appsec-remains-abysmal-requires-sustained-action-in-2023???