至顶网安全频道 03月8日 编译:网络安全不是一种快速解决方案或者一次性补救措施。需要将其构建到应用开发、测试和发布管道中,以实现有效性。
随着企业采用DevOps实践快速发布应用,安全性也正在成为开发人员必须确保的关键成果之一。这是因为你发布代码的速度越快,代码漏洞的释放速度就越快。
这就要求有一系列越来越多的“DevSecOps”实践,这些实践指的是在持续集成/持续部署或CI/CD工作流中提供“安全即代码”的方法,而且应用开发、信息技术操作和安全团队中都需要采用DevSecOps。
本周在旧金山举行的RSA 2019大会上,有超过4万名安全领域的人士参加了大会,通过这次活动加深他们的技能、了解创新方法、及时了解DevSecOps和其他网络安全的最佳实践。RSA大会如今已经举办了第28届,大会越来越多地转向将人工智能和机器学习作为将强大的IT安全性,集成到混合云和多云操作中。
我们从RSA大会的许多公告中可以看出,人工智能和机器学习现在是DevSecOps的一个重要组成部分。如果没有基于人工智能的DevSecOps,云专业人员将难以在云中安全地部署和管理微服务、容器和无服务器应用。
这些数据驱动的算法是在整个应用生命周期中自动预防、检测和修复安全问题的基本组成部分。这些控制措施是API可消费的安全性、24×7主动安全监控、持续漏洞利用测试、闭环网络自我修复、共享威胁情报和合规性操作的基础。
根据今年RSA大会上的专家访谈,我们可以看到关于多云时代下DevSecOps的一些有趣的评论:
全面的威胁建模和风险缓解
网络安全威胁现在也眼神到混合云和其他多云环境中,在这种环境中,“边界”已经转移到边缘设备和应用的数据那里。
对于网络安全专业人员来说,实施DevSecOps需要他们在“零信任安全”范例中进行持续的威胁建模和风险缓解。这种方法也被称为“后边界安全性”,也就是把每次访问尝试都视为来自一个远端的、不受信任的一方。
跨多个应用全面实施零信任安全性,需要对信任、身份、权限、端点、设备和移动性管理基础设施进行投资,此外还需要人工智能,让所有这些基础设施能够在所有受管设备和内容中实时自适应地调整身份验证技术、访问权限和其他控件,无论是在什么位置。
Palo Alto Networks全球系统工程高级副总裁Scott Stevens就零信任安全性这样表示:
“[零信任]已经成为一个流行语,我认为看待零信任的基本方式是:它是一种架构方法,可以帮助你确保网络专注于最重要的事情。因此,你可以把精力放在对业务至关重要的数据上,并从数据中构建安全框架。这让我们能够制定正确的细分策略,从云数据中心开始,然后回到访问数据的那些人。你如何切分和控制流量是至关重要的。我们在安全方面遇到的两个基本问题,也是两个最重要的问题。首先是基于凭证的攻击,我们是否有人在网络中窃取了凭据,窃取了我们的数据,或者有内部人员拥有凭证但存在恶意行为?他们实际上正在窃取企业的内容。第二问题是基于软件的攻击、恶意软件、漏洞脚本。那么我们应该如何对我们可以强制执行用户行为的网络进行细分呢?我们可以监视恶意软件,通过一个架构框架防止这两种情况的发生。零信任为我们提供了模板构建块,用于构建这些网络。”
持续安全自动化
自动化是解决网络安全人员短缺的一个重要工具。在面对员工和技能短缺的情况下确保强大的安全性,就需要对所有网络安全流程实施以人工智能为驱动的自动化。至少,你应该将动态应用安全性测试嵌入到软件开发生命周期中,这应该包括利用机器学习来支持对代码进行夜间常规测试。此外还应该包括扫描已提交的代码看是否存在已知安全漏洞,例如Open Web Application Security Project中最常见漏洞列表。
RSA Security总裁Rohit Ghai就网络安全自动化这样表示:“[减轻网络安全风险]势不可挡,而我所说的是,每当你感到不知所措的时候,你可以做三件事来减轻工作量。你可以在弹性基础设施中设计安全性;其次是你有自动化工作,这基本上是使用人工智能和机器学习等技术实现的。但是如你所知,恶意行为者也同样有人工智能和机器学习。因此,第三个方法是业务驱动的安全性,这意味着你必须将业务上下文应用于你的安全状态。所以你要把注意力集中在真正的问题上。真正的网络事件就在这里,现在。这是一个独特的优势。好人们唯一的优势就是我们对商业合同的理解,我们称之为业务驱动的安全性。”
网络安全要求对分布式应用中可能发生的漏洞和问题进行越来越主动的检测、优先和中和。
在DevSecOps工作流中,这就要求开发人员拥有工具来帮助他们在编写代码时识别漏洞并确定优先级。自动化工具必须预测目标和生产环境中代码的潜在行为,而不是简单地扫描代码看是否存在已知问题。工具必须通过将安全规则嵌入正常的CI/CD工作流程来发现和修复潜在的漏洞。
Forescout Technologies总裁兼首席执行官Michael DeCesare对自动化网络安全系统快速和预测性问题检测和修复是这样表示的:“2019年的网络安全领域令人惊讶,创新速度前所未有。如今每个季度上线的设备数量远远超过过去时间互联网的总和。因此,采用新技术的步伐实际上正在推动机器学习和人工智能的需求增长。从历史上看,在网络安全领域大多数公司的做法是“我将拥有一大堆不同的网络产品”。他们都拥有自己的仪表板,并构建了这个被称为网络运营中心或SOC的东西。但是,大量研究和攻击优先级排序工作都是需要人类参与的。而且想想如今攻击的数量和复杂程度,攻击正在让这些公司转向自动化。你不得不让你的网络安全产品自行采取行动并进行机器学习,而人工智能在这方面发挥着非常重要的作用。“
好文章,需要你的鼓励
数据已经成为很多企业和组织的宝贵资产。他们正在分析数据以深入了解市场、客户和他们自己的运营情况。他们正在使用数据来推动数字化转型计划,支持新的数据密集型服务。
回顾历史,大约十年前,苹果公司在其Mac电脑产品中采用了英伟达的高性能图形处理芯片。然而,在经历了一系列商业争议之后,苹果公
根据Capital One工程副总裁Terren Peterson的说法,IT领域的一切最终都会商品化。Peterson在该银行工作了超过24年,对于商品化如何影响IT业务有着第一手的经验。
澳大利亚新南威尔士州交通局首席创新和技术官Kurt Brissett最近和我们分享了如何为交通用户提供世界首创的技术,以及如何将很高的员工参与度转化为客户满意度。