網絡安全能力左移面臨7大挑戰
責編:gltian |2023-11-09 14:10:02隨著互聯網和信息技術的快速發展,網絡安全威脅的復雜性和嚴重性不斷增加。今天的攻擊者會采用更先進和隱蔽的攻擊技術,使得傳統的“右側”網絡安全防護模式已經顯得“力不從心”,傳統的邊界防御方法也變得不夠有效。
在此背景下,將安全能力左移作為一種預防性的安全策略被提出。安全左移強調在系統設計、開發和部署的早期階段就集成安全性和控制措施,這樣可以更好地識別和消除潛在的安全弱點,減少漏洞的產生和被利用的風險,從而更好地適應當前復雜的網絡安全威脅環境。
研究咨詢公司ESG的網絡安全業務總監Melinda Marks表示:“組織在開展網絡安全能力建設時,越早采取行動越好,可以減輕很多壓力。因為如果把安全性拖到系統應用的后期,一旦遇到問題就可能意味著從頭開始,因為我們無法保證所做的一切都是安全的。”然而,盡管采用安全左移的方法可以帶來更強大的安全性,減少漏洞和風險,但組織在實施安全左移的時候,往往會伴隨著許多困難和挑戰。
01
缺少計劃是安全左移最大的挑戰
在應用軟件開發中盡早嵌入安全能力說起來容易做起來難。安全研究人員都表示,他們已經看到一些組織正在沒有足夠計劃或得到足夠支持的情況下倉促啟動了安全左移工作。這種做法是絕對不可取的。
如果組織不能有計劃地實施左移,通常很難取得成功。組織必須為安全左移工作制定有計劃的實踐、指導方針和操作指南。此外,組織的安全負責人應該創建一個“概述合適構建塊的路線圖”——例如,解決DevSecOps架構和團隊所需的策略,以便在早期有效地解決安全問題,并創建可重復的實踐。
安全專家還建議,企業組織應該采用一種迭代遞進的方法來實現他們的安全左移計劃,從試點開始,然后擴大到整個團隊和所有應用系統,并隨著團隊從左移工作中學習而不斷調整安全能力左移的過程。
02
將安全的責任轉嫁給開發團隊
專業研究機構Gartner的高級主管分析師William Dupre表示:我們傾向于不使用“左移”這個詞,因為它會讓人覺得“組織把安全問題交給了開發團隊去解決。而這并不是安全左移的真實理念。通過安全能力左移,企業希望開發團隊更好地發揮他們的作用,但絕不是將安全防護的責任轉移到他們身上。”
研究人員發現,在實際應用中,也確實出現了很多上述的案例,一些企業的安全左移計劃,實際上就是把安全防護的責任推給了開發人員。開發團隊被告知,“現在你要為安全負責,”在這樣的安全左移工作中,必然會引發工作文化的激烈沖突。
相比之下,Dupre更喜歡DevSecOps這個術語,因為它更好地代表了安全左移這個概念所要實現的目標——即讓開發人員、運營團隊與安全部門共同努力,以確保安全、高質量的軟件產品。
03
為了“左移”而左移
隨著越來越多的企業開發團隊采取左移策略,安全管理者需要不斷倡導他們進一步地擴展安全性。因為網絡安全能力建設不僅僅需要左移,也同樣需要右移。一旦應用程序投入到實際生產環境中,組織就需要能夠實現持續測試和可觀察性。所以從本質上來說,企業組織需要確保軟件產品的安全性隨著應用時間的推移而不斷提高,并確保這些系統在實際部署后始終是安全可靠的。
因此,企業不要單純地為了“左移”而左移,而是要將安全性視為一種“無限地、連續的”過程,是一個需要全生命周期覆蓋的閉環。開發者們需要能夠快速地開發和部署應用,然后不斷更新。因此,安全部門也需要能夠步調一致地制定一份涵蓋整個生命周期的安全戰略計劃。
04
安全左移減緩了軟件開發流程
很多組織對采用安全左移策略的一個擔憂是,在開發環節融入安全性是否會減慢軟件產品的創建和發布以及新功能的升級速度。這不僅僅是開發者的擔心,甚至也是很多業務部門領導者的擔心。
其實,他們的這種擔憂主要源于過去的經驗,在傳統應用開發模式下,代碼必須在正式應用前通過安全審查,這往往會造成延誤。正如上文所述,“把安全工作留到最后確實會拖慢事情的發展,如果總是在最后時刻才看到安全人員出現,那么安全當然被視為減緩開發過程的因素。”為此,CISO必須證明左移方法可以同時支持安全性和速度。通過有效的合作,以及階段性的勝利,組織可以展示全面安全左移戰略帶來的巨大價值和潛力。
05
安全左移的驅動力不足
實施安全能力左移工作,需要企業各個相關團隊做好心態上的轉變,開發人員、安全從業人員及其管理人員不僅要克服對速度的擔憂,還必須改變傳統根深蒂固的工作方式,采用新的流程和工具,這對組織來說無疑是一個極大的挑戰。
在這種情況下,企業管理層應該給予和安全左移工作相關的團隊適當激勵,讓他們以最容易被接受的方式工作,并在盡可能早的時候將安全性嵌入到開發過程中。與此同時,開發人員應該有圍繞安全性的KPI——這是他們以前所沒有的。更廣泛地說,建議組織考慮“集成KPI”,這樣一來,產品團隊和DevSecOps團隊的所有成員以及任何其他利益相關者都有責任滿足軟件產品上市速度、性能和安全性方面的整體要求。
06
缺乏專業的人才與培訓
實施安全左移工作需要專業的人才支撐保障,這是讓安全左移工作獲得成功的一個重要因素。不過在很多企業組織中,現實情況卻并非總是如此。由于很多開發人員不了解風險是什么,以及代碼是如何被惡意利用的,因此他們無法在整個開發周期中做到與安全人員有效的溝通合作。
解決這個問題的辦法就是要提供足夠的專業培訓。此外,組織安全管理者還可以尋找并啟用“安全冠軍”(security champions)計劃并找到有效方法來培養一種安全優先的心態。
與此同時,組織需要將更多的安全專家資源投入到安全能力左移的過程中,只有當安全左移過程擁有合適的安全專業人員時,DevSecOps才能工作得最好。如果不重視復合人才的配比與培養,開發、安全和運營就必然會回到“各自為政”的狀態。
07
缺乏合適的技術工具
在實現安全能力左移的工作中,組織需要借助先進的技術和產品來支持左移方法,包括威脅建模、靜態應用程序安全測試、動態應用程序安全測試以及其他類型的安全性掃描工具。通過先進的技術,再加上自動化能力,才會讓DevOps團隊更容易地引入安全性。
但專家表示,僅僅實現這些技術是不夠的。相反地,應該選擇能夠與開發人員已經使用的平臺很好地集成的工具,或者選擇使用已經嵌入到這些開發平臺中的安全功能。此外,組織還需要在開發過程中“無摩擦”地使用這些工具,特別是在開始時,因為警報可能會迅速淹沒DevSecOps團隊,導致很多人因為產生焦慮和倦怠情緒而放棄了左移進程。
為了應對這種情況,安全團隊需要向DevSecOps部門提供指導,以便他們知道如何根據企業風險因素對漏洞進行分類。組織還需要確保所有相關的團隊都能清楚地認識到,安全部門負責確定要修復漏洞的優先級,而開發人員負責修復它們。
來源:安全牛