網(wǎng)絡(luò)安全能力左移面臨7大挑戰(zhàn)
隨著互聯(lián)網(wǎng)和信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全威脅的復(fù)雜性和嚴(yán)重性不斷增加。今天的攻擊者會(huì)采用更先進(jìn)和隱蔽的攻擊技術(shù),使得傳統(tǒng)的“右側(cè)”網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)顯得“力不從心”,傳統(tǒng)的邊界防御方法也變得不夠有效。
在此背景下,將安全能力左移作為一種預(yù)防性的安全策略被提出。安全左移強(qiáng)調(diào)在系統(tǒng)設(shè)計(jì)、開發(fā)和部署的早期階段就集成安全性和控制措施,這樣可以更好地識(shí)別和消除潛在的安全弱點(diǎn),減少漏洞的產(chǎn)生和被利用的風(fēng)險(xiǎn),從而更好地適應(yīng)當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全威脅環(huán)境。
研究咨詢公司ESG的網(wǎng)絡(luò)安全業(yè)務(wù)總監(jiān)Melinda Marks表示:“組織在開展網(wǎng)絡(luò)安全能力建設(shè)時(shí),越早采取行動(dòng)越好,可以減輕很多壓力。因?yàn)槿绻寻踩酝系较到y(tǒng)應(yīng)用的后期,一旦遇到問題就可能意味著從頭開始,因?yàn)槲覀儫o法保證所做的一切都是安全的?!比欢?,盡管采用安全左移的方法可以帶來更強(qiáng)大的安全性,減少漏洞和風(fēng)險(xiǎn),但組織在實(shí)施安全左移的時(shí)候,往往會(huì)伴隨著許多困難和挑戰(zhàn)。
01、缺少計(jì)劃是安全左移最大的挑戰(zhàn)
在應(yīng)用軟件開發(fā)中盡早嵌入安全能力說起來容易做起來難。安全研究人員都表示,他們已經(jīng)看到一些組織正在沒有足夠計(jì)劃或得到足夠支持的情況下倉(cāng)促啟動(dòng)了安全左移工作。這種做法是絕對(duì)不可取的。
如果組織不能有計(jì)劃地實(shí)施左移,通常很難取得成功。組織必須為安全左移工作制定有計(jì)劃的實(shí)踐、指導(dǎo)方針和操作指南。此外,組織的安全負(fù)責(zé)人應(yīng)該創(chuàng)建一個(gè)“概述合適構(gòu)建塊的路線圖”——例如,解決DevSecOps架構(gòu)和團(tuán)隊(duì)所需的策略,以便在早期有效地解決安全問題,并創(chuàng)建可重復(fù)的實(shí)踐。
安全專家還建議,企業(yè)組織應(yīng)該采用一種迭代遞進(jìn)的方法來實(shí)現(xiàn)他們的安全左移計(jì)劃,從試點(diǎn)開始,然后擴(kuò)大到整個(gè)團(tuán)隊(duì)和所有應(yīng)用系統(tǒng),并隨著團(tuán)隊(duì)從左移工作中學(xué)習(xí)而不斷調(diào)整安全能力左移的過程。
02、將安全的責(zé)任轉(zhuǎn)嫁給開發(fā)團(tuán)隊(duì)
專業(yè)研究機(jī)構(gòu)Gartner的高級(jí)主管分析師William Dupre表示:我們傾向于不使用“左移”這個(gè)詞,因?yàn)樗鼤?huì)讓人覺得“組織把安全問題交給了開發(fā)團(tuán)隊(duì)去解決。而這并不是安全左移的真實(shí)理念。通過安全能力左移,企業(yè)希望開發(fā)團(tuán)隊(duì)更好地發(fā)揮他們的作用,但絕不是將安全防護(hù)的責(zé)任轉(zhuǎn)移到他們身上?!?/span>
研究人員發(fā)現(xiàn),在實(shí)際應(yīng)用中,也確實(shí)出現(xiàn)了很多上述的案例,一些企業(yè)的安全左移計(jì)劃,實(shí)際上就是把安全防護(hù)的責(zé)任推給了開發(fā)人員。開發(fā)團(tuán)隊(duì)被告知,“現(xiàn)在你要為安全負(fù)責(zé),”在這樣的安全左移工作中,必然會(huì)引發(fā)工作文化的激烈沖突。
相比之下,Dupre更喜歡DevSecOps這個(gè)術(shù)語,因?yàn)樗玫卮砹税踩笠七@個(gè)概念所要實(shí)現(xiàn)的目標(biāo)——即讓開發(fā)人員、運(yùn)營(yíng)團(tuán)隊(duì)與安全部門共同努力,以確保安全、高質(zhì)量的軟件產(chǎn)品。
03、為了“左移”而左移
隨著越來越多的企業(yè)開發(fā)團(tuán)隊(duì)采取左移策略,安全管理者需要不斷倡導(dǎo)他們進(jìn)一步地?cái)U(kuò)展安全性。因?yàn)榫W(wǎng)絡(luò)安全能力建設(shè)不僅僅需要左移,也同樣需要右移。一旦應(yīng)用程序投入到實(shí)際生產(chǎn)環(huán)境中,組織就需要能夠?qū)崿F(xiàn)持續(xù)測(cè)試和可觀察性。所以從本質(zhì)上來說,企業(yè)組織需要確保軟件產(chǎn)品的安全性隨著應(yīng)用時(shí)間的推移而不斷提高,并確保這些系統(tǒng)在實(shí)際部署后始終是安全可靠的。
因此,企業(yè)不要單純地為了“左移”而左移,而是要將安全性視為一種“無限地、連續(xù)的”過程,是一個(gè)需要全生命周期覆蓋的閉環(huán)。開發(fā)者們需要能夠快速地開發(fā)和部署應(yīng)用,然后不斷更新。因此,安全部門也需要能夠步調(diào)一致地制定一份涵蓋整個(gè)生命周期的安全戰(zhàn)略計(jì)劃。
04、安全左移減緩了軟件開發(fā)流程
很多組織對(duì)采用安全左移策略的一個(gè)擔(dān)憂是,在開發(fā)環(huán)節(jié)融入安全性是否會(huì)減慢軟件產(chǎn)品的創(chuàng)建和發(fā)布以及新功能的升級(jí)速度。這不僅僅是開發(fā)者的擔(dān)心,甚至也是很多業(yè)務(wù)部門領(lǐng)導(dǎo)者的擔(dān)心。
其實(shí),他們的這種擔(dān)憂主要源于過去的經(jīng)驗(yàn),在傳統(tǒng)應(yīng)用開發(fā)模式下,代碼必須在正式應(yīng)用前通過安全審查,這往往會(huì)造成延誤。正如上文所述,“把安全工作留到最后確實(shí)會(huì)拖慢事情的發(fā)展,如果總是在最后時(shí)刻才看到安全人員出現(xiàn),那么安全當(dāng)然被視為減緩開發(fā)過程的因素?!睘榇?,CISO必須證明左移方法可以同時(shí)支持安全性和速度。通過有效的合作,以及階段性的勝利,組織可以展示全面安全左移戰(zhàn)略帶來的巨大價(jià)值和潛力。
05、安全左移的驅(qū)動(dòng)力不足
實(shí)施安全能力左移工作,需要企業(yè)各個(gè)相關(guān)團(tuán)隊(duì)做好心態(tài)上的轉(zhuǎn)變,開發(fā)人員、安全從業(yè)人員及其管理人員不僅要克服對(duì)速度的擔(dān)憂,還必須改變傳統(tǒng)根深蒂固的工作方式,采用新的流程和工具,這對(duì)組織來說無疑是一個(gè)極大的挑戰(zhàn)。
在這種情況下,企業(yè)管理層應(yīng)該給予和安全左移工作相關(guān)的團(tuán)隊(duì)適當(dāng)激勵(lì),讓他們以最容易被接受的方式工作,并在盡可能早的時(shí)候?qū)踩郧度氲介_發(fā)過程中。與此同時(shí),開發(fā)人員應(yīng)該有圍繞安全性的KPI——這是他們以前所沒有的。更廣泛地說,建議組織考慮“集成KPI”,這樣一來,產(chǎn)品團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)的所有成員以及任何其他利益相關(guān)者都有責(zé)任滿足軟件產(chǎn)品上市速度、性能和安全性方面的整體要求。
06、缺乏專業(yè)的人才與培訓(xùn)
實(shí)施安全左移工作需要專業(yè)的人才支撐保障,這是讓安全左移工作獲得成功的一個(gè)重要因素。不過在很多企業(yè)組織中,現(xiàn)實(shí)情況卻并非總是如此。由于很多開發(fā)人員不了解風(fēng)險(xiǎn)是什么,以及代碼是如何被惡意利用的,因此他們無法在整個(gè)開發(fā)周期中做到與安全人員有效的溝通合作。
解決這個(gè)問題的辦法就是要提供足夠的專業(yè)培訓(xùn)。此外,組織安全管理者還可以尋找并啟用“安全冠軍”(security champions)計(jì)劃并找到有效方法來培養(yǎng)一種安全優(yōu)先的心態(tài)。
與此同時(shí),組織需要將更多的安全專家資源投入到安全能力左移的過程中,只有當(dāng)安全左移過程擁有合適的安全專業(yè)人員時(shí),DevSecOps才能工作得最好。如果不重視復(fù)合人才的配比與培養(yǎng),開發(fā)、安全和運(yùn)營(yíng)就必然會(huì)回到“各自為政”的狀態(tài)。
07、缺乏合適的技術(shù)工具
在實(shí)現(xiàn)安全能力左移的工作中,組織需要借助先進(jìn)的技術(shù)和產(chǎn)品來支持左移方法,包括威脅建模、靜態(tài)應(yīng)用程序安全測(cè)試、動(dòng)態(tài)應(yīng)用程序安全測(cè)試以及其他類型的安全性掃描工具。通過先進(jìn)的技術(shù),再加上自動(dòng)化能力,才會(huì)讓DevOps團(tuán)隊(duì)更容易地引入安全性。
但專家表示,僅僅實(shí)現(xiàn)這些技術(shù)是不夠的。相反地,應(yīng)該選擇能夠與開發(fā)人員已經(jīng)使用的平臺(tái)很好地集成的工具,或者選擇使用已經(jīng)嵌入到這些開發(fā)平臺(tái)中的安全功能。此外,組織還需要在開發(fā)過程中“無摩擦”地使用這些工具,特別是在開始時(shí),因?yàn)榫瘓?bào)可能會(huì)迅速淹沒DevSecOps團(tuán)隊(duì),導(dǎo)致很多人因?yàn)楫a(chǎn)生焦慮和倦怠情緒而放棄了左移進(jìn)程。
為了應(yīng)對(duì)這種情況,安全團(tuán)隊(duì)需要向DevSecOps部門提供指導(dǎo),以便他們知道如何根據(jù)企業(yè)風(fēng)險(xiǎn)因素對(duì)漏洞進(jìn)行分類。組織還需要確保所有相關(guān)的團(tuán)隊(duì)都能清楚地認(rèn)識(shí)到,安全部門負(fù)責(zé)確定要修復(fù)漏洞的優(yōu)先級(jí),而開發(fā)人員負(fù)責(zé)修復(fù)它們。
原文來源:安全牛