CISO的下一步:從應(yīng)用安全到產(chǎn)品安全

無論是所謂的“安全左移”、“內(nèi)生安全”還是“設(shè)計安全”,當(dāng)今最具前瞻性思維的企業(yè)都明白,需要站在業(yè)務(wù)和產(chǎn)品的整個生命周期的高度考慮安全性問題,而不是僅僅局限于單個應(yīng)用程序。為此,越來越多的企業(yè)正在通過產(chǎn)品安全團隊和首席產(chǎn)品安全官(CPSO)來推動這一變革。

1.png

本文來自微信公眾號“GoUpSec”。

與應(yīng)用安全相比,產(chǎn)品安全的“全域安全”方法變得越來越受歡迎。

無論是所謂的“安全左移”、“內(nèi)生安全”還是“設(shè)計安全”,當(dāng)今最具前瞻性思維的企業(yè)都明白,需要站在業(yè)務(wù)和產(chǎn)品的整個生命周期的高度考慮安全性問題,而不是僅僅局限于單個應(yīng)用程序。為此,越來越多的企業(yè)正在通過產(chǎn)品安全團隊和首席產(chǎn)品安全官(CPSO)來推動這一變革。

產(chǎn)品安全遠(yuǎn)遠(yuǎn)超出應(yīng)用安全以軟件測試為主的范疇,擴展到安全意識宣傳、業(yè)務(wù)團隊協(xié)作、設(shè)計思維、威脅建模、架構(gòu)規(guī)劃甚至企業(yè)風(fēng)險管理領(lǐng)域。Appdome首席產(chǎn)品官ChrisRoeckl指出:“通過積極參與產(chǎn)品開發(fā)的每個階段,產(chǎn)品安全團隊能將安全要素嵌入到軟件的設(shè)計、架構(gòu)、編碼、測試以及生產(chǎn)環(huán)境發(fā)布;這種主動方法是一種良性循環(huán),可以最大限度地降低漏洞風(fēng)險,并確保網(wǎng)絡(luò)安全成為企業(yè)產(chǎn)品不可或缺的重要元素。”

如果方法得當(dāng),產(chǎn)品安全將成為CISO兌現(xiàn)DevSecOps倡導(dǎo)者多年來所作承諾的重要杠桿。

應(yīng)用安全和產(chǎn)品安全有何不同?

雖然應(yīng)用安全和產(chǎn)品安全都有一個共同的目標(biāo)——幫助企業(yè)發(fā)布和維護安全的軟件,但二者在實現(xiàn)這一目標(biāo)中所扮演的角色是不同的。應(yīng)用安全真正關(guān)注的是測試、驗證和工具鏈,而產(chǎn)品安全則涵蓋整個SDLC的業(yè)務(wù)規(guī)則,包括軟件開發(fā)中薄弱的“人的因素”。

此外,雖然應(yīng)用安全團隊會深入研究并強化每個應(yīng)用程序,但產(chǎn)品安全能從全局、端到端角度審視有助于確保產(chǎn)品的“全域安全”。換而言之,產(chǎn)品安全是應(yīng)用安全的延伸。應(yīng)用安全專注于保護單個軟件應(yīng)用程序的代碼和功能,而產(chǎn)品安全則對產(chǎn)品進行整體審視,考慮的維度和場景(環(huán)境)更多,包括各組件之間的通信可能存在的潛在攻擊媒介。

簡而言之,產(chǎn)品安全需要考慮的環(huán)境要素包括大量應(yīng)用程序、硬件組件和相關(guān)服務(wù),以及所有這些要素部署在一起時的安全狀況。

對于有些企業(yè)來說,產(chǎn)品安全可能更多關(guān)注的是外部客戶,但也有企業(yè)認(rèn)為后端財務(wù)或人力資源等內(nèi)部系統(tǒng)和項目也屬于產(chǎn)品安全保護的范圍。無論哪種方式,產(chǎn)品安全的前景都更加廣闊和全面,軟件開發(fā)公司EPAMSystems的首席信息安全官SamRehman認(rèn)為:“產(chǎn)品安全的范圍更廣,包括運營和技術(shù)控制、整體環(huán)境、客戶身份以及檢測和響應(yīng)服務(wù)中潛在問題的機制。”

黑莓產(chǎn)品安全副總裁ChristineGadsby用一個形象的比喻來幫助理解應(yīng)用安全和產(chǎn)品安全的區(qū)別:如果將應(yīng)用程序比喻為蛋糕,那么應(yīng)用安全就是在將一塊蛋糕提供給某人之前的俺安全檢查,以確保蛋糕看起來安全并且沒有污染物。產(chǎn)品安全則是指改進面包店制作蛋糕的方式及其使用的工具,以確保每個蛋糕都是安全且味道鮮美的。“產(chǎn)品安全更多的是一種‘全局’方法——從原料到成品的整個烘焙過程的每一步都采取正確的行動和流程,以確保蛋糕的成分穩(wěn)定,風(fēng)味能夠滿足客戶的要求。

產(chǎn)品安全正在迅速崛起

產(chǎn)品安全(人員)進入企業(yè)組織結(jié)構(gòu)圖的事實并不是對傳統(tǒng)應(yīng)用安全測試的否定。事實上,越來越多的企業(yè)技術(shù)負(fù)責(zé)人認(rèn)識到應(yīng)用程序并非在真空中運行,在應(yīng)用安全之外,企業(yè)還需要一個產(chǎn)品安全團隊來幫助觀察各應(yīng)用程序之間安全差距。產(chǎn)品安全團隊的成員還充當(dāng)安全宣貫者,幫助將安全基礎(chǔ)知識灌輸?shù)介_發(fā)流程和“軟件工廠”中。

API安全測試公司StackHawk的聯(lián)合創(chuàng)始人兼首席安全官ScottGerlach表示,產(chǎn)品安全的出現(xiàn)類似于DevOps運動早期引入的站點可靠性工程:“隨著軟件交付速度越來越快,從開始到交付的整個過程中都需要將可靠性融入到產(chǎn)品中。如今,應(yīng)用安全團隊在開發(fā)過程中與軟件的交互通常很少,而產(chǎn)品安全團隊則能參與到整個產(chǎn)品生命周期中,從產(chǎn)品啟動到發(fā)布進行整合,可以實現(xiàn)更快、更安全的產(chǎn)品交付周期,讓安全盡早融入產(chǎn)品。”

產(chǎn)品安全也不是應(yīng)用安全的替代品。EPAM的Rehman認(rèn)為,在協(xié)調(diào)良好的產(chǎn)品安全框架內(nèi),應(yīng)用安全在保護軟件安全方面將繼續(xù)發(fā)揮重要作用:“產(chǎn)品安全依賴應(yīng)用安全來減少和修復(fù)應(yīng)用程序中的漏洞,以此為基礎(chǔ),其他產(chǎn)品安全措施才能確保高標(biāo)準(zhǔn)的產(chǎn)品安全。”

產(chǎn)品安全可以促進安全文化

產(chǎn)品安全在實施安全設(shè)計原則中發(fā)揮著關(guān)鍵作用。Rehman表示,產(chǎn)品安全團隊全面參與產(chǎn)品或服務(wù)的設(shè)計階段,這種參與延伸到產(chǎn)品策略和控制,而這些策略和控制會深入根植到到產(chǎn)品的架構(gòu)和功能中。

幫助定義產(chǎn)品策略只是開始,因為產(chǎn)品安全是工程和開發(fā)、業(yè)務(wù)利益相關(guān)者和安全領(lǐng)導(dǎo)之間協(xié)作的催化劑。企業(yè)經(jīng)常讓產(chǎn)品安全團隊充當(dāng)變革推動者,在企業(yè)范圍推動難以捉摸但又至關(guān)重要的安全文化。

黑莓產(chǎn)品安全副總裁ChristineGadsby表示:“產(chǎn)品安全團隊可以幫助企業(yè)創(chuàng)建一種安全意識文化,讓每個人都了解并通過定期交流最新安全知識、成功經(jīng)驗和挑戰(zhàn)來提高員工日常工作中的安全意識。產(chǎn)品安全團隊可以制定明確的指導(dǎo)方針和標(biāo)準(zhǔn),提供資源來教育員工最佳安全實踐,并與開發(fā)團隊合作將安全性集成到軟件開發(fā)生命周期中。”

雖然產(chǎn)品安全做了相當(dāng)多的宣傳和政策制訂工作,但優(yōu)秀的產(chǎn)品安全團隊不滿足于提(安全)要求,SynopsysIntegrityGroup副首席安全顧問JamieBoote表示,產(chǎn)品安全團隊還應(yīng)該幫助減少(安全與業(yè)務(wù)的)摩擦。

一種可能阻礙企業(yè)安全文化的摩擦是認(rèn)知摩擦,即理解和解決安全問題所需的腦力勞動,產(chǎn)品安全團隊可以通過提供培訓(xùn)、可重用的解決方案以及其他團隊可以輕松適應(yīng)和使用的安全設(shè)計組件來減少開發(fā)人員、架構(gòu)師、工程師和其他利益相關(guān)者所經(jīng)歷的認(rèn)知摩擦。”

誰來負(fù)責(zé)產(chǎn)品安全?

企業(yè)需要在產(chǎn)品安全團隊中安排合適的人選并建立相應(yīng)的匯報機制來推動變革。優(yōu)秀的產(chǎn)品安全專業(yè)人員需要同時具備熟練的技術(shù)和軟技能,以便推動其他團隊的協(xié)作,不善言辭的技術(shù)大咖顯然并非理想人選。同樣,產(chǎn)品安全團隊還需要一位對業(yè)務(wù)和工程都有深刻理解的負(fù)責(zé)人。Rehman表示:“為了推動有效的產(chǎn)品安全,企業(yè)必須任命一位同時具備扎實的產(chǎn)品知識和深厚的安全專業(yè)知識的人員。”

根據(jù)不同的企業(yè)需求和文化,產(chǎn)品安全團隊的匯報對象會有很大差異。如果產(chǎn)品安全團隊是圍繞產(chǎn)品開發(fā)搭建的,那么他們可能會嵌入到工程或產(chǎn)品部門中。產(chǎn)品安全團隊最常見的直接匯報渠道通常是CISO、CTO、CIO、副總裁或安全總監(jiān)。但也有一些團隊可能會根據(jù)監(jiān)管或法律風(fēng)險向法律或合規(guī)部門報告。

Rehman表示,“如果安全安全團隊技術(shù)能出色且穩(wěn)健,建議直接向CISO報告,確保產(chǎn)品安全工作與公司安全戰(zhàn)略保持一致,并確保在所有產(chǎn)品和服務(wù)中始終如一地實施安全措施。”

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論