企業(yè)如今面臨日益嚴重的網(wǎng)絡(luò)威脅,安全自動化將為企業(yè)IT團隊提供幫助。
關(guān)于安全性的一個棘手問題是,這就像是“打鼴鼠”的游戲。一次性處理可能很簡單,因為許多漏洞可以修補,并且企業(yè)可能已經(jīng)制定了使用安全應(yīng)用程序的流程。而困難的是,有太多的“鼴鼠”,沒有太多時間來確保系統(tǒng)安全,而人工處理過程很繁瑣,因此需要實現(xiàn)安全自動化。
安全自動化的5種有意義的方法
對于實現(xiàn)安全自動化,企業(yè)可以了解對企業(yè)具有意義的五種方法。
(1)了解對企業(yè)重要的事情
許多安全工具可以集成到自動化流程中,例如持續(xù)集成(CI)/持續(xù)交付(CD)管道。以這種方式集成安全性通常被稱為DevSecOps。DevSecOps是組織擴展DevOps的一些實踐和過程的一種方式,以繼續(xù)快速開發(fā)和縮短發(fā)布周期,同時解決安全問題。而且這樣做不會造成更多的開銷和延遲。
DevSecOps一直面臨的挑戰(zhàn)是安全是一個多方面的問題,無論是對于一般的應(yīng)用程序還是對于云計算原生應(yīng)用程序。DevSecOps掃描源代碼中的已知漏洞,確認應(yīng)用程序依賴項目的當前版本(如數(shù)據(jù)庫)用于構(gòu)建代碼,或者檢查生產(chǎn)中運行的應(yīng)用程序是否保持最新版本。很多人正在搜索將應(yīng)用程序與其他所需組件封裝在一起的容器中的漏洞。企業(yè)要確保應(yīng)用程序平臺、工具鏈和開發(fā)人員客戶端本身是安全的。
其中完成許多任務(wù)需要不同的工具。但是,并非所有這些任務(wù)對于企業(yè)來說都具有同等重要的意義。如果尚未使用容器,或只使用自己構(gòu)建的容器,容器掃描工具可能不是優(yōu)先事項。如果在受到管制的環(huán)境中,則可能需要為某些類型的數(shù)據(jù)或通信優(yōu)先考慮額外的安全級別。
(2)實現(xiàn)容易成功的目標
盡管實施更全面的安全性方法可能是一個重要的項目,但是可以通過一些相對較小的改進而獲得更大的成功,并確保軟件供應(yīng)鏈安全。
隨著開源軟件的廣泛使用,開源代碼正逐漸進入越來越多的應(yīng)用程序中,無論是專有的還是開源的。例如,Synopsys公司在其發(fā)布的“2020開源和風險分析報告”中指出 ,該公司審核了1253個應(yīng)用程序,發(fā)現(xiàn)其中99%的應(yīng)用程序包含開源組件,總的來說,70%的代碼是開源的。分析報告還發(fā)現(xiàn),82%的代碼庫的組件已過期4年以上,88%的代碼庫組件在過去兩年中沒有開發(fā)活動。
但是,企業(yè)不應(yīng)避免使用開源庫和其他組件。它應(yīng)該是從受信任的來源獲取經(jīng)過簽名的軟件,并使其保持最新狀態(tài)。如果在開發(fā)過程中使用開源軟件,那么改善軟件供應(yīng)管理是企業(yè)可以采取的最重要步驟之一,而且?guī)缀醵紩@樣做。
(3)文化勝過過程,過程勝過工具
現(xiàn)在有很多良好的工具。而且企業(yè)應(yīng)該至少利用其中一些工具自動執(zhí)行以確保安全性。但是僅靠工具是不夠的。需要有一個過程,并以一致的方式使用工具。自動化技術(shù)在這方面有很大幫助。
但是企業(yè)還需要一種安全文化,在這種文化中,安全是每個人都在考慮的事情,而不只是安全團隊的事情。
這并不是說每個人都必須成為安全專家,但是需要了解開放式網(wǎng)絡(luò)應(yīng)用程序安全性項目維護的十大網(wǎng)絡(luò)安全性風險列表。該列表包括諸如注入漏洞、跨站點腳本XSS、身份驗證損壞等風險,并且每年都會更新。令人關(guān)注的是每年的變化很小?;仡?0年的清單,就會發(fā)現(xiàn)許多與當前相同的風險。而這種變化很慢,這很重要,因為文化很難改變。
(4)采用自動掃描技術(shù)
安全文化采用可靠的安全過程,并在整個開發(fā)過程中使用安全工具,其結(jié)果是安全性很早就開始內(nèi)置。這是有利的,因為即使最終在代碼投入生產(chǎn)之前發(fā)現(xiàn)了所有的安全缺陷,這意味著現(xiàn)在必須從頭開始,這就是安全性成為瓶頸的原因。
與其相反,企業(yè)應(yīng)該盡早發(fā)現(xiàn)問題,并且解決的成本相對較低,可以使用自動掃描來捕獲漏洞。這是現(xiàn)代制造系統(tǒng)中的一種眾所周知的做法。企業(yè)希望在零組件安裝到車輛上之前就發(fā)現(xiàn)供應(yīng)商的問題。
(5)安全自動化也與運營團隊有關(guān)
雖然DevSecOps在全球范圍內(nèi)可以操作,但考慮到DevOps在歷史上傾向于以開發(fā)人員為中心,因此經(jīng)常會忽略安全性。
然而,安全自動化對運營團隊同樣重要。這種自動化通??雌饋砼c云原生架構(gòu)之前有所不同,那時更可能修復(fù)長時間運行的虛擬機或服務(wù)器實例中的漂移和其他問題?,F(xiàn)在,更有可能關(guān)閉一個容器并啟動一個新容器。
但是,需要知道哪些容器需要構(gòu)建新的容器進行更新,構(gòu)建這些容器包括針對新問題的安全修補程序。此外,在不停機的情況下快速將這些更新的容器投入生產(chǎn)可能會受益于快速部署。
這聽起來工作量很大嗎?如果人工處理的話是這樣。與其相反,監(jiān)視生產(chǎn)中的容器并根據(jù)需要刷新它們的過程需要可靠的自動化技術(shù)。這是安全自動化過程中的共同點。