随着互联网和信息技术的快速发展,网络安全威胁的复杂性和严重性不断增加。今天的攻击者会采用更先进和隐蔽的攻击技术,使得传统的“右侧”网络安全防护模式已经显得“力不从心”,传统的边界防御方法也变得不够有效。
在此背景下,将安全能力左移作为一种预防性的安全策略被提出。安全左移强调在系统设计、开发和部署的早期阶段就集成安全性和控制措施,这样可以更好地识别和消除潜在的安全弱点,减少漏洞的产生和被利用的风险,从而更好地适应当前复杂的网络安全威胁环境。
研究咨询公司ESG的网络安全业务总监Melinda Marks表示:“组织在开展网络安全能力建设时,越早采取行动越好,可以减轻很多压力。因为如果把安全性拖到系统应用的后期,一旦遇到问题就可能意味着从头开始,因为我们无法保证所做的一切都是安全的。”然而,尽管采用安全左移的方法可以带来更强大的安全性,减少漏洞和风险,但组织在实施安全左移的时候,往往会伴随着许多困难和挑战。
01、缺少计划是安全左移最大的挑战
在应用软件开发中尽早嵌入安全能力说起来容易做起来难。安全研究人员都表示,他们已经看到一些组织正在没有足够计划或得到足够支持的情况下仓促启动了安全左移工作。这种做法是绝对不可取的。
如果组织不能有计划地实施左移,通常很难取得成功。组织必须为安全左移工作制定有计划的实践、指导方针和操作指南。此外,组织的安全负责人应该创建一个“概述合适构建块的路线图”——例如,解决DevSecOps架构和团队所需的策略,以便在早期有效地解决安全问题,并创建可重复的实践。
安全专家还建议,企业组织应该采用一种迭代递进的方法来实现他们的安全左移计划,从试点开始,然后扩大到整个团队和所有应用系统,并随着团队从左移工作中学习而不断调整安全能力左移的过程。
02、将安全的责任转嫁给开发团队
专业研究机构Gartner的高级主管分析师William Dupre表示:我们倾向于不使用“左移”这个词,因为它会让人觉得“组织把安全问题交给了开发团队去解决。而这并不是安全左移的真实理念。通过安全能力左移,企业希望开发团队更好地发挥他们的作用,但绝不是将安全防护的责任转移到他们身上。”
研究人员发现,在实际应用中,也确实出现了很多上述的案例,一些企业的安全左移计划,实际上就是把安全防护的责任推给了开发人员。开发团队被告知,“现在你要为安全负责,”在这样的安全左移工作中,必然会引发工作文化的激烈冲突。
相比之下,Dupre更喜欢DevSecOps这个术语,因为它更好地代表了安全左移这个概念所要实现的目标——即让开发人员、运营团队与安全部门共同努力,以确保安全、高质量的软件产品。
03、为了“左移”而左移
随着越来越多的企业开发团队采取左移策略,安全管理者需要不断倡导他们进一步地扩展安全性。因为网络安全能力建设不仅仅需要左移,也同样需要右移。一旦应用程序投入到实际生产环境中,组织就需要能够实现持续测试和可观察性。所以从本质上来说,企业组织需要确保软件产品的安全性随着应用时间的推移而不断提高,并确保这些系统在实际部署后始终是安全可靠的。
因此,企业不要单纯地为了“左移”而左移,而是要将安全性视为一种“无限地、连续的”过程,是一个需要全生命周期覆盖的闭环。开发者们需要能够快速地开发和部署应用,然后不断更新。因此,安全部门也需要能够步调一致地制定一份涵盖整个生命周期的安全战略计划。
04、安全左移减缓了软件开发流程
很多组织对采用安全左移策略的一个担忧是,在开发环节融入安全性是否会减慢软件产品的创建和发布以及新功能的升级速度。这不仅仅是开发者的担心,甚至也是很多业务部门领导者的担心。
其实,他们的这种担忧主要源于过去的经验,在传统应用开发模式下,代码必须在正式应用前通过安全审查,这往往会造成延误。正如上文所述,“把安全工作留到最后确实会拖慢事情的发展,如果总是在最后时刻才看到安全人员出现,那么安全当然被视为减缓开发过程的因素。”为此,CISO必须证明左移方法可以同时支持安全性和速度。通过有效的合作,以及阶段性的胜利,组织可以展示全面安全左移战略带来的巨大价值和潜力。
05、安全左移的驱动力不足
实施安全能力左移工作,需要企业各个相关团队做好心态上的转变,开发人员、安全从业人员及其管理人员不仅要克服对速度的担忧,还必须改变传统根深蒂固的工作方式,采用新的流程和工具,这对组织来说无疑是一个极大的挑战。
在这种情况下,企业管理层应该给予和安全左移工作相关的团队适当激励,让他们以最容易被接受的方式工作,并在尽可能早的时候将安全性嵌入到开发过程中。与此同时,开发人员应该有围绕安全性的KPI——这是他们以前所没有的。更广泛地说,建议组织考虑“集成KPI”,这样一来,产品团队和DevSecOps团队的所有成员以及任何其他利益相关者都有责任满足软件产品上市速度、性能和安全性方面的整体要求。
06、缺乏专业的人才与培训
实施安全左移工作需要专业的人才支撑保障,这是让安全左移工作获得成功的一个重要因素。不过在很多企业组织中,现实情况却并非总是如此。由于很多开发人员不了解风险是什么,以及代码是如何被恶意利用的,因此他们无法在整个开发周期中做到与安全人员有效的沟通合作。
解决这个问题的办法就是要提供足够的专业培训。此外,组织安全管理者还可以寻找并启用“安全冠军”(security champions)计划并找到有效方法来培养一种安全优先的心态。
与此同时,组织需要将更多的安全专家资源投入到安全能力左移的过程中,只有当安全左移过程拥有合适的安全专业人员时,DevSecOps才能工作得最好。如果不重视复合人才的配比与培养,开发、安全和运营就必然会回到“各自为政”的状态。
07、缺乏合适的技术工具
在实现安全能力左移的工作中,组织需要借助先进的技术和产品来支持左移方法,包括威胁建模、静态应用程序安全测试、动态应用程序安全测试以及其他类型的安全性扫描工具。通过先进的技术,再加上自动化能力,才会让DevOps团队更容易地引入安全性。
但专家表示,仅仅实现这些技术是不够的。相反地,应该选择能够与开发人员已经使用的平台很好地集成的工具,或者选择使用已经嵌入到这些开发平台中的安全功能。此外,组织还需要在开发过程中“无摩擦”地使用这些工具,特别是在开始时,因为警报可能会迅速淹没DevSecOps团队,导致很多人因为产生焦虑和倦怠情绪而放弃了左移进程。
为了应对这种情况,安全团队需要向DevSecOps部门提供指导,以便他们知道如何根据企业风险因素对漏洞进行分类。组织还需要确保所有相关的团队都能清楚地认识到,安全部门负责确定要修复漏洞的优先级,而开发人员负责修复它们。
