網絡安全不是一種快速解決方案或者一次性補救措施。需要將其構建到應用開發、測試和發佈管道中,以實現有效性。
隨著企業採用DevOps實踐快速發佈應用,安全性也正在成為開發人員必須確保的關鍵成果之一。這是因為你發佈代碼的速度越快,代碼漏洞的釋放速度就越快。
這就要求有一系列越來越多的“DevSecOps”實踐,這些實踐指的是在持續集成/持續部署或CI/CD工作流中提供“安全即代碼”的方法,而且應用開發、信息技術操作和安全團隊中都需要採用DevSecOps。
本週在舊金山舉行的RSA 2019大會上,有超過4萬名安全領域的人士參加了大會,通過這次活動加深他們的技能、瞭解創新方法、及時瞭解DevSecOps和其他網絡安全的最佳實踐。RSA大會如今已經舉辦了第28屆,大會越來越多地轉向將人工智能和機器學習作為將強大的IT安全性,集成到混合雲和多雲操作中。
我們從RSA大會的許多公告中可以看出,人工智能和機器學習現在是DevSecOps的一個重要組成部分。如果沒有基於人工智能的DevSecOps,雲專業人員將難以在雲中安全地部署和管理微服務、容器和無服務器應用。
這些數據驅動的算法是在整個應用生命週期中自動預防、檢測和修復安全問題的基本組成部分。這些控制措施是API可消費的安全性、24×7主動安全監控、持續漏洞利用測試、閉環網絡自我修復、共享威脅情報和合規性操作的基礎。
根據今年RSA大會上的專家訪談,我們可以看到關於多雲時代下DevSecOps的一些有趣的評論:
全面的威脅建模和風險緩解
網絡安全威脅現在也眼神到混合雲和其他多雲環境中,在這種環境中,“邊界”已經轉移到邊緣設備和應用的數據那裡。
對於網絡安全專業人員來說,實施DevSecOps需要他們在“零信任安全”範例中進行持續的威脅建模和風險緩解。這種方法也被稱為“後邊界安全性”,也就是把每次訪問嘗試都視為來自一個遠端的、不受信任的一方。
跨多個應用全面實施零信任安全性,需要對信任、身份、權限、端點、設備和移動性管理基礎設施進行投資,此外還需要人工智能,讓所有這些基礎設施能夠在所有受管設備和內容中實時自適應地調整身份驗證技術、訪問權限和其他控件,無論是在什麼位置。
Palo Alto Networks全球系統工程高級副總裁Scott Stevens就零信任安全性這樣表示:
“[零信任]已經成為一個流行語,我認為看待零信任的基本方式是:它是一種架構方法,可以幫助你確保網絡專注於最重要的事情。因此,你可以把精力放在對業務至關重要的數據上,並從數據中構建安全框架。這讓我們能夠制定正確的細分策略,從雲數據中心開始,然後回到訪問數據的那些人。你如何切分和控制流量是至關重要的。我們在安全方面遇到的兩個基本問題,也是兩個最重要的問題。首先是基於憑證的攻擊,我們是否有人在網絡中竊取了憑據,竊取了我們的數據,或者有內部人員擁有憑證但存在惡意行為?他們實際上正在竊取企業的內容。第二問題是基於軟件的攻擊、惡意軟件、漏洞腳本。那麼我們應該如何對我們可以強制執行用戶行為的網絡進行細分呢?我們可以監視惡意軟件,通過一個架構框架防止這兩種情況的發生。零信任為我們提供了模板構建塊,用於構建這些網絡。”
持續安全自動化
自動化是解決網絡安全人員短缺的一個重要工具。在面對員工和技能短缺的情況下確保強大的安全性,就需要對所有網絡安全流程實施以人工智能為驅動的自動化。至少,你應該將動態應用安全性測試嵌入到軟件開發生命週期中,這應該包括利用機器學習來支持對代碼進行夜間常規測試。此外還應該包括掃描已提交的代碼看是否存在已知安全漏洞,例如Open Web Application Security Project中最常見漏洞列表。
RSA Security總裁Rohit Ghai就網絡安全自動化這樣表示:“[減輕網絡安全風險]勢不可擋,而我所說的是,每當你感到不知所措的時候,你可以做三件事來減輕工作量。你可以在彈性基礎設施中設計安全性;其次是你有自動化工作,這基本上是使用人工智能和機器學習等技術實現的。但是如你所知,惡意行為者也同樣有人工智能和機器學習。因此,第三個方法是業務驅動的安全性,這意味著你必須將業務上下文應用於你的安全狀態。所以你要把注意力集中在真正的問題上。真正的網絡事件就在這裡,現在。這是一個獨特的優勢。好人們唯一的優勢就是我們對商業合同的理解,我們稱之為業務驅動的安全性。”
網絡安全要求對分佈式應用中可能發生的漏洞和問題進行越來越主動的檢測、優先和中和。
在DevSecOps工作流中,這就要求開發人員擁有工具來幫助他們在編寫代碼時識別漏洞並確定優先級。自動化工具必須預測目標和生產環境中代碼的潛在行為,而不是簡單地掃描代碼看是否存在已知問題。工具必須通過將安全規則嵌入正常的CI/CD工作流程來發現和修復潛在的漏洞。
Forescout Technologies總裁兼首席執行官Michael DeCesare對自動化網絡安全系統快速和預測性問題檢測和修復是這樣表示的:“2019年的網絡安全領域令人驚訝,創新速度前所未有。如今每個季度上線的設備數量遠遠超過過去時間互聯網的總和。因此,採用新技術的步伐實際上正在推動機器學習和人工智能的需求增長。從歷史上看,在網絡安全領域大多數公司的做法是“我將擁有一大堆不同的網絡產品”。他們都擁有自己的儀表板,並構建了這個被稱為網絡運營中心或SOC的東西。但是,大量研究和攻擊優先級排序工作都是需要人類參與的。而且想想如今攻擊的數量和複雜程度,攻擊正在讓這些公司轉向自動化。你不得不讓你的網絡安全產品自行採取行動並進行機器學習,而人工智能在這方面發揮著非常重要的作用。“
閱讀更多 老胡看科技 的文章
