下载掌阅APP,畅读海量书库
立即打开
DevSecOps敏捷安全是一种全新的网络安全建设思想,与其相对的是传统外挂式安全。绝大多数传统边界安全体系和纵深防御体系属于外挂式安全,具体来说,就是当安全人员在保障一个业务安全时,在该业务的外面配置一把锁或放上一层防护罩,简单地将目标业务与外界环境隔离开来。不管是传统的PC杀毒软件,还是整个企业的边界防御,本质上都是在隔离的基础上进行防护升级。
DevSecOps敏捷安全的根本目标是使企业组织自生长敏捷安全能力,让安全变成一种内在属性嵌入企业数字化应用的全生命周期,让企业具备持续安全的开发和运营能力,而不是单纯地保障业务和业务系统的安全。从技术应用角度来看,它进一步要求数字化环境内部有共生安全能力,使生产系统、业务系统自身具有免疫外部威胁的能力,即对未知威胁的主动防御和缓解能力,而不是完全依赖系统之外的隔离和防护,被动响应已知威胁。
DevSecOps敏捷安全落地实践有需要遵循的保障机制,即数字化业务与网络安全体系必须“以人为本,技术驱动”“同步规划”“同步构建”“同步运营”。只有把网络安全活动贯穿到数字化业务的规划、建设、运营整个生命周期,将软件研发与常态化运营相结合,将组织文化能力建设与敏捷流程平台搭建相结合,将DevSecOps敏捷安全体系构筑与积极防御技术应用效果度量相结合,达到工作任务事项级别的深度绑定,才能够真正实现具有免疫力的DevSecOps敏捷安全体系。
科学技术是第一生产力,而人是安全的基本尺度。人的行为自始至终都与文化、流程管理、数据、威胁、风险及隐私等交织在一起,是DevSecOps敏捷安全落地的关键因素之一。“以人为本,技术驱动”具体是指在数字化业务的全生命周期当中,应充分考虑人和技术在网络安全体系建设过程中的协同联动作用,通过人的持续安全赋能并深度运用智能安全技术,充分提高整个研发运营安全的自动化程度和效能,从根本上提升企业的DevSecOps敏捷安全实践能力,加快打破DevSecOps理念与传统文化的壁垒,为积极防御技术的落地夯实基础。
同步规划是DevSecOps敏捷安全的起点,强调安全左移与源头风险治理,具体是指在数字化业务的设计与规划中,将网络安全提前纳入数字化业务。首先安全与信息化同步规划到安全体系,主动落实安全左移、源头风险治理的积极防御思想,实现安全与数字化业务的深度结合和全面覆盖,然后通过规划让各层级、各业务口对网络安全达成共识并实现效果度量。
安全已经成为数字化业务的基本内在属性。在越来越多的安全体系建设中,组织的总体安全目标不再是单纯地关注开发安全建设工作,而是侧重如何实现安全地开发。同步构建是指DevSecOps敏捷安全的落地,强调在数字化建设的各个环节充分引入并融合安全能力,构建相对完善并具备弹性扩展能力的软件安全供应链生态系统,既要积极建设网络安全基础设施,又要开展数字化业务内生免疫能力建设。
然而,整个软件供应链上下游生态系统合作增加了软件供应链安全的复杂性——风险管理不再是单个企业的事,必须对整个供应链生态系统综合考虑。同步构建要求企业必须持续评估上下游合作伙伴并根据需要进行调整,包括对第三方开发商或数字服务提供商安全性的持续监控。
好的安全体系不仅是规划和构建出来的,更是运营出来的。同步运营是对传统安全运维的继承式发展,而不是颠覆,它意味着以业务发展为基础,以核查事件为线索,以能力提升为关键,以敏捷自适应和共生进化为根本,跟进业务发展并提供持续升级的安全服务能力,要求企业敏捷适应外界变化环境,可随着数字化转型同步迭代战略方向和战术动作。
同步运营是DevSecOps敏捷安全的生命,通过主动落实“敏捷右移,安全运营敏捷化”的积极防御实践思想,将前期通过规划、建设形成的安全能力注入整个敏捷安全体系涉及的文化、流程、技术、度量等所有支柱要素,并借助常态化安全运营的持续反馈和持续改进形成一个具备自适应和自进化能力的敏捷安全闭环体系,促使安全能力更好地在云原生、软件供应链等新兴场景下有效落地。这里提及的“敏捷右移”,不仅要求数字化业务常态化运营中所有与网络安全相关的环节都要充分融入网络安全要素,还要求新兴技术适配数字化业务,同步实现业务透视和功能解耦。
内生免疫能力是指安全体系应该像人体免疫系统一样,可以通过主动威胁模拟和代码疫苗等积极防御技术提前预防各类外部入侵和攻击,有效缓解甚至避免安全威胁带来的直接或间接损失。DevSecOps敏捷安全体系中积极防御技术可以具备这样的能力,即通过持续、有针对性的内外部威胁模拟活动,使自身具备积极防御系统,能自主发现外部入侵和攻击,主动止损、自动修复;针对高级风险和大型攻击,能够提前发现、实时监测和及时应急响应;针对重大网络安全事故,能够在确保关键业务持续正常运行的同时,尽可能降低安全事故带来的经济损失。
代码疫苗技术通过在Web应用、App服务、微服务、容器等应用与基础设施中提前嵌入插桩探针,配合主动威胁模拟技术持续考验现有防御体系的有效性,形成可以主动适应敏捷业务迭代和外部威胁演化的积极防御体系,并使安全治理与业务逻辑解耦,通过标准化的接口为安全业务提供内视和主动干预能力,从而达到数字化业务安全的微观和宏观感知覆盖,实现应用出厂免疫、敏感数据追踪、护网应急响应、漏洞止血等网络安全攻防和源头风险治理目标。
敏捷自适应能力是指安全体系必须能够敏捷地适应业务的增长和迭代,在软件开发方式不断演进、应用架构不断升级、基础设施不断变迁、外部攻击威胁不断进化的大环境下,不断适应环境和自我调整。具体来说,它必须同时具有内外两种能力:“外”是指能及时感知外部威胁,发现风险;“内”是指能与业务系统深度融合,发现自身缺陷和不足。
一个具备自适应能力的敏捷安全体系,无法单独依靠外部力量建立起来,因为无论外部检测防御技术多么先进,也无法发现自身系统的问题。同样地,我们需要把敏捷安全体系和数字化业务系统进行深度融合,关联业务数据和安全数据。在真实的攻防对抗中,只有将业务数据和网络安全数据进行聚合与分析,将网络威胁与异常业务做结合与关联性分析,才有可能发现攻击者的网络攻击行为。总体来说,不同于传统外挂式安全,敏捷安全借助类似代码疫苗在内的积极防御技术,实现业务和安全融合在一起但又相互解耦;融合的数字化业务出厂即带有默认安全能力,并实现跨维检测、响应与防护;安全能力可编程、可扩展,与业务独立演进;无感知地嵌入数字化业务全生命周期,兼具传统瀑布式开发模式和DevOps敏捷迭代模式优势,真正做到润物细无声,让业务按照自身需求敏捷地运转、迭代。
共生进化能力是指安全体系必须能够随着企业不同阶段的业务和组织发展需要实现自成长,围绕“人的因素”,通过从文化、流程、技术、度量4个维度的综合建设,让安全之花润物细无声地内嵌在整个组织及数字化业务的动态发展过程中,让安全能力真正赋能到“人”,并通过度量体系相对精准地评估企业的安全实践效果。
以人体的免疫系统为例,锻炼身体、适应严酷的环境、不断对抗疾病都会提高免疫力。同样地,DevSecOps敏捷安全体系在业务需求不断迭代、组织不断发展、防御系统不断抵抗攻击的过程中,将会从源头实现组织安全能力的持续进化。实现共生进化的核心是安全文化的构筑、人才的赋能、流程平台的搭建、前沿创新技术的合理应用、安全体系落地效果的持续度量和反馈。
DevSecOps的基础是DevOps研发运营一体化,通过持续研发迭代和运营反馈实现业务的快速进化。它的核心理念就是安全体系建设是一个整体,需要整个IT团队(包括开发、测试、交付、运营及安全团队)所有成员一起参与,且需要贯穿整个数字化业务生命周期中的每一个环节。在DevSecOps敏捷安全体系中,安全文化建设和流程管理是不可或缺的,安全人才的培养、全流程安全赋能管理平台的建设、积极防御技术的应用及相应落地效果的度量反馈也非常关键。
数字化时代,市场需求、软件架构与基础设施的快速变化将成为企业发展的常态,这就要求数字化业务不断根据发展需求进行快速调整。同时,软件供应链与基础设施安全环境瞬息万变,配套的安全策略必须能够敏捷、动态地适应业务需求调整与威胁变化。DevSecOps作为新一代网络安全体系框架,能够更好地应对复杂业务带来的安全挑战。其主要包括以下3个优势。
DevSecOps敏捷安全从文化、流程、技术和度量4个维度构筑现代企业的积极防御体系,将安全能力无缝融合到业务系统的全生命周期,实现安全与业务协同演进。安全能力与业务系统的深度聚合可以有效解决安全与业务相互独立的问题,实现对业务系统威胁免疫需求的动态响应。安全人员与IT人员的深度沟通可以从技术层面提升业务系统本身的安全性,最大限度地减少安全漏洞和降低由此带来的安全风险,改变“系统越多,漏洞越多,风险越大”的局面,同时实现组织层面的网络安全能力内生和自成长,从而保证任何数字化业务的安全从开发到运行都有一套相对完善的体系保障,有效防止应用“带病”上线。
从技术应用角度来看,软件成分清点及外部威胁感知是积极防御技术的基础能力,因为做不到精准感知就很难有效保障数字化业务的安全运行,但是由于系统的复杂性和碎片化,很难做到精准感知:在微观层面,应用内部行为和细粒度数据流转的追溯都很难;在宏观层面,网络和数据安全态势的感知不易。代码疫苗技术将安全基础设施融入应用内部,实时捕获业务运行的上下文信息,可以根据安全需求动态调整感知目标和防御策略,实现应用的出厂自免疫,提前防御绝大部分的外部攻击和威胁。
此外,日常网络安全应急体系需具备快速发现和阻断攻击链的能力,并且对漏报、误报有非常高的要求。由于业务系统的复杂性,修复漏洞往往需要经过大量测试,修复时间比较漫长,所以让业务团队快速修补漏洞并不现实。代码疫苗技术能够在业务漏洞修复之前,快速阻断攻击链,在实现快速应急响应的同时保障业务系统安全持续运行。
传统网络安全体系重运营防护,轻开发治理;重外部威胁,轻内部风险;重安全产品采购,轻安全能力建设。只有在DevSecOps敏捷安全理念的指导下,围绕“人”的因素,通过文化、流程、技术及度量4个关键维度的综合建设,层层设防,步步为营,在软件供应链的源头实现风险治理,才能最终将安全风险降到最低。
以DevSecOps敏捷安全思想为指导的新一代网络安全体系可以将安全要素从软件生命周期的源头开始贯彻到运营阶段;通过可度量的设计、安全的开发和细致的运营,融合业务数据与安全数据,更加敏捷、高效地发现各种潜在安全威胁;通过最大限度地发挥积极防御技术的情景式感知与主动威胁模拟的价值,更加主动地阻止和缓解外部入侵威胁,将安全风险和损失降至最低。