在本次RSA大会中,“下一代应用及IT基础设施的安全管理模式”,被提升到了前所未有的高度,大会甚至专门为这个概念和方向设置议题和讨论会,一个新晋热词“DevSecOps”出现在大家的视野中。

    什么是DevSecOps

    “DevSecOps”,一种全新的安全理念与模式,从DecOps的概念延伸和演变而来,其核心理念为安全是整个IT团队(包括开发、运维及安全团队)每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节。

    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图1

    此次在DecSecOps专题研讨会分享《下一代安全需要你!》的DecSecOps机构总监Shannon Lietz对DevSecOps的概念做了比较细致的解释和说明,这是依据初始创建和真实有效的反馈,持续改进实现产品价值、运维、安全等各方面需求的一种实践,这种实践方式可以更快地完成更安全软件。DevSecOps是一套体系化的方法论,由战略驱动,一套流程与工具支撑,通过开发、运维和安全团队共同努力将安全和合规作为属性嵌入软件。

    过去安全开发跟安全运营总是割裂开,回顾企业和组织机构以往对应用及IT基础设施安全管理的态度和内容,我们可以将其简单地划分为两个阶段——“安全事故管理阶段”和“安全风险与合规管理阶段”

    第一阶段,企业和组织机构对应用和IT基础设施的安全管理聚焦在安全灾害事故管理上,通过快速发现和响应安全灾害事故抑制事故影响面、减少损失。

    第二阶段,频繁发生的安全灾害事故促使主管机构、企业、组织机构对应用系统和IT基础设施开始进行安全风险和合规的管理,希望能做到防患于未然。当前,合规和安全风险管控仍然是全世界大多数企业信息安全业务领域的主要的目标。

    由于绝大部分企业IT部门会采用开发团队负责价值交付、运维团队负责可用性保障、安全团队负责安全保障的方式完成IT业务的管理,导致大部分企业和机构的安全、开发和运维部门业务目标相互独立、割裂,有时甚至是对立和冲突,最终导致安全风险的闭环管理时间周期长、成本高。
    如今**DevSecOps有希望让二者展开协作**

    DevSecOps的实践可能会颠覆企业现有的IT开发与运营模式。RSA大会DevSecOps研讨专题演讲嘉宾Chris Carlson做了比较详细的介绍。

    传统安全运营工作与DevSecOps模式下安全运营工作最核心的区别在于两点:

    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图2

    (传统模式下,安全运营主体工作)


    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图3

    (DevSecOps模式下安全运营工作的具体内容)

    1)新模式力安全工作前移(ShiftLeft)

    采用安全在软件开发前期介入的方式降低解决安全问题的成本,前期介入的内容包括对开发、维护人员的安全意识培训、安全开发规范的培训、安全需求(非功能需求)的导入、前期的代码审计工作、基于白盒的安全测试、渗透测试等内容。在运营阶段增加的内容与前期开发阶段类似,主要内容集中在对新安全需求实现情况的验证以及软件整体安全评估。IBM的研究人员曾公开过统计数据,在产品的发布以后修复安全问题的成本是在设计阶段解决成本的4到5倍,而在运维阶段修复安全问题其成本将达到甚至超出100倍。虽然在DevSecOps模式中,安全工作环节增加了,但是从软件整个生命周期的开发与维护成本来看,提前发现问题会导致安全成本大幅降低。

    2)安全与开发工作的对接

    为了避免安全工作(例如:测试与评估、安全策略的部署等)成为开发瓶颈,使得应用系统在最短周期内实现其应有的价值和安全属性。DevSecOps采用快速迭代的开发方式,这就需要实现安全与开发工作实现无缝对接,将安全工作导入现有的开发工作流程和工具中,包括将安全需求导入至统一需求管理流程与工具、安全测试工作与持续集成/持续部署(CI/CD)对接、安全测试结果导入至缺陷管理工具等诸多环节。

    而MITRE提出从攻击视角进行协同,MITRE是一家美国非营利性研究机构。他们提出,开发阶段的安全目标是预防导致漏洞的安全问题;运营阶段的安全目标是通过保护已部署系统的基础设施、配置与使用,防止系统出现安全问题。所以,最终目标是使所有的运营软件没有漏洞,彻底安全。安全开发与安全运营的共通之处是都需要了解攻击者攻击软件的方法,这是两者的核心问题。尽管如此,两个领域在抽象化水平和目的等具体需求上各有不同,但又相互协同。安全开发需要从理论上了解攻击者的意图,以全面提高安全,而并非针对单个实例。安全运营需要详细掌握攻击者的具体攻击行为,以识别、了解攻击,预估其影响,规划缓解方案。安全开发提供的是自上而下视角,安全运营则是自下而上视角,两者达到平衡后,每个领域都可以解决自己的需求,同时为另一领域主要关注的问题提供重要输入。


    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图4

    但流程工具等方面仍旧是实践中的难点 ,虽然DevSecOps提的框架很诱人,但RSA 2017大会上,来自甲方、乙方和第三方机构纷纷讲述了实践的难点,大致可分成三类问题。

    第一类:问题是战略与文化的挑战。对传统开发模式和安全运营模式来说,DevSecOps实质上是一种颠覆性的模式变革,其实践的推动首先需要CIO从战略高度推动。实现DevSecOps需要改变过去只有安全人员对安全负责的态度和观念,必须能让开发团队、运维团队和安全团队认识到每个人都需要对安全负责。

    第二类:问题是人员技能与知识结构的调整。DevSecOps实践需要开发人员、运维人员和安全人员通力合作,能站在对方的视角客观看待问题。具体到开发人员而言,不仅仅需要开发技能,还需要对运维及安全有了解,对运维人员和安全人员也是一样,需要各自扩充不同领域的通用技能与知识。


    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图5

    第三类:问题是流程与工具的对接。DevSecOps达到初始目标需要实现快速迭代,在开发和运营的过程上需要高度自动化。开发、运维、安全工作的工具和流程需要无缝对接。这对大多数企业而言,需要是个艰巨的挑战。


    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图6

    DevSecOps尚显初级 绿盟科技已趟出实路

    DevSecOps的出现将对应用及IT基础设施的安全管理产生极其深远的意义,DevSecOps的广泛应用将标志着应用及IT基础设施的安全管理进入到一个全新的时代,将安全作为管理对象的一种属性,从应用和IT基础设施开发开始进行全生命周期的安全管理,构建一个安全属性很高的应用或IT基础设施,而不仅仅是通过安全为应用和IT基础设施提供保障。笔者认为,DevSecOps的如果能够广泛应用,将彻底改善企业和机构在应用和IT基础设施的安全现状。

    但通过此次RSA大会的DevSecOps专题研讨,我们不难发现在海外DevSecOps仍然在初始阶段,各个领域的专家仍在研讨,DevSecOps暂时还没有一个通用化的标准或实践指南,此次交流上也仅有1~2个实践案例进行分享。在国内,虽然DevSecOps仍然是个全新的理念,但是在我国运营商行业、能源行业和金融行业早在2~3年前就提出过三同步要求(同步规划、同步建设、同步运营)并在IT建设项目开始实践。三同步要求与DevSecOps的核心理念在实质上完全相同,我们可以理解在项目实践上其实国内要领先或早于国外。

    就在本次大会上,绿盟科技美国首席运营总监 Jens Andreassen为广大安全同仁演示和分享了绿盟科技新一代智能安全运营解决方案,并对未来的信息安全发展趋势进行了深入解读。

    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图7

    Jens Andreassen指出,攻击的脚步不会停歇,高风险等级的安全事件还将不断出现,这将是未来安全行业的“新常态”。每一次重大的“安全事件”都是对安全组织的一次重大考验。从获取敌情、武器到位、到大规模实施“安全服务”、监视和闭环管理等要素活动都对安全组织的能力提出更高的挑战。

    绿盟科技新一代智能安全运营解决方案深入结合Gartner提出的先进理念,强调以安全分析为核心,结合云端威胁情报,通过各种攻防场景及可视化手段,协助企业构建一个从防御、检测、响应、到预测于一体自适应系统。从这个方面来说,与MIRTE的观点类似。


    【20180728】DevSecOps 整合安全开发与运营 绿盟科技已落地 - 图8

    价值在于从安全运营角度落实平台与流程,绿盟科技的《新一代智能安全运营解决方案》为客户带来了实在的价值:

    1)通过云端情报与本地数据关联分析,进行有效的事前预警,缩短了客户应对新生威胁的时间。

    2)通过大数据分析和可视化技术,对攻击行为进行猎捕和追溯,快速定位攻击背后的黑手。

    3)通过持续的漏洞监控和自动化管理,帮助客户将风险管理落到实处,实现了对漏洞的闭环管理。

    4)通过高级分析和工单流转系统,自动化分析威胁和响应处置,提升客户安全运营整体效率,缩短运维响应时间。