在RSA大会上 网络安全与DevOps交叉
网络安全不是权宜之计。为了有效,它需要直接构建到应用程序开发、测试和发布管道中。
随着企业采用DevOps实践来快速发布应用程序,安全性正成为开发人员必须确保的关键结果之一。这是因为你越快发布代码,你的代码的漏洞就会越快被发布。
这个命令需要一系列实践,这些实践越来越被称为“DevSecOps”,它指的是在持续集成/持续deploymentor CI/CD工作流中交付“安全作为代码”的方法。要想有效,DevSecOps必须在应用程序开发、信息技术操作和安全团队之间被共同采用。
本周在旧金山举行的theRSA会议上,超过4万名安全人员参加了会议,以提高他们的技能,学习创新方法,并与DevSecOps和其他网络安全最佳实践保持同步。今年已经是第28届了,大会的重点越来越转向人工智能和机器学习,将其作为将强大的IT安全集成到混合和多云操作中的工具。
从RSA大会上的许多公告中可以看出,人工智能和机器学习现在是DevSecOps的重要组成部分。没有人工智能支持的DevSecOps,云专业人员将很难在云中安全地部署和管理微服务、容器和没有服务器的应用程序。
这些数据驱动的算法是在整个应用程序生命周期中自动预防、检测和修复安全问题的基本组件。这些控制是api -消耗性安全、24×7主动安全监控、持续漏洞测试、闭环网络自修复、共享威胁情报和合规操作的基础。
从2019年RSA安全会议上关于这个ube的专家访谈中,以下是关于多云时代DevSecOps需求的一些最有趣的评论:
网络安全威胁现在发生在混合和其他多云环境中,“边界”已经转移到边缘设备和应用程序中的数据。
对于网络安全专业人员来说,实施DevSecOps要求他们在“零信任安全”模式下进行持续的威胁建模和风险降低。正如我在最近的这篇SiliconANGLE文章中所讨论的,这种方法也称为“后边缘安全”,它将每次访问尝试视为来自远程的、不受信任的一方。
跨多云全面实现零信任安全需要在信任、身份、权限、端点、设备和移动管理基础设施方面进行投资。它还需要人工智能,使所有这些基础设施能够跨所有托管设备和内容实时自适应地调整身份验证技术、访问权限和其他控制,无论这些设备和内容在何处漫游。
帕洛阿尔托网络公司(Palo Alto Networks Inc.)全球系统工程高级副总裁斯科特·史蒂文斯(Scott Stevens)在谈到零信任安全时是这样说的:
“(零信任)已经成为一种时髦的词。我认为你看待零信任的基本方式是,它是一种架构方法,用来确保你的网络安全,把重点放在最重要的事情上。所以你关注最重要的数据这对你的业务至关重要,你从数据中建立你的安全框架。它允许我们做的是创建正确的细分策略,从云的数据中心开始,然后回到访问数据的地方。如何分割和控制流量是最基本的。我们在安全方面要解决的是两个基本问题我们有太多的问题,但有两个大问题。首先是基于凭证的攻击,那么我们是否有某人在网络中被窃取了凭证,窃取了我们的数据,或者我们是否有一个拥有凭证的内部人员,但他们是恶意的?他们实际上是在窃取公司的内容。第二个大问题是基于软件的攻击,恶意软件,利用脚本。那么我们如何分割网络,在那里我们可以加强用户行为?我们可以监视恶意软件,这样我们就可以通过一个架构框架来防止这两种情况的发生。零信任为我们提供了构建这些网络的模板。”
自动化是解决网络安全人才短缺的重要手段。在面临人员和技能短缺的情况下,确保可靠的安全需要所有网络安全过程的人工智能驱动的自动化。至少,您应该将动态应用程序安全性测试嵌入到软件开发生命周期中。这应该包括使用机器学习来支持夜间代码构建的例行测试。它还应该包括扫描已提交的代码更改,以查找已知的安全漏洞,比如开放Web应用程序安全项目中最常见的漏洞列表中的那些。
RSA安全有限责任公司(RSA Security LLC)总裁罗希特·盖伊(Rohit Ghai)在谈到网络安全自动化势在必行时说:
“(降低网络安全风险)让人感到难以承受,我想说的是,每当你感到难以承受时,你就得做三件事来减少工作量。您可以通过在弹性基础设施中设计安全性来实现这一点。其次是自动化工作,基本上是使用人工智能和机器学习等技术。但你知道,坏人有我们所有的AI和ML。因此,成功的第三个秘诀是业务驱动的安全性,这意味着您必须将业务上下文应用到您的安全状态。所以你让我们关注正确的问题。正确的网络事件就在这里,就在现在。这是一个独特的优势。我们这些好人唯一的优势就是我们对商业合同的理解。我们称之为业务驱动的安全。”
网络安全执法要求对分布式应用程序中可能出现的漏洞和问题进行越来越主动的检测、先发制人和中和。
在DevSecOps工作流中,这要求开发人员在编写代码时使用工具来帮助他们识别和优先处理漏洞。自动化工具必须预测目标环境、生产环境中代码的可能行为,而不是简单地扫描构建版本,寻找过去看到的已知问题的签名。工具必须通过在其正常的CI/CD工作流中嵌入安全规则来识别和修复潜在的漏洞。
以下是Forescout Technologies Inc.总裁兼首席执行长迈克尔•迪泽尔(Michael DeCesare)对自动网络安全系统进行快速、预测性问题检测和补救的必要性的看法:
“2019年网络安全的惊人之处在于创新的速度正以前所未有的速度爆炸。我们每个季度的在线设备数量比互联网的前十年总和还多。因此,采用新技术的速度才是推动机器学习和人工智能需求的真正原因。从历史上看,在网络安全领域,大多数公司的做法是“我将拥有一大堆不同的网络产品”。“他们都有自己的仪表盘,建造了这个叫做网络操作中心(SOC)的东西。但是人类将会参与到很多的研究和攻击的优先排序中。我认为,正是这些天的侵入和攻击的规模和复杂程度使这些公司转向自动化。你必须愿意让你的网络安全产品自己采取行动,而机器学习和人工智能在这方面发挥非常大的作用。”