从RSAC看DevSecOps的进化与落地思考

随着云计算、微服务和容器技术的快速普及，不仅IT基础架构发生了巨大的变化，政企组织的业务交付模式也迎来巨大变迁。DevSecOps通过一套全新的方法论及配套工具链将安全能力嵌入到整个DevOps体系中，在保证业务快速发展的情况下实现安全内生和自成长。

DevSecOps的广泛应用将标志着软件供应链的安全保障进入到一个全新的时代，将安全作为管理对象的一种属性，从软件供应链开发早期开始进行全生命周期的安全管理，将彻底改善企业和机构在软件和IT基础设施的安全现状。

 如何逃离弱密码黑洞？

全球远程办公大潮中，一些企业安全的脆弱性问题被放大，全球数据泄露事件的频率和规模以肉眼可见的速度逐年递增，如果说身份与访问管理是数据安全的“重灾区”，那么“弱密码”则无疑是“震中”。

根据Verizon的《数据违规调查报告》，有81％与黑客相关的违规行为都利用了被盗密码或弱密码，只需一名员工的弱密码就可以撬开重兵把守、重金打造的企业网络安全防御体系。

以上调查是针对安全行业人士进行，普通企业员工的密码违规情况要比上面的数据严重得多！

 暗网流行数据报告，个人数据只值1美元

随着时间的流逝，网络犯罪分子已经改变了暗网市场的运营结构，目前主要是开始模仿大型零售商，比如亚马逊和eBay，提供搜索功能、电子商务和卖家评级等服务。

根据调查结果，欺诈指南是最常出售的数据类别（49％），其次是个人数据（15.6％），非金融账户和凭证（12.2％），金融帐户和凭据（8.2％），欺诈工具和模板（8％）和支付卡（7％）。一方面，网络犯罪分子可以物有所值的事实加剧了企业面临的风险。另一方面，组织经常忽视欺诈指南的负面影响，也给企业带来更大的数字风险。

 网络犯罪将成为第三大“经济”？

网络犯罪正在经历一次全球范围的工业化“革命”，网络犯罪组织们开始提供“正规”公司所做的一切：产品开发，技术支持，分销，质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划，这将使他们的买家在竞争者中占优势。黑客窃取军事机密，可再生能源创新知识产权等高价值信息。

有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作，并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据，开发者负责编写和更改恶意代码，以及“入侵专家”负责感染并渗透目标公司。

 美发布俄罗斯GRU网络攻击行动报告

美国情报界本周发布了一份综合报告，详细介绍了俄罗斯黑客近15年的网络攻击活动。与业界其他安全报告不同，本报告没有把调查重点放在单独某个事件上，而是将俄罗斯黑客活动与政治事件关联分析，详细说明了这些攻击事件为什么发生，而不是如何发生。报告中重点关注了俄罗斯军队情报部门的网络活动，该情报部门前身是GRU总情报局。GRU与俄罗斯政府情报部FSB不同，GRU为俄罗斯军事行动和克里姆林宫外交政策提供情报服务。据报告每个黑客组织都是俄罗斯情报部门内部不同的军事部门，专门负责执行网络攻击活动.

 SASE是一个什么样的黑科技

SASE是端到端安全。SASE平台上的所有通信都是加密的,包括解密、防火墙、URL过滤、反恶意软件和IP在内的威胁预防功能都被集成到SASE中，并且对所有连接的边缘都可用。

该技术刚被提出来，发展和成熟需要时间，而且这种规模的架构也不是一般组织能够承建的，报告中在概要中就说明了：为了实现低延迟地随时随地访问用户、设备和云服务，企业需要具有全球 POP 点和对等连接的 SASE 产品。

SASE身份是访问决策的中心，而不再是企业数据中心。这也与零信任架构和CARTA理念相一致，基于身份的访问决策。

 网络层绕过IDSIPS的一些探索

IDS工作在网络层，旁路部署，通过抓取和分析网络流量来发现攻击；IPS一般也是在网络层旁路，可以理解为具备阻断能力的IDS，是IDS的升级版（也有IDS检测到攻击通知阻断设备执行阻断动作的设备联动模式），可以覆盖网络层和应用层。IPS的旁路防护原理很简单，其经典代表如开源的Snort，就是在网络上分析流量，发现符合规则的流量则冒充服务端回包响应客户端实现阻断或者替换的目的，这是一种典型的链路劫持手法。常见的场景是封禁网站、篡改网页内容、阻断端口扫描和漏洞攻击（IPS），实施链路劫持的人必须控制某段网络。