網(wǎng)絡(luò)安全能力左移面臨7大挑戰(zhàn)
2023年11月11日
隨著互聯(lián)網(wǎng)和信息技術(shù)的快速發(fā)展����,網(wǎng)絡(luò)安全威脅的復(fù)雜性和嚴(yán)重性不斷增加��。今天的攻擊者會(huì)采用更先進(jìn)和隱蔽的攻擊技術(shù)����,使得傳統(tǒng)的“右側(cè)”網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)顯得“力不從心”,傳統(tǒng)的邊界防御方法也變得不夠有效�。
在此背景下,將安全能力左移作為一種預(yù)防性的安全策略被提出��。安全左移強(qiáng)調(diào)在系統(tǒng)設(shè)計(jì)�����、開發(fā)和部署的早期階段就集成安全性和控制措施���,這樣可以更好地識(shí)別和消除潛在的安全弱點(diǎn)���,減少漏洞的產(chǎn)生和被利用的風(fēng)險(xiǎn),從而更好地適應(yīng)當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全威脅環(huán)境�����。
研究咨詢公司ESG的網(wǎng)絡(luò)安全業(yè)務(wù)總監(jiān)Melinda Marks表示:“組織在開展網(wǎng)絡(luò)安全能力建設(shè)時(shí)�����,越早采取行動(dòng)越好����,可以減輕很多壓力。因?yàn)槿绻寻踩酝系较到y(tǒng)應(yīng)用的后期��,一旦遇到問題就可能意味著從頭開始�����,因?yàn)槲覀儫o法保證所做的一切都是安全的����。”然而����,盡管采用安全左移的方法可以帶來更強(qiáng)大的安全性,減少漏洞和風(fēng)險(xiǎn)��,但組織在實(shí)施安全左移的時(shí)候�����,往往會(huì)伴隨著許多困難和挑戰(zhàn)�。
01、缺少計(jì)劃是安全左移最大的挑戰(zhàn)
在應(yīng)用軟件開發(fā)中盡早嵌入安全能力說起來容易做起來難����。安全研究人員都表示�,他們已經(jīng)看到一些組織正在沒有足夠計(jì)劃或得到足夠支持的情況下倉促啟動(dòng)了安全左移工作���。這種做法是絕對(duì)不可取的����。
如果組織不能有計(jì)劃地實(shí)施左移��,通常很難取得成功����。組織必須為安全左移工作制定有計(jì)劃的實(shí)踐、指導(dǎo)方針和操作指南����。此外,組織的安全負(fù)責(zé)人應(yīng)該創(chuàng)建一個(gè)“概述合適構(gòu)建塊的路線圖”——例如��,解決DevSecOps架構(gòu)和團(tuán)隊(duì)所需的策略�,以便在早期有效地解決安全問題,并創(chuàng)建可重復(fù)的實(shí)踐����。
安全專家還建議�,企業(yè)組織應(yīng)該采用一種迭代遞進(jìn)的方法來實(shí)現(xiàn)他們的安全左移計(jì)劃�,從試點(diǎn)開始��,然后擴(kuò)大到整個(gè)團(tuán)隊(duì)和所有應(yīng)用系統(tǒng)����,并隨著團(tuán)隊(duì)從左移工作中學(xué)習(xí)而不斷調(diào)整安全能力左移的過程。
02�、將安全的責(zé)任轉(zhuǎn)嫁給開發(fā)團(tuán)隊(duì)
專業(yè)研究機(jī)構(gòu)Gartner的高級(jí)主管分析師William Dupre表示:我們傾向于不使用“左移”這個(gè)詞,因?yàn)樗鼤?huì)讓人覺得“組織把安全問題交給了開發(fā)團(tuán)隊(duì)去解決��。而這并不是安全左移的真實(shí)理念�����。通過安全能力左移����,企業(yè)希望開發(fā)團(tuán)隊(duì)更好地發(fā)揮他們的作用,但絕不是將安全防護(hù)的責(zé)任轉(zhuǎn)移到他們身上����。”
研究人員發(fā)現(xiàn)�,在實(shí)際應(yīng)用中,也確實(shí)出現(xiàn)了很多上述的案例,一些企業(yè)的安全左移計(jì)劃�����,實(shí)際上就是把安全防護(hù)的責(zé)任推給了開發(fā)人員�����。開發(fā)團(tuán)隊(duì)被告知��,“現(xiàn)在你要為安全負(fù)責(zé)����,”在這樣的安全左移工作中,必然會(huì)引發(fā)工作文化的激烈沖突�����。
相比之下����,Dupre更喜歡DevSecOps這個(gè)術(shù)語,因?yàn)樗玫卮砹税踩笠七@個(gè)概念所要實(shí)現(xiàn)的目標(biāo)——即讓開發(fā)人員���、運(yùn)營團(tuán)隊(duì)與安全部門共同努力�,以確保安全、高質(zhì)量的軟件產(chǎn)品�。
隨著越來越多的企業(yè)開發(fā)團(tuán)隊(duì)采取左移策略�,安全管理者需要不斷倡導(dǎo)他們進(jìn)一步地?cái)U(kuò)展安全性。因?yàn)榫W(wǎng)絡(luò)安全能力建設(shè)不僅僅需要左移�����,也同樣需要右移���。一旦應(yīng)用程序投入到實(shí)際生產(chǎn)環(huán)境中����,組織就需要能夠?qū)崿F(xiàn)持續(xù)測試和可觀察性����。所以從本質(zhì)上來說,企業(yè)組織需要確保軟件產(chǎn)品的安全性隨著應(yīng)用時(shí)間的推移而不斷提高����,并確保這些系統(tǒng)在實(shí)際部署后始終是安全可靠的。
因此,企業(yè)不要單純地為了“左移”而左移�,而是要將安全性視為一種“無限地、連續(xù)的”過程����,是一個(gè)需要全生命周期覆蓋的閉環(huán)。開發(fā)者們需要能夠快速地開發(fā)和部署應(yīng)用���,然后不斷更新��。因此����,安全部門也需要能夠步調(diào)一致地制定一份涵蓋整個(gè)生命周期的安全戰(zhàn)略計(jì)劃�。
很多組織對(duì)采用安全左移策略的一個(gè)擔(dān)憂是��,在開發(fā)環(huán)節(jié)融入安全性是否會(huì)減慢軟件產(chǎn)品的創(chuàng)建和發(fā)布以及新功能的升級(jí)速度����。這不僅僅是開發(fā)者的擔(dān)心,甚至也是很多業(yè)務(wù)部門領(lǐng)導(dǎo)者的擔(dān)心���。
其實(shí)��,他們的這種擔(dān)憂主要源于過去的經(jīng)驗(yàn)��,在傳統(tǒng)應(yīng)用開發(fā)模式下���,代碼必須在正式應(yīng)用前通過安全審查�,這往往會(huì)造成延誤�����。正如上文所述�,“把安全工作留到最后確實(shí)會(huì)拖慢事情的發(fā)展�����,如果總是在最后時(shí)刻才看到安全人員出現(xiàn)���,那么安全當(dāng)然被視為減緩開發(fā)過程的因素��?��!睘榇耍珻ISO必須證明左移方法可以同時(shí)支持安全性和速度�����。通過有效的合作,以及階段性的勝利�����,組織可以展示全面安全左移戰(zhàn)略帶來的巨大價(jià)值和潛力�����。
實(shí)施安全能力左移工作��,需要企業(yè)各個(gè)相關(guān)團(tuán)隊(duì)做好心態(tài)上的轉(zhuǎn)變�,開發(fā)人員、安全從業(yè)人員及其管理人員不僅要克服對(duì)速度的擔(dān)憂�,還必須改變傳統(tǒng)根深蒂固的工作方式,采用新的流程和工具���,這對(duì)組織來說無疑是一個(gè)極大的挑戰(zhàn)����。
在這種情況下�����,企業(yè)管理層應(yīng)該給予和安全左移工作相關(guān)的團(tuán)隊(duì)適當(dāng)激勵(lì),讓他們以最容易被接受的方式工作���,并在盡可能早的時(shí)候?qū)踩郧度氲介_發(fā)過程中�。與此同時(shí)���,開發(fā)人員應(yīng)該有圍繞安全性的KPI——這是他們以前所沒有的��。更廣泛地說���,建議組織考慮“集成KPI”���,這樣一來�,產(chǎn)品團(tuán)隊(duì)和DevSecOps團(tuán)隊(duì)的所有成員以及任何其他利益相關(guān)者都有責(zé)任滿足軟件產(chǎn)品上市速度�、性能和安全性方面的整體要求。
06���、缺乏專業(yè)的人才與培訓(xùn)
實(shí)施安全左移工作需要專業(yè)的人才支撐保障�,這是讓安全左移工作獲得成功的一個(gè)重要因素���。不過在很多企業(yè)組織中����,現(xiàn)實(shí)情況卻并非總是如此。由于很多開發(fā)人員不了解風(fēng)險(xiǎn)是什么��,以及代碼是如何被惡意利用的���,因此他們無法在整個(gè)開發(fā)周期中做到與安全人員有效的溝通合作����。
解決這個(gè)問題的辦法就是要提供足夠的專業(yè)培訓(xùn)���。此外�,組織安全管理者還可以尋找并啟用“安全冠軍”(security champions)計(jì)劃并找到有效方法來培養(yǎng)一種安全優(yōu)先的心態(tài)���。
與此同時(shí)����,組織需要將更多的安全專家資源投入到安全能力左移的過程中����,只有當(dāng)安全左移過程擁有合適的安全專業(yè)人員時(shí),DevSecOps才能工作得最好��。如果不重視復(fù)合人才的配比與培養(yǎng),開發(fā)��、安全和運(yùn)營就必然會(huì)回到“各自為政”的狀態(tài)��。
在實(shí)現(xiàn)安全能力左移的工作中,組織需要借助先進(jìn)的技術(shù)和產(chǎn)品來支持左移方法�����,包括威脅建模���、靜態(tài)應(yīng)用程序安全測試�����、動(dòng)態(tài)應(yīng)用程序安全測試以及其他類型的安全性掃描工具。通過先進(jìn)的技術(shù)�,再加上自動(dòng)化能力,才會(huì)讓DevOps團(tuán)隊(duì)更容易地引入安全性�。
但專家表示,僅僅實(shí)現(xiàn)這些技術(shù)是不夠的�����。相反地,應(yīng)該選擇能夠與開發(fā)人員已經(jīng)使用的平臺(tái)很好地集成的工具�����,或者選擇使用已經(jīng)嵌入到這些開發(fā)平臺(tái)中的安全功能����。此外,組織還需要在開發(fā)過程中“無摩擦”地使用這些工具��,特別是在開始時(shí)����,因?yàn)榫瘓?bào)可能會(huì)迅速淹沒DevSecOps團(tuán)隊(duì),導(dǎo)致很多人因?yàn)楫a(chǎn)生焦慮和倦怠情緒而放棄了左移進(jìn)程�����。
為了應(yīng)對(duì)這種情況��,安全團(tuán)隊(duì)需要向DevSecOps部門提供指導(dǎo)���,以便他們知道如何根據(jù)企業(yè)風(fēng)險(xiǎn)因素對(duì)漏洞進(jìn)行分類�����。組織還需要確保所有相關(guān)的團(tuán)隊(duì)都能清楚地認(rèn)識(shí)到�����,安全部門負(fù)責(zé)確定要修復(fù)漏洞的優(yōu)先級(jí)��,而開發(fā)人員負(fù)責(zé)修復(fù)它們��。
來源:安全牛
