从RSAC看DevSecOps的进化与落地思考

随着云计算、微服务和容器技术的快速普及，不仅IT基础架构发生了巨大的变化，政企组织的业务交付模式也迎来巨大变迁。DevSecOps通过一套全新的方法论及配套工具链将安全能力嵌入到整个DevOps体系中，在保证业务快速发展的情况下实现安全内生和自成长。

DevSecOps的广泛应用将标志着软件供应链的安全保障进入到一个全新的时代，将安全作为管理对象的一种属性，从软件供应链开发早期开始进行全生命周期的安全管理，将彻底改善企业和机构在软件和IT基础设施的安全现状。

 如何逃离弱密码黑洞？

全球远程办公大潮中，一些企业安全的脆弱性问题被放大，全球数据泄露事件的频率和规模以肉眼可见的速度逐年递增，如果说身份与访问管理是数据安全的“重灾区”，那么“弱密码”则无疑是“震中”。

根据Verizon的《数据违规调查报告》，有81％与黑客相关的违规行为都利用了被盗密码或弱密码，只需一名员工的弱密码就可以撬开重兵把守、重金打造的企业网络安全防御体系。

以上调查是针对安全行业人士进行，普通企业员工的密码违规情况要比上面的数据严重得多！

 暗网流行数据报告，个人数据只值1美元

随着时间的流逝，网络犯罪分子已经改变了暗网市场的运营结构，目前主要是开始模仿大型零售商，比如亚马逊和eBay，提供搜索功能、电子商务和卖家评级等服务。

根据调查结果，欺诈指南是最常出售的数据类别（49％），其次是个人数据（15.6％），非金融账户和凭证（12.2％），金融帐户和凭据（8.2％），欺诈工具和模板（8％）和支付卡（7％）。一方面，网络犯罪分子可以物有所值的事实加剧了企业面临的风险。另一方面，组织经常忽视欺诈指南的负面影响，也给企业带来更大的数字风险。

 网络犯罪将成为第三大“经济”？

网络犯罪正在经历一次全球范围的工业化“革命”，网络犯罪组织们开始提供“正规”公司所做的一切：产品开发，技术支持，分销，质量保证甚至客户服务。网络犯罪分子抢劫然后出售新技术或秘密战略计划，这将使他们的买家在竞争者中占优势。黑客窃取军事机密，可再生能源创新知识产权等高价值信息。

有组织的网络犯罪分子通过分工合作来实现平稳运营。有“团队负责人”负责协调工作，并负责保持法律上领先一步。他们拥有大数据专家来处理被盗数据，开发者负责编写和更改恶意代码，以及“入侵专家”负责感染并渗透目标公司。

 RainbowMiner，Linux挖矿病毒

RainbowMiner一个“求生欲“极强的Linux挖矿病毒家族，为了躲避DDG及安全人员的查杀，其采用了多种方式进行隐藏及持久化攻击。该挖矿病毒对系统命令进行劫持，隐藏自身，中毒的主机出现了奇怪现象，CPU占用率很高，却找不到可疑的进程。定时任务是恶意软件惯用的持久化攻击技巧，但该病毒没有采用定时任务的方式驻留，而是创建了一个ssh公钥后门，躲避了通过检查定时任务排除恶意软件的安全检查方法。

 用计算机电源窃取机密数据

以色列盖夫本古里安大学研究出了一种让电源发声泄露数据的新型恶意软件，这种让电源说话的恶意软件，会通过启动和停止CPU工作负载，影响电源的开关频率，从而让电源中的变压器和电容器发出声音信号，这种特殊的“噪音”，一旦被声波接收设备捕获，稍加提取处理，就能复原成原始信息，也就是目标电脑设备上的高敏感数据。变化的电流一定会有对应变化的电磁场，而恶意软件就是将电磁变化转为音频，以便窃取数据。这种利用电源电流的恶意软件，并不需要任何特殊的系统权限、访问硬件资源或是root权限，大大降低了恶意软件攻击过程中被安全软件发现的可能性。

 4400万巴基斯坦移动用户信息泄露

根据ZDNet消息4400万巴基斯坦移动用户的详细信息遭泄露，而这只是是1.15亿用户的一部分。ZDNet对泄露文件的分析，该软件包数据包含个人可识别信息、电话相关信息、家庭用户和本地公司的详细信息。其中包括：客户全名、家庭住址（城市，地区，街道名称）、国家身份证号（CNIC）、手机号码、座机号码。