GSS資安電子報0199期【公部門如何在壓力下成功應對安全數位轉型的挑戰】

2022年七月13日(三) AM 09:00
翻譯及整理:叡揚資訊 資訊安全事業處
資料來源:Under Pressure: How Public Sector Organisations Can Rise to the Challenge of Secure Digital Transformation

 

介紹

  隨著社會因應當前 COVID-19 的環境,全球公部門面臨一連串嚴峻考驗。無論是以地方政府、醫療保健、執法機關或是處理緊急狀況的機構,各部會以往都仰賴自身的經驗,現在卻被迫以令人不安的速度轉型為數位替代方案。

  在這一年,社會已經發生翻天覆地的變化,「數位優先」成為必然的趨勢。因此,對於公共服務應用程式開發的需求,已經超越了程式碼及安全性的現有認知。人民迫切需要以數位為基礎的公共服務,才能在這個世界繼續生活,而世界似乎不可能回到過去熟悉的歷程。與此同時,公共財政持續緊縮,意味著資源有限,任何提出的投資都必須保證節省成本與效率。

  然而財政和人力資源的匱乏並非唯一問題,公部門處理大量的敏感個人資訊 (Personally Identifiable Information,PII),因此任何能夠存取此 PII 資料的軟體應用程式,都必須符合歐盟 GDPR 和美國 CCPA 等法規要求的高安全標準。除了監管之外,社會的功能運作也取決於人民對提供服務的機構之信任程度。倘若組織發佈了容易受到攻擊的程式碼,則可能會破壞公信力,並且面臨巨額罰款和法律惡果。

  最終對於數位服務,使用者的期望比以往更高,像是要求部署以安全的公共服務為導向的應用程式,諸如此類的需求與日俱增,但是這些應用程式又需要符合人民對於容易使用的期待。人民對於笨拙又不直觀的體驗沒耐心,他們為什麼提出這樣的要求?畢竟這些皆由人民買單。

  無論是長久累積的,抑或有時候造成的競爭壓力,都為公部門帶來相當大的難題:如何在有限的資源下提供經得起考驗的公共服務,並快速部署既安全且功能強大的穩定軟體?同時在公共財政面臨壓力的情況下,公部門領導者又該如何建立軟體投資的案例,將應用程式安全以及交付與部署的速度兩者視為同等重要?

  這本電子書檢視數位公共服務環境的要素,以及組織如何建置有效安全的軟體來履行對民眾的義務。

 

 

一、以競爭力為導向讓軟體開發團隊倍感壓力

COVID-19:革新的催化劑

  在數位轉型的背景下,與民營企業相比,公部門一向需要更長時間來採取創新策略。通常是因其必須留心於眼前服務-各種民眾群體提供基本服務,而這些群體的組成可能大多僅為略懂數位技能和能力,例如老年人、低收入戶以及弱勢群體等,這些都可能對創新造成牽制。公部門的資金通常會優先用於維護現有服務,儘管這些服務欠缺數位替代方案的效率,但使用者卻熟悉這些服務。
 

利害關係人正在加速公部門數位轉型

1. 政府裡原本就採用數位化產品與服務的人,可能希望數位轉型的變革能夠持續
持這些進步。
——KPMG安侯建業聯合會計師事務所:基礎設施、政府和醫療保健技術轉型的全球負責人Mike Stone
 

  針對大規模數位化專案進行投資需要放手一搏,然而這個轉變的過程令許多公務員感到不適應。因此,儘管近年來用於數位化的投資金額日益增長,且許多政府也將數位轉型視為一項策略進行推動,但許多以民眾為導向的流程依舊仰賴實體面對面的互動。

  COVID-19 在一夕之間為社會帶來巨大轉變。隨著政府機關、法院、醫療診所與警察局不再開放給大眾,現場實體服務陷入停擺。從失業救濟金申請、醫療預約及教育,到規劃申請與犯罪報告,皆須以數位方式才能辦理這些業務,或者根本無法辦理。民眾被迫適應這些變化,而那些原本熟悉流程而可能拒絕改變的民眾,現在態度較為開放,逐漸接納數位替代方案。這些事實再再證明了 COVID-19 是革新的催化劑。我們正處於數位轉型這個重大機會的風口浪尖,能夠改變民眾與國家之間的關係,但這個機會本身就自帶挑戰。

  強制轉型為數位替代方案,對已經負擔過重的軟體開發團隊帶來更多壓力,他們需要從無到有,在未開發之處建置新的應用程式,並且快速擴充現有的應用程式。他們開發的應用程式必須提供無縫又直觀的體驗,以滿足使用者的期望,就像亞馬遜等數位佼佼者塑造出來的那樣,而這些佼佼者已經將標準設立得非常高。人民希望他們與政府服務的互動就像線上購物一樣,既淺顯易懂又能迅速得到回應。不過當您留意到當今零售商每週、每天甚至每小時都在發佈新的軟體組建,就能體會眼前任務的規模有多麼龐大。

  由於需求不斷增加,以及期望越來越高,應用程式的開發、交付與部署,其時間範圍比以往任何時候都還要短,許多組織正在採用敏捷 (Agile) 以及 DevOps 的持續整合與持續交付 (CI/CD) 流程,以達到所須的速度。

 

技能短缺與外包變化造成人才難覓

  由於快速轉向數位化,對開發者和安全專業知識的需求提高,而公部門的預算低於私人企業,使其不容易招募到符合數位轉型所須技能的人才,並保留這些專業能力。

  同時,要拆分外包合約,以避免依賴單一供應商,但是對於先前根據這類合約提供的開發者和安全技能而言,這項舉動對於取得開發者和安全技能造成影響。

  為了解決這些不足,組織需要部署應用程式安全解決方案,以契合內部開發流程,容許現有開發團隊在交付排程中不造成負面影響的情況下,增進安全程式碼的撰寫效率。

 

高風險環境中的監管問題

     作為高價值個人資料和特殊類別資料(從醫療記錄與犯罪記錄到社會安全碼)的保管者,公部門儼然會受到隱私監管機關的關注。美國《健康保險可攜與責任法》(HIPAA)已經成為醫療保健隱私法規的既定標準,例如:《一般資料保護規範》(GDPR) 和《加州消費者隱私法》(CCPA),而且現今已進入強制執行階段,因此,任何新數位服務從軟體開發階段起,都必須在設計和預設情況下結合安全性。

  大西洋兩岸的隱私權立法主導者並沒有因此放慢腳步。大西洋兩岸居民都認知到美國需要採取聯邦途徑來保護隱私權,且在過去 18 個月以來,已經為此引進各種法案。儘管 COVID-19 危機轉移了焦點,但國際隱私權專家協會(IAPP)預測,拜登總統將重啟推動立法。

  不僅是監管機關注重隱私權,隨著《一般資料保護規範》(GDPR)和 《加州消費者隱私法》(CCPA)的實施,展開全面性的公共宣傳活動,人民對其資料保護權利的意識提高到了前所未有的程度。這其實更加適用於公共服務,因為公共服務必須以信任為基礎,才能正常運作並為社會提供服務。

  然而,監管的另一面是風險。COVID-19 造成混亂,造成網路攻擊等案件激增,針對高價值個人資料進行網路攻擊,以獲得財務利益。因此,任何擴大攻擊面的應用程式都必須包含強大的安全檢查,以防止攻擊者滲透應用程式並擷取資料。

  總結來說,這些壓力意味著安全性不能在新軟體開發後才亡羊補牢,新軟體必須在成為上線產品前,就結合應用程式安全測試措施與漏洞緩解技術的實施。

199.2

 

 

二、應用程式開發的困境 - 速度與安全

  一方面急著推動數位化,另一方面又迫切需要安全性與資料保護,這對現實世界的衝擊,在軟體開發人員與安全團隊之間的緊張關係中尤為明顯。

  軟體團隊在開發與發佈程式碼時所需的速度,以及用於達成此事的 DevOps 作法,可能會導致安全性尚未準備完全,在這種情況下,安全性可能會因速度而被權衡取捨。研究指出,有五分之四的組織定期或不定期推送程式碼至上線產品,而這些程式碼可能存在已知固有的漏洞。其中,超過一半的人表示,他們這麼做是為了趕上關鍵的截止期限,並打算在後續推出的版本修正這個問題。

  令人擔憂的是,同一研究群體中有 81% 的人表示,在過去 12 個月裡,上線產品應用程式可能已被有心人士利用

 

從第一天起至部署,都要保護您的原始程式碼和其他產出物的完整性,並測試是否做到正確的保護。       ——英國國家網路安全中心 (NCSC) 強調安全程式碼本質的重要性。

 

  傳統上,許多公部門都採用滲透測試,以協助驗證應用程式是否符合某種程度的安全性,這項活動通常由第三方執行;然而,若想快速實現數位化,為其民眾提供更好的服務,組織就必須以更快的速度,進行軟體的開發、交付和部署,而其實僅依賴第三方的作法難以擴大規模。比起當今軟體發佈速度的要求,滲透測試顯然有很多缺點。

  為了驗證應用程式是否安全,有些組織採取另一種作法,在執行應用程式時,使用「動態應用程式安全測試」 (DAST) 對其進行測試。然而,DAST 並非總是契合 Agile 和 DevOps 方法,因為它往往增加延遲的情況。如果 DAST 確實偵測到嚴重漏洞,而必須在部署之前修復完成,則需要開發者回溯他們可能在前幾天、前幾週甚至前幾月工作過的程式碼,找出漏洞加以修正,這種情境會加深開發團隊與安全團隊之間額外的摩擦。

  透過使用開放程式碼和第三方程式庫來加速軟體開發,則進一步增加了複雜性。使組織在授權和營運上面臨更高的風險,此外,也可能無意間將已知易受攻擊(有問題的)的程式碼整合至上線產品中,致使攻擊面擴大。除了留意在專有程式碼中所導入的任何既有漏洞之外,還必須徹底了解並處理開放程式碼的風險。

  從安全性與合規性的角度來看,透過使用開放程式碼而讓風險增加,顯然令人無法接受,但對於需要縮短上市時間的開發團隊來說,這是無法避免的事。因此,要使用應用程式安全解決方案來偵測、識別和追蹤程式庫裡的開放程式碼成為當務之急。

  此外,組織在開發期程即將結束時,才對完整程式庫進行應用程式安全掃描,此時可能需要一段時間才能完成作業,像是需滿足啟動掃描的特殊要求。此外,在某些情況下,使用中的安全策略和掃描於專案尾聲才進行檢測,可能會找出過多的潛在漏洞。此時又多了一個新的議題——「誤報」,當應用程式安全掃描回報了大量不準確的結果,會需要花更多的時間釐清問題,更導致延遲交付和部署。

  並非每個公部門的開發團隊都具備安全專業知識,開發人員通常欠缺撰寫安全程式碼的技能,且開發人員的安全教育有限,以及所費不貲的高階漏洞修復技能供不應求,這也使得情況更加惡化。

199.4

 

 

三、自動化應用程式安全測試 (AST) 案例

  由於這些因素,通常會將安全測試推到更接近應用程式發佈的截止日期,而到了該階段才發現的問題顯然更難以處理且更耗時。在交付前或甚至在交付後,如果組織使用過時的應用程式安全測試進行檢測,只會將上線產品的發佈日延遲,這也再度證實安全測試會拖累發佈效率及頻率。

  這種緊張關係顯然必須加以解決,組織可以將 AST 解決方案直接整合到開發人員日常使用的軟體開發和 DevOps 工具集裡,如此一來就能在不損及安全性的情況下,實現其交付時間的目標。

 

使用案例:使用 Checkmarx 來加速 DevOps

  醫療保健供應商 「Premise Health」 經常用 Agile 軟體進行開發,並確保沒有任何事物妨礙其快速發佈。他們實行持續性的整合/部署 (CI/CD),並具備快速的發佈週期。他們的安全平台需要無縫整合到其開發生命週期裡。

  Premise Health 使用 Checkmarx,以便在軟體開發生命週期儘早發現漏洞並加以修復,因為這些漏洞發現得越晚,其成本就越高昂。

  Checkmarx 的語言支援及其跟上新版本的能力,證明了很有幫助,正如其逐步審查程式碼一樣,Checkmarx 提供了解如何在撰寫程式碼時,進行修復或預防漏洞的範本。此外,Checkmarx 解決方案易於使用,其介面友善且簡單。

 

使用 Checkmarx 的最佳方式是在我們的 CI/CD pipeline 中,利用 Checkmarx

Jenkins插件。在 Jenkins 中,例行建置程式碼與部署作業,同時自動的掃描

。               ——Timothy De Block,Premise Health 的安全工程經理

 

  除了更複雜的測試作法和整合解決方案之外,還需要調整團隊文化,原本將開發和安全視為對立面,現在要轉為認可 DevSecOps 方法,以便在整個軟體開發生命週期 (SDLC)融入安全測試。從規劃階段就要開始做起。實際上,這會加快交付速度,尤其是在本質上越來越重視安全的公部門環境裡。

  部署了經過整合的程式碼掃描解決方案,可藉此從原始程式碼管理 (SCM) 解決方案、CI/CD 工具和整合開發環境 (IDE) 中,直接進行完全自動化掃描,開發人員可以提高效率、改善安全性,並且明顯減少延遲。在開發人員工作流程的關鍵點,執行 pull/push/merge 等操作時,這些事件可以自動觸發針對程式碼差異的靜態程式碼分析 (SAST) 和軟體組合分析 (SCA) 掃描。因此,在開發過程的早期階段,就能讓開發人員專注於開發的程式碼,並識別與修正程式碼漏洞。此外, AST 解決方案可以直接整合到 Bug Tracking System,以便開單、更新分類和關閉問題。

  AST 解決方案的準確性高、誤報率低,而且能避免中斷開發人員的工作流程,這一點也很重要。如果解決方案還能提供開發人員複數問題中的最佳修復點,也將減少對於特定安全專業知識的需求,同時在開發人員的社群裡,建立覺察意識並改善安全技能。

  部署了經過整合和自動化的安全測試解決方案,即可避免下述情境:將有問題的程式碼送至線上營運環境 (Production 環境),導致有無法接受的安全風險。

  這種應用程式安全測試作法,可以緩解開發人員及安全團隊之間的緊張關係,減輕彼此的壓力,並滿足  Agile 軟體開發實務與控制安全風險。

 

 

四、民眾服務

  對公部門而言,解決安全軟體問題至關重要 - 或許只有銀行業會對其使用者具有類似程度的義務。由公部門開發而供人民使用的應用程式,迅速成為社會核心要素運作的基礎,包括從教育到執法、醫療保健和社會服務等。由於上述提及的皆使用公款建置,因此必須對民眾使用的效能以及如何保護人民資料負責。若因為已知程式碼漏洞發佈到上線產品而使人民資料處於風險之中,便是違背民眾的信任。

  政府從擁有正確的數位公共服務中獲得正向回報。麥肯錫研究發現,「比起對公共服務不滿意的居民,感到滿意的人民對政府的整體信任度多達九倍。」德國國家監管控制委員會還發現,除了在疫情中相當重要的全天候無障礙服務之外,數位公共服務還可獲得額外的效益:

  1. 人民與公共行政部門互動的時間減少大約 50%

  2. 企業與公共行政部門互動時,可節省超過 50% 的成本

  3. 透過自動化處理,公部門員工所需的案件管理工作量減少約 60%

  這種規模的效率及節省成本,強調了經濟與道德上的必要性,以便從事安全數位公共服務專案。

199.3

 

COVID-19應用程式 – 造成人民不安的教訓

  全世界嘗試各種方法,透過近距離接觸者追蹤技術,開發、發佈並取得人數計算的應用程式,以便協助監控病毒傳播。在這段期間,公部門應用程式開發人員曝露其所面臨的挑戰,隨著病毒散播的速度加快,建置了幾項應用程式,並推出成為上線產品,但這些產品有些許小毛病及安全疑慮,儘管多數疑慮與問題沒有任何根據,但讓許多人民對這些應用程式感到憤世嫉俗或擔憂,說這些應用程式不是無法發揮作用,就是需要太多使用者參與,或是覺得個人隱私權被侵犯而令人無法接受。民眾對這些應用程式的效能與安全性的討論程度,反映了未來公共服務軟體可能面臨的壓力,民眾對應用程式的安全性與可用性的期望越來越高。

 

 

五、洞察先機 迎向未來

  儘管公部門的服務數位化面臨相當大的風險與挑戰,但組織還是有機會,可依循正確方式迎向安全穩健的轉型,樹立強大的商機。

  首先,重要的是必須了解:僅是將組織早已遵循的流程導入數位化,是一種短視近利的方法,其成本和效率的提高通常僅限於最初的獲益,卻沒有持續改進的長期之道。真正的數位轉型涉及全面重新設計流程,並且納入多項資料來源,以建立直觀且無縫接軌的服務,消除不必要的步驟。這類服務可藉由線上管道,構成全面提供公共服務的基礎,這些管道能夠視需求而靈活變化並加以擴充。

  當然,這一切都需要資金,然而緊接在 2020 年紓困開支之後,資金將出現短絀。這場危機明確顯示在所有其他途徑都關閉時,數位化是唯一選項。許多國家的金融機構目前都在警告,別在疫情爆發後太快縮緊財政措施與限制公共支出;意味著尚有機會確保針對能夠帶來長期效率與節省成本的專案進行投資,這也會促使公共財務管理者尋找贊助商以資助專案,在該專案中提供高效能的數位服務,以建立抵禦未來動盪的復原能力。

  為了確保這些數位服務的設計與交付能夠發揮功能及安全性,從規劃階段就需要受到重視。公部門將向前邁出一大步,建立以公民為中心且值得信賴的新式數位關係。

 

 

六、推動安全軟體開發以及獲得安全 DevOps 倡議支持的 8 項訣竅

  1. 辨識專案,確保這些專案能夠使公部門的運作達到真正轉型,並承諾長期提高效率與公民利益。不只是簡單的流程數位化,而是以重建人民行政流程體驗為目標,並且使用以數位公民為中心的作法,將多個機關整合起來。
  1. 推動組織的內部文化,使組織成員具有保護人民資料的義務與認知,並將內在的安全措施整合到整個軟體開發生命週期中。
  1. 強調 DevSecOps 作法的效率、安全性與合規之優勢,組織安全計畫必須從組織安全策略的開發階段就開始做起。
  1. 建立AppSec覺察意識與教育計劃,並透過研究訓練平台,幫助改進、追蹤、呈報內部安全程式碼的技能,壯大自己本身的專門技能,投資於人力資源。
  2. 尋找知識淵博的 AST 解決方案供應商、整合商以及有價值合作夥伴來幫助您,以具備所需的正確技能與知識,協助有效執行應用程式安全計劃。
  3. 評估廠商,確認他們能否提供 AST 解決方案訓練、技術轉移與導入、客製化、軟體安全諮詢、風險分析、完全或部分的服務託管,以及許多其他可能的服務。
  4. 選擇AST 解決方案,以支援差異掃描和完整掃描的整合與自動化,處理自行開發的程式碼及第三方元件的漏洞,而且是在開發期間的關鍵時刻進行,才不會將安全問題推到接近發佈期限之時。
  5. 選擇一流的 AST 供應商,該供應商透過可參考的佐證資料,說明已經獲得客戶驗證,其解決方案得到業界廣泛認可,並得到知名分析公司的推薦。

 

關於 Checkmarx

  在現代企業軟體開發方面, Checkmarx 是軟體安全解決方案的全球領導者。Checkmarx 提供業界最全面的軟體安全平台,該平台與 DevOps相互整合,提供靜態和互動式的應用程式安全測試、軟體組成分析,以及開發者 AppSec 覺察意識與訓練計劃,減少並補救軟體漏洞所致的風險。財星百大企業有40多家公司以及財星50大企業有半數公司全都信任Checkmarx,其中包括 SAP、三星和 Salesforce. com 等業界龍頭。

相關解決方案:Checkmarx 源碼安全檢測工具

相關文章

資安通報: Python 惡意套件-請儘速檢查與移除

近期專注於資訊安全的 Checkmarx 的供應鏈安全團隊追蹤到惡意攻擊的活動,其作業的手法比典型的資訊竊取操作更進一步,利用開發生態系與開發社群的供應鏈關係,將隱藏惡意行為的 PayLoad 藏身於合法的儲存庫(repository),近幾個月來,這種威脅不斷出現、不斷成長並不斷改變其樣貌,其攻擊的目標從特定應用系統、瀏覽器至使用者的資料,而這些藏有惡意之 Package 至今已累積 75,000 下載次數。
2023/12/08

新聞中心 - 叡揚資訊與 Checkmarx 助攻 關貿網路打通 SSDLC 安...

叡揚資安團隊鼎力支持,為關貿打造最佳檢測環境。受惠於叡揚團隊的專業服務能力,使 Checkmarx 導人過程極為平順。叡揚不僅依據關貿網路當下與未來檢測量能,針對主機容量進行最適規劃,也悉心安排教育訓練、系統安裝及使用諮詢等工作,讓使用者無痛接軌新環境。隨著系統上線至今,只要 OWASP 等規範出現更新,叡揚都會立即提供 Patch 檔,確使品保中心恆常套用最新安全程式碼撰寫規則。
2023/03/01

資安通報: Apache Commons Text 1.5~1.9版 發布新的高...

本次受 CVE 影響的軟體是 Apache Commons Text,這是一個由 Apache 提供的開源軟體,此套件是一個針對字串的相關運用的演算法(例如:字串替換、查找、匹配等等演算法)。目前所發現的漏洞 CVE-2022-42889 存在於 1.5 至 1.9 版本中,當不受信任的資料被處理或是在使用 Variable Interpolation 功能時,可能導致攻擊者能進行任意代碼執行(RCE, Remote Code Execution)。
2022/11/02

軟體供應鏈必學資安課題,如何拉近開發與資安的距離?

今年 IT 圈最熱門的話題之一,便是資本額達百億元以上的上市櫃公司須在年底前完成設立資安長及資安專責單位。以往資深資安人才本就難尋,如今更是炙手可熱。日前台灣資安主管聯盟的成立大會上,會長金慶柏曾指出,目前全台資安人才缺口超過 4 萬人!既然對外招募不容易,那麼從企業內部培養資安人才、提升人員資安意識便是另一途徑。
2022/06/17