安全資訊

隨著(zhù)互聯(lián)網(wǎng)和信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò )安全威脅的復雜性和嚴重性不斷增加。今天的攻擊者會(huì )采用更先進(jìn)和隱蔽的攻擊技術(shù)，使得傳統的“右側”網(wǎng)絡(luò )安全防護模式已經(jīng)顯得“力不從心”，傳統的邊界防御方法也變得不夠有效。

在此背景下，將安全能力左移作為一種預防性的安全策略被提出。安全左移強調在系統設計、開(kāi)發(fā)和部署的早期階段就集成安全性和控制措施，這樣可以更好地識別和消除潛在的安全弱點(diǎn)，減少漏洞的產(chǎn)生和被利用的風(fēng)險，從而更好地適應當前復雜的網(wǎng)絡(luò )安全威脅環(huán)境。

研究咨詢(xún)公司ESG的網(wǎng)絡(luò )安全業(yè)務(wù)總監Melinda Marks表示：“組織在開(kāi)展網(wǎng)絡(luò )安全能力建設時(shí)，越早采取行動(dòng)越好，可以減輕很多壓力。因為如果把安全性拖到系統應用的后期，一旦遇到問(wèn)題就可能意味著(zhù)從頭開(kāi)始，因為我們無(wú)法保證所做的一切都是安全的?！比欢?，盡管采用安全左移的方法可以帶來(lái)更強大的安全性，減少漏洞和風(fēng)險，但組織在實(shí)施安全左移的時(shí)候，往往會(huì )伴隨著(zhù)許多困難和挑戰。

01、缺少計劃是安全左移最大的挑戰

在應用軟件開(kāi)發(fā)中盡早嵌入安全能力說(shuō)起來(lái)容易做起來(lái)難。安全研究人員都表示，他們已經(jīng)看到一些組織正在沒(méi)有足夠計劃或得到足夠支持的情況下倉促啟動(dòng)了安全左移工作。這種做法是絕對不可取的。

如果組織不能有計劃地實(shí)施左移，通常很難取得成功。組織必須為安全左移工作制定有計劃的實(shí)踐、指導方針和操作指南。此外，組織的安全負責人應該創(chuàng )建一個(gè)“概述合適構建塊的路線(xiàn)圖”——例如，解決DevSecOps架構和團隊所需的策略，以便在早期有效地解決安全問(wèn)題，并創(chuàng )建可重復的實(shí)踐。

安全專(zhuān)家還建議，企業(yè)組織應該采用一種迭代遞進(jìn)的方法來(lái)實(shí)現他們的安全左移計劃，從試點(diǎn)開(kāi)始，然后擴大到整個(gè)團隊和所有應用系統，并隨著(zhù)團隊從左移工作中學(xué)習而不斷調整安全能力左移的過(guò)程。

02、將安全的責任轉嫁給開(kāi)發(fā)團隊

專(zhuān)業(yè)研究機構Gartner的高級主管分析師William Dupre表示：我們傾向于不使用“左移”這個(gè)詞，因為它會(huì )讓人覺(jué)得“組織把安全問(wèn)題交給了開(kāi)發(fā)團隊去解決。而這并不是安全左移的真實(shí)理念。通過(guò)安全能力左移，企業(yè)希望開(kāi)發(fā)團隊更好地發(fā)揮他們的作用，但絕不是將安全防護的責任轉移到他們身上?！?/span>

研究人員發(fā)現，在實(shí)際應用中，也確實(shí)出現了很多上述的案例，一些企業(yè)的安全左移計劃，實(shí)際上就是把安全防護的責任推給了開(kāi)發(fā)人員。開(kāi)發(fā)團隊被告知，“現在你要為安全負責，”在這樣的安全左移工作中，必然會(huì )引發(fā)工作文化的激烈沖突。

相比之下，Dupre更喜歡DevSecOps這個(gè)術(shù)語(yǔ)，因為它更好地代表了安全左移這個(gè)概念所要實(shí)現的目標——即讓開(kāi)發(fā)人員、運營(yíng)團隊與安全部門(mén)共同努力，以確保安全、高質(zhì)量的軟件產(chǎn)品。

03、為了“左移”而左移

隨著(zhù)越來(lái)越多的企業(yè)開(kāi)發(fā)團隊采取左移策略，安全管理者需要不斷倡導他們進(jìn)一步地擴展安全性。因為網(wǎng)絡(luò )安全能力建設不僅僅需要左移，也同樣需要右移。一旦應用程序投入到實(shí)際生產(chǎn)環(huán)境中，組織就需要能夠實(shí)現持續測試和可觀(guān)察性。所以從本質(zhì)上來(lái)說(shuō)，企業(yè)組織需要確保軟件產(chǎn)品的安全性隨著(zhù)應用時(shí)間的推移而不斷提高，并確保這些系統在實(shí)際部署后始終是安全可靠的。

因此，企業(yè)不要單純地為了“左移”而左移，而是要將安全性視為一種“無(wú)限地、連續的”過(guò)程，是一個(gè)需要全生命周期覆蓋的閉環(huán)。開(kāi)發(fā)者們需要能夠快速地開(kāi)發(fā)和部署應用，然后不斷更新。因此，安全部門(mén)也需要能夠步調一致地制定一份涵蓋整個(gè)生命周期的安全戰略計劃。

04、安全左移減緩了軟件開(kāi)發(fā)流程

很多組織對采用安全左移策略的一個(gè)擔憂(yōu)是，在開(kāi)發(fā)環(huán)節融入安全性是否會(huì )減慢軟件產(chǎn)品的創(chuàng )建和發(fā)布以及新功能的升級速度。這不僅僅是開(kāi)發(fā)者的擔心，甚至也是很多業(yè)務(wù)部門(mén)領(lǐng)導者的擔心。

其實(shí)，他們的這種擔憂(yōu)主要源于過(guò)去的經(jīng)驗，在傳統應用開(kāi)發(fā)模式下，代碼必須在正式應用前通過(guò)安全審查，這往往會(huì )造成延誤。正如上文所述，“把安全工作留到最后確實(shí)會(huì )拖慢事情的發(fā)展，如果總是在最后時(shí)刻才看到安全人員出現，那么安全當然被視為減緩開(kāi)發(fā)過(guò)程的因素?！睘榇?，CISO必須證明左移方法可以同時(shí)支持安全性和速度。通過(guò)有效的合作，以及階段性的勝利，組織可以展示全面安全左移戰略帶來(lái)的巨大價(jià)值和潛力。

05、安全左移的驅動(dòng)力不足

實(shí)施安全能力左移工作，需要企業(yè)各個(gè)相關(guān)團隊做好心態(tài)上的轉變，開(kāi)發(fā)人員、安全從業(yè)人員及其管理人員不僅要克服對速度的擔憂(yōu)，還必須改變傳統根深蒂固的工作方式，采用新的流程和工具，這對組織來(lái)說(shuō)無(wú)疑是一個(gè)極大的挑戰。

在這種情況下，企業(yè)管理層應該給予和安全左移工作相關(guān)的團隊適當激勵，讓他們以最容易被接受的方式工作，并在盡可能早的時(shí)候將安全性嵌入到開(kāi)發(fā)過(guò)程中。與此同時(shí)，開(kāi)發(fā)人員應該有圍繞安全性的KPI——這是他們以前所沒(méi)有的。更廣泛地說(shuō)，建議組織考慮“集成KPI”，這樣一來(lái)，產(chǎn)品團隊和DevSecOps團隊的所有成員以及任何其他利益相關(guān)者都有責任滿(mǎn)足軟件產(chǎn)品上市速度、性能和安全性方面的整體要求。

06、缺乏專(zhuān)業(yè)的人才與培訓

實(shí)施安全左移工作需要專(zhuān)業(yè)的人才支撐保障，這是讓安全左移工作獲得成功的一個(gè)重要因素。不過(guò)在很多企業(yè)組織中，現實(shí)情況卻并非總是如此。由于很多開(kāi)發(fā)人員不了解風(fēng)險是什么，以及代碼是如何被惡意利用的，因此他們無(wú)法在整個(gè)開(kāi)發(fā)周期中做到與安全人員有效的溝通合作。

解決這個(gè)問(wèn)題的辦法就是要提供足夠的專(zhuān)業(yè)培訓。此外，組織安全管理者還可以尋找并啟用“安全冠軍”（security champions）計劃并找到有效方法來(lái)培養一種安全優(yōu)先的心態(tài)。

與此同時(shí)，組織需要將更多的安全專(zhuān)家資源投入到安全能力左移的過(guò)程中，只有當安全左移過(guò)程擁有合適的安全專(zhuān)業(yè)人員時(shí)，DevSecOps才能工作得最好。如果不重視復合人才的配比與培養，開(kāi)發(fā)、安全和運營(yíng)就必然會(huì )回到“各自為政”的狀態(tài)。

07、缺乏合適的技術(shù)工具

在實(shí)現安全能力左移的工作中，組織需要借助先進(jìn)的技術(shù)和產(chǎn)品來(lái)支持左移方法，包括威脅建模、靜態(tài)應用程序安全測試、動(dòng)態(tài)應用程序安全測試以及其他類(lèi)型的安全性?huà)呙韫ぞ?。通過(guò)先進(jìn)的技術(shù)，再加上自動(dòng)化能力，才會(huì )讓DevOps團隊更容易地引入安全性。

但專(zhuān)家表示，僅僅實(shí)現這些技術(shù)是不夠的。相反地，應該選擇能夠與開(kāi)發(fā)人員已經(jīng)使用的平臺很好地集成的工具，或者選擇使用已經(jīng)嵌入到這些開(kāi)發(fā)平臺中的安全功能。此外，組織還需要在開(kāi)發(fā)過(guò)程中“無(wú)摩擦”地使用這些工具，特別是在開(kāi)始時(shí)，因為警報可能會(huì )迅速淹沒(méi)DevSecOps團隊，導致很多人因為產(chǎn)生焦慮和倦怠情緒而放棄了左移進(jìn)程。

為了應對這種情況，安全團隊需要向DevSecOps部門(mén)提供指導，以便他們知道如何根據企業(yè)風(fēng)險因素對漏洞進(jìn)行分類(lèi)。組織還需要確保所有相關(guān)的團隊都能清楚地認識到，安全部門(mén)負責確定要修復漏洞的優(yōu)先級，而開(kāi)發(fā)人員負責修復它們。

原文來(lái)源：安全牛