譯者 | 晶顏

審校 | 重樓

零日威脅正變得比以往任何時候都更加危險。5月底至6月初，惡意行為者通過零日攻擊接管了眾多名人和品牌的TikTok賬戶。用戶聲稱在打開一條私信后便喪失了賬戶的控制權。而用于攻擊的惡意軟件能夠在用戶不下載或安裝任何程序的情況下感染設備。

目前尚不清楚此次事件的損害程度。TikTok發言人亞歷克斯·豪雷克（Alex Haurek）表示，被入侵的賬戶數量“非常少”，但他也拒絕提供具體數字。據悉，TikTok方面一直在與受影響帳戶的所有者合作，恢復其訪問權限，并采取措施確保問題不再發生。

從邏輯上講，即便擁有大量資源的大型組織也可能淪為零日攻擊的受害者，那么資源有限的小型企業則處于更脆弱的位置。這強調了最大限度地集成DevOps和安全性的重要性。

零日漏洞的威脅

零日漏洞是指軟件中那些尚未發現、識別和分析的安全缺陷或問題。沒有人知道它們的存在，更不用說它們的運行原理了。沒有任何可用的安全補丁能夠解決這些問題，因此，當有人發現它們時，通常可以不受阻礙和限制地發動攻擊。大多數現有的網絡防御措施往往對此類攻擊無效。

TikTok只是受到零日攻擊的主要組織之一。2017年，微軟遭遇了MS Word零日漏洞攻擊，導致個人銀行賬戶被盜。2020年，在蘋果的iOS系統中發現了至少兩個零日漏洞，允許惡意行為者進行遠程攻擊。同年，廣受歡迎的視頻會議平臺Zoom遭受嚴重的零日攻擊，允許攻擊者控制設備并訪問文件。

然而，缺乏有關漏洞的信息并不意味著沒有辦法檢測、阻止和緩解它們。零日漏洞是可以阻止的，或者至少可以通過正確的策略和解決方案加以緩解。雖然零日漏洞并不容易解決，但正確的策略可以顯著增加威脅行為者的攻擊難度。而阻止它們最好的方法之一就是通過DevSecOps。

現代IT安全的基礎

在過去的幾年里，DevOps一直是軟件開發領域最受歡迎的流行語，但在優化軟件開發過程和加快上市時間的權衡中，安全性顯然是不容忽視的。網絡威脅正變得越來越復雜且極具侵略性，開發人員參與構建網絡保護已成為必要舉措。

單獨的審查解決方案通常不能立即處理軟件代碼本身的問題。考慮到這一點，開發人員最適合從底層開始強調安全性的實踐，同時保持高可交付性。

首先，開發人員可以采用“左移”原則，將安全測試工具和過程集成到CI/CD管道中。他們可以在開發階段識別和處理漏洞，將其作為標準例程的一部分，而不是進行單獨的安全測試。這大大消除了軟件部署之前的安全問題。

其次，開發人員也可以按照OWASP安全編碼實踐和開放項目（Open Project）的安全編碼實踐等指南或標準來實現安全編碼。這也被稱為“設計安全”（security by design）原則，要求開發人員在其中構建專門針對已知和未知漏洞的彈性軟件。

此外，DevOps團隊可以實現連續的漏洞掃描，以不斷檢查其代碼中可能存在的安全缺陷。這涉及到在整個開發流程中使用漏洞掃描工具。此舉需要額外的成本，但安全回報也是無可爭議的。實時檢測漏洞的能力確保了快速修復和補救，防止威脅參與者發現和利用漏洞。

DevOps團隊還可以利用基礎設施即代碼（IaC）來簡化云環境管理。IaC支持通過代碼配置提供基礎設施，這使得在部署之前迭代安全配置和檢查代碼中的問題變得更加容易。安全實踐融入到代碼中，可以確保安全標準和機制的同步實現。

同時，DevOps團隊可以利用容器化和微服務架構來隔離應用程序，并使其更容易應對零日攻擊。這些措施不一定能防止“零日”的出現，但它們有助于控制和解決問題。每個容器都在孤立的環境中運行，這意味著如果漏洞被利用，危害可能僅限于受影響的容器。此外，為受影響的容器打補丁并進行取證將更快，以確保在其他容器中不會再次出現相同的問題。

DevSecOps最佳實踐

一個成功的DevSecOps策略需要的不僅僅是工具。將安全軟件和測試集成到整個開發過程中是不夠的。組織還應該考慮最佳實踐，如持續監控、定期測試和審核，以及員工教育。

重要的是要使用能夠持續監控的安全工具，包括能夠全面監控安全問題開發過程的自動化和人工智能驅動的服務。人工智能還可以為強大的漏洞警報系統提供動力，通過結合上下文來避免安全信息過載，并確保最重要和緊急的警報不會被掩蓋在無關緊要的細節之下，例如誤報和低風險事件的日志。

需要強調的是，安全審計和測試與持續監視是不同的。審計和測試是定期進行的，它們針對的是特定的領域或功能。持續監視則是一個正在進行的過程，它可以揭示趨勢和即時辨認的漏洞，但是這些過程不像定期滲透測試那樣徹底和深入。

最后，DevOps團隊應該在安全性能優化方面具有較高的熟練程度。這需要他們接受培訓，并與安全團隊密切合作。

結語

未來，零日攻擊的實例不太可能減少。組織應該清楚地認識到威脅行為者在尋找和利用漏洞方面正變得越來越狡猾和具有攻擊性，并為此做好準備。擁抱DevSecOps是非常重要的舉措，這可能需要對許多組織進行范式轉變。組織需要觀察新的實踐，并投資于新的工具和流程，以主動和更有效地解決與零日漏洞相關的安全問題。

雖然DevSecOps很難做到萬無一失，但如果組織集成了他們的安全工具，簡化了他們的安全流程，實現了持續的監控，并進行了定期的滲透測試和安全審計，那么他們肯定有更好的機會避免不可預測的安全問題。

原文標題：How DevSecOps Can Combat Zero-Day Threats，作者：Annie Qureshi