大多數(shù)組織的工作環(huán)境看起來與10年前完全不同,這對IT部門和安全專業(yè)人員的影響是深遠的。DevSecOps是一項旨在提高數(shù)據(jù)和應用程序安全性的運動,一系列危機將加速并重塑這一運動。
首席信息官通過在組織中創(chuàng)建一致的安全文化為DevSecOps團隊奠定了基礎(chǔ),但這種文化也必須擴展到應用程序開發(fā)團隊。建立DevSecOps需要領(lǐng)導層將IT系統(tǒng)、應用程序和安全性作為一個統(tǒng)一的、相互關(guān)聯(lián)的系統(tǒng)來考慮和運維。此外,IT領(lǐng)導者及其團隊必須采用系統(tǒng)分析實踐來更全面地分析性能、功能和安全性。
DevSecOps主要關(guān)注文化和過程,而不是產(chǎn)品和技術(shù),但它確實為軟件和服務(wù)創(chuàng)造了一個市場。數(shù)據(jù)表明,DevSecOps仍然是一個利基。但這是一個快速增長的項目,復合年增長率約為32%:支出主要用于自動化工具,這些工具將安全嵌入開發(fā)過程,并減少安全相關(guān)任務(wù)的開銷,如威脅建模、代碼審計、漏洞分析和應用程序工具。
工作環(huán)境的突然轉(zhuǎn)變促進了IT交付業(yè)務(wù)應用程序、協(xié)作服務(wù)和連接方式的重大變化。這三者都對安全性有著深遠的影響,DevSecOps組織也是如此。下面的DevSecOps趨勢導致了這些變化。
IT走向云端
疫情后IT的兩大趨勢是云服務(wù)的急劇增長和企業(yè)網(wǎng)絡(luò)的解體。一旦員工離開辦公樓,數(shù)據(jù)中心也撤離了,私人基礎(chǔ)設(shè)施的許多好處就成了障礙。
如圖1所示,來自Flexera的數(shù)據(jù)顯示,大多數(shù)IT組織計劃顯著增加(而不是削減)SaaS應用程序和云基礎(chǔ)設(shè)施的開支。因此,人們的反應是普遍放棄私人數(shù)據(jù)中心。55%的受訪IT企業(yè)表示,他們計劃在兩年內(nèi)減少數(shù)據(jù)中心的占地面積。
這一趨勢對DevSecOps乃至整個IT來說意義重大,因為一旦企業(yè)成功地將AWS、Microsoft365、Zoom、Slack和Google Meet等云服務(wù)整合到自己的環(huán)境中,很少有企業(yè)會回到員工全部回辦公室工作的狀態(tài)。普華永道(PwC)2021年1月的一項調(diào)查發(fā)現(xiàn),大多數(shù)員工可能會有一半以上的時間遠程工作。
當開發(fā)人員圍繞使用容器、無服務(wù)器功能和云原生服務(wù)的微服務(wù)架構(gòu)重新設(shè)計應用程序時,云服務(wù)最有價值。反過來,云原生應用程序需要DevSecOps實踐來整合云開發(fā)和部署(例如,基礎(chǔ)設(shè)施即代碼)服務(wù)和可以掃描云環(huán)境的安全工具。
工作到了邊緣
向分布式工作轉(zhuǎn)移需要同樣程度的持久性。分散在無數(shù)寬帶和無線網(wǎng)絡(luò)中的員工經(jīng)常發(fā)現(xiàn),內(nèi)部服務(wù)器比超大型設(shè)施提供的云服務(wù)更難訪問,性能也更慢,這些設(shè)施之間有大量的光纖鏈路和主要交換點。由于IT人員也是遠程的,它在遠程管理中進行內(nèi)部系統(tǒng)和云服務(wù)維護。然而,它也破壞了為內(nèi)部基礎(chǔ)設(shè)施設(shè)計的安全協(xié)議。
同樣,使用寬帶和無線網(wǎng)絡(luò)的遠程員工需要新的方法來提高公司網(wǎng)絡(luò)的可靠性和安全性,包括客戶端SD-WAN和安全訪問服務(wù)邊緣。
DevSecOps團隊既是這些新功能的管理員,也是用戶。例如,DevSecOps專業(yè)人員可以將零信任網(wǎng)絡(luò)訪問和雙因素身份驗證構(gòu)建到工具鏈中,以加強對源代碼、CI/CD事件觸發(fā)器和應用程序或云資源部署的控制。
分布式供應鏈帶來了新的安全威脅
2020年的SolarWinds事件暴露了可以利用軟件供應鏈中的漏洞(即SolarWinds的內(nèi)部網(wǎng)絡(luò)及其更新服務(wù)器)實現(xiàn)高級持久性威脅,對SolarWinds Orion監(jiān)控服務(wù)器安裝實施多階段攻擊。FireEye使用自己的軟件發(fā)現(xiàn)了這一漏洞,但這是在攻擊者獲得了數(shù)千名客戶(包括美國主要政府機構(gòu))不可知量的敏感數(shù)據(jù)之后。
由大量設(shè)備和軟件供應商、微服務(wù)應用程序和云服務(wù)組成的異構(gòu)IT環(huán)境更可能面臨供應鏈攻擊。DevSecOps團隊必須支持他們的安全架構(gòu)、策略和檢查,以檢測和遏制此類攻擊。
開源項目存儲庫是供應鏈妥協(xié)的一種“陰險”形式,因為它們鼓勵任何人的貢獻,不幸的是,這可能包括使用偽造身份的攻擊者。2021年2月,安全研究人員Alex Birsan記錄了一種利用所謂依賴混淆的策略,這種策略欺騙軟件用戶將受污染的軟件包自動下載到他們的項目中。
Birsan聲稱,被感染的代碼使他能夠攻破35家大公司,其中包括蘋果和微軟等科技巨頭,這兩家公司分別向他支付了3萬美元和4萬美元的bug賞金。此后,微軟發(fā)布了一份白皮書,記錄了限制pull請求的作用域或命名空間以及使用安全私有存儲庫(如Azure Artifacts)的技術(shù),該文件增加了“防止公共包意外替換或與私有包合并的保護”。
其他趨勢和風險
工作和IT環(huán)境的變化會帶來其他一些風險和機遇,DevSecOps團隊應該面對這些風險和機遇,例如:
網(wǎng)絡(luò)釣魚和勒索軟件攻擊的數(shù)量和復雜程度增加,這些攻擊利用遠程辦公的員工——他們對家庭系統(tǒng)的安全控制較弱,但卻有權(quán)訪問公司數(shù)據(jù);
來自內(nèi)部人士的重大威脅,他們通常是出于金錢的動機(占所有違規(guī)行為的35%);
增加監(jiān)管、政治和媒體對數(shù)據(jù)隱私和保護的關(guān)注,包括增加違反法律和法規(guī)的罰款數(shù)量和嚴重程度;
AI和機器學習技術(shù)在整個IT管理和自動化工具鏈中的擴散。
遠程工作和其他內(nèi)部威脅強調(diào)了DevSecOps需要在整個組織的工具鏈中嵌入安全過程和控制。AIOps工具中的高級功能顯著提高了自動化和安全工具的有效性和效率,這使得在安全威脅感染其他系統(tǒng)或部署到生產(chǎn)應用程序之前更容易檢測和消除它們。
DevSecOps團隊面對的是一個擁有更大攻擊面、更復雜對手和更嚴格審查的世界,但可喜的是有更好的工具和服務(wù)來滿足安全需求。