2023年11月11日
隨著互聯(lián)網(wǎng)和信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全威脅的復(fù)雜性和嚴(yán)重性不斷增加。今天的攻擊者會采用更先進(jìn)和隱蔽的攻擊技術(shù),使得傳統(tǒng)的“右側(cè)”網(wǎng)絡(luò)安全防護(hù)模式已經(jīng)顯得“力不從心”,傳統(tǒng)的邊界防御方法也變得不夠有效。
在此背景下,將安全能力左移作為一種預(yù)防性的安全策略被提出。安全左移強(qiáng)調(diào)在系統(tǒng)設(shè)計、開發(fā)和部署的早期階段就集成安全性和控制措施,這樣可以更好地識別和消除潛在的安全弱點,減少漏洞的產(chǎn)生和被利用的風(fēng)險,從而更好地適應(yīng)當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全威脅環(huán)境。
研究咨詢公司ESG的網(wǎng)絡(luò)安全業(yè)務(wù)總監(jiān)Melinda Marks表示:“組織在開展網(wǎng)絡(luò)安全能力建設(shè)時,越早采取行動越好,可以減輕很多壓力。因為如果把安全性拖到系統(tǒng)應(yīng)用的后期,一旦遇到問題就可能意味著從頭開始,因為我們無法保證所做的一切都是安全的。”然而,盡管采用安全左移的方法可以帶來更強(qiáng)大的安全性,減少漏洞和風(fēng)險,但組織在實施安全左移的時候,往往會伴隨著許多困難和挑戰(zhàn)。
01、缺少計劃是安全左移最大的挑戰(zhàn)
在應(yīng)用軟件開發(fā)中盡早嵌入安全能力說起來容易做起來難。安全研究人員都表示,他們已經(jīng)看到一些組織正在沒有足夠計劃或得到足夠支持的情況下倉促啟動了安全左移工作。這種做法是絕對不可取的。
如果組織不能有計劃地實施左移,通常很難取得成功。組織必須為安全左移工作制定有計劃的實踐、指導(dǎo)方針和操作指南。此外,組織的安全負(fù)責(zé)人應(yīng)該創(chuàng)建一個“概述合適構(gòu)建塊的路線圖”——例如,解決DevSecOps架構(gòu)和團(tuán)隊所需的策略,以便在早期有效地解決安全問題,并創(chuàng)建可重復(fù)的實踐。
安全專家還建議,企業(yè)組織應(yīng)該采用一種迭代遞進(jìn)的方法來實現(xiàn)他們的安全左移計劃,從試點開始,然后擴(kuò)大到整個團(tuán)隊和所有應(yīng)用系統(tǒng),并隨著團(tuán)隊從左移工作中學(xué)習(xí)而不斷調(diào)整安全能力左移的過程。
02、將安全的責(zé)任轉(zhuǎn)嫁給開發(fā)團(tuán)隊
專業(yè)研究機(jī)構(gòu)Gartner的高級主管分析師William Dupre表示:我們傾向于不使用“左移”這個詞,因為它會讓人覺得“組織把安全問題交給了開發(fā)團(tuán)隊去解決。而這并不是安全左移的真實理念。通過安全能力左移,企業(yè)希望開發(fā)團(tuán)隊更好地發(fā)揮他們的作用,但絕不是將安全防護(hù)的責(zé)任轉(zhuǎn)移到他們身上。”
研究人員發(fā)現(xiàn),在實際應(yīng)用中,也確實出現(xiàn)了很多上述的案例,一些企業(yè)的安全左移計劃,實際上就是把安全防護(hù)的責(zé)任推給了開發(fā)人員。開發(fā)團(tuán)隊被告知,“現(xiàn)在你要為安全負(fù)責(zé),”在這樣的安全左移工作中,必然會引發(fā)工作文化的激烈沖突。
相比之下,Dupre更喜歡DevSecOps這個術(shù)語,因為它更好地代表了安全左移這個概念所要實現(xiàn)的目標(biāo)——即讓開發(fā)人員、運營團(tuán)隊與安全部門共同努力,以確保安全、高質(zhì)量的軟件產(chǎn)品。
03、為了“左移”而左移
隨著越來越多的企業(yè)開發(fā)團(tuán)隊采取左移策略,安全管理者需要不斷倡導(dǎo)他們進(jìn)一步地擴(kuò)展安全性。因為網(wǎng)絡(luò)安全能力建設(shè)不僅僅需要左移,也同樣需要右移。一旦應(yīng)用程序投入到實際生產(chǎn)環(huán)境中,組織就需要能夠?qū)崿F(xiàn)持續(xù)測試和可觀察性。所以從本質(zhì)上來說,企業(yè)組織需要確保軟件產(chǎn)品的安全性隨著應(yīng)用時間的推移而不斷提高,并確保這些系統(tǒng)在實際部署后始終是安全可靠的。
因此,企業(yè)不要單純地為了“左移”而左移,而是要將安全性視為一種“無限地、連續(xù)的”過程,是一個需要全生命周期覆蓋的閉環(huán)。開發(fā)者們需要能夠快速地開發(fā)和部署應(yīng)用,然后不斷更新。因此,安全部門也需要能夠步調(diào)一致地制定一份涵蓋整個生命周期的安全戰(zhàn)略計劃。
04、安全左移減緩了軟件開發(fā)流程
很多組織對采用安全左移策略的一個擔(dān)憂是,在開發(fā)環(huán)節(jié)融入安全性是否會減慢軟件產(chǎn)品的創(chuàng)建和發(fā)布以及新功能的升級速度。這不僅僅是開發(fā)者的擔(dān)心,甚至也是很多業(yè)務(wù)部門領(lǐng)導(dǎo)者的擔(dān)心。
其實,他們的這種擔(dān)憂主要源于過去的經(jīng)驗,在傳統(tǒng)應(yīng)用開發(fā)模式下,代碼必須在正式應(yīng)用前通過安全審查,這往往會造成延誤。正如上文所述,“把安全工作留到最后確實會拖慢事情的發(fā)展,如果總是在最后時刻才看到安全人員出現(xiàn),那么安全當(dāng)然被視為減緩開發(fā)過程的因素。”為此,CISO必須證明左移方法可以同時支持安全性和速度。通過有效的合作,以及階段性的勝利,組織可以展示全面安全左移戰(zhàn)略帶來的巨大價值和潛力。
05安全左移的驅(qū)動力不足
實施安全能力左移工作,需要企業(yè)各個相關(guān)團(tuán)隊做好心態(tài)上的轉(zhuǎn)變,開發(fā)人員、安全從業(yè)人員及其管理人員不僅要克服對速度的擔(dān)憂,還必須改變傳統(tǒng)根深蒂固的工作方式,采用新的流程和工具,這對組織來說無疑是一個極大的挑戰(zhàn)。
在這種情況下,企業(yè)管理層應(yīng)該給予和安全左移工作相關(guān)的團(tuán)隊適當(dāng)激勵,讓他們以最容易被接受的方式工作,并在盡可能早的時候?qū)踩郧度氲介_發(fā)過程中。與此同時,開發(fā)人員應(yīng)該有圍繞安全性的KPI——這是他們以前所沒有的。更廣泛地說,建議組織考慮“集成KPI”,這樣一來,產(chǎn)品團(tuán)隊和DevSecOps團(tuán)隊的所有成員以及任何其他利益相關(guān)者都有責(zé)任滿足軟件產(chǎn)品上市速度、性能和安全性方面的整體要求。
06、缺乏專業(yè)的人才與培訓(xùn)
實施安全左移工作需要專業(yè)的人才支撐保障,這是讓安全左移工作獲得成功的一個重要因素。不過在很多企業(yè)組織中,現(xiàn)實情況卻并非總是如此。由于很多開發(fā)人員不了解風(fēng)險是什么,以及代碼是如何被惡意利用的,因此他們無法在整個開發(fā)周期中做到與安全人員有效的溝通合作。
解決這個問題的辦法就是要提供足夠的專業(yè)培訓(xùn)。此外,組織安全管理者還可以尋找并啟用“安全冠軍”(security champions)計劃并找到有效方法來培養(yǎng)一種安全優(yōu)先的心態(tài)。
與此同時,組織需要將更多的安全專家資源投入到安全能力左移的過程中,只有當(dāng)安全左移過程擁有合適的安全專業(yè)人員時,DevSecOps才能工作得最好。如果不重視復(fù)合人才的配比與培養(yǎng),開發(fā)、安全和運營就必然會回到“各自為政”的狀態(tài)。
07、缺乏合適的技術(shù)工具
在實現(xiàn)安全能力左移的工作中,組織需要借助先進(jìn)的技術(shù)和產(chǎn)品來支持左移方法,包括威脅建模、靜態(tài)應(yīng)用程序安全測試、動態(tài)應(yīng)用程序安全測試以及其他類型的安全性掃描工具。通過先進(jìn)的技術(shù),再加上自動化能力,才會讓DevOps團(tuán)隊更容易地引入安全性。
但專家表示,僅僅實現(xiàn)這些技術(shù)是不夠的。相反地,應(yīng)該選擇能夠與開發(fā)人員已經(jīng)使用的平臺很好地集成的工具,或者選擇使用已經(jīng)嵌入到這些開發(fā)平臺中的安全功能。此外,組織還需要在開發(fā)過程中“無摩擦”地使用這些工具,特別是在開始時,因為警報可能會迅速淹沒DevSecOps團(tuán)隊,導(dǎo)致很多人因為產(chǎn)生焦慮和倦怠情緒而放棄了左移進(jìn)程。
為了應(yīng)對這種情況,安全團(tuán)隊需要向DevSecOps部門提供指導(dǎo),以便他們知道如何根據(jù)企業(yè)風(fēng)險因素對漏洞進(jìn)行分類。組織還需要確保所有相關(guān)的團(tuán)隊都能清楚地認(rèn)識到,安全部門負(fù)責(zé)確定要修復(fù)漏洞的優(yōu)先級,而開發(fā)人員負(fù)責(zé)修復(fù)它們。
來源:安全牛