在安全行業(yè)工作多年之后,我發(fā)現(xiàn)很多安全管理者都會遇到一個明顯的問題,那就是如何在不增加資源的情況下,完成越來越多的安全工作。然而在企業(yè)中,安全從業(yè)人員大都生活在“信息孤島”上,都是孤獨者。
那么該如何利用特定的技術(shù)提高安全人員和業(yè)務(wù)之間的融合度,提高安全投入的效益和效率呢?
DevOps革命
這似乎是很久以前的事了,那時軟件開發(fā)團隊和IT運維團隊是孤立的。每個團隊負責(zé)特定的事情:開發(fā)人員負責(zé)編寫和構(gòu)建軟件,IT運維人員負責(zé)部署和交付軟件。
通常,在這個過程中開發(fā)人員很少考慮如何實現(xiàn)有效地部署。團隊之間交流很少,而且沒有合理規(guī)劃或自動化部署,導(dǎo)致軟件交付速度不夠快,慢慢的就會出現(xiàn)矛盾和問題。
這種軟件開發(fā)和交付方法沒有考慮時間效率或成本效益,特別是沒有考慮到在技術(shù)飛速發(fā)展的背景下,軟件交付要求更快。隨著時間的推移,開發(fā)人員和運維人員都很難跟上進度。
慶幸的是,大量的實踐經(jīng)驗加上新興技術(shù)(云計算、SaaS等)的出現(xiàn),為這一場革命鋪平了道路。編制和自動化的引入令整個過程無縫銜接且更加有效。
DevOps就是這樣誕生的。DevOps有一個簡單的目的:使用單個單元來構(gòu)建、部署和交付軟件。
安全正處于變革的邊緣
安全團隊現(xiàn)在的困境,正如開發(fā)人員和運維人員在DevOps誕生之前所面臨的困境相同。例如:團隊被過多的警報淹沒,他們沒有足夠的時間或人員調(diào)查所有的警報。更糟的是,大多數(shù)警報很可能是誤報,但仍然需要調(diào)查,這導(dǎo)致團隊花費大量的精力追查日志和其他情報,卻發(fā)現(xiàn)沒有實際的威脅。與此同時,真正構(gòu)成危險的警報可能沒有得到足夠快的調(diào)查,甚至根本沒有得到調(diào)查,因為許多調(diào)查任務(wù)都是手工的、重復(fù)的、費時的。
在這個過程中,所有工具都是獨立割裂的。因此團隊必須不停從一個系統(tǒng)跳轉(zhuǎn)到另一個系統(tǒng),查看和了解不同的信息。這是非常艱巨的任務(wù),而且容易出錯。
在當(dāng)今優(yōu)秀網(wǎng)絡(luò)安全人才非常稀少的情況下,想要通過雇傭更多的安全人員來解決問題也不是一個簡單的解決方案(也不一定更有效率)。
最后,威脅者正變得比以往任何時候都更具創(chuàng)造性(Mirai病毒、僵尸網(wǎng)絡(luò)和惡意軟件等)。防守者越來越難以跟上形勢,更不要說超越這些威脅了。
在這樣的背景下,安全正在到達拐點。就像安全編排和自動化解決方案如何給軟件開發(fā)和IT操作帶來變化一樣,它也將給安全操作(SecOps)帶來變化。
安全編排和自動化帶來的變革
正如前文所說,編排和自動化是DevOps成功的關(guān)鍵技術(shù)。為什么不把這些相同的概念引入SecOps呢?安全編排統(tǒng)一了不同的系統(tǒng)和工具,為機器對機器的安全自動化指明了道路。機器擅長處理一系列重復(fù)的任務(wù),而人類則擅長從數(shù)據(jù)中獲取信息。為什么不把這些重復(fù)性的任務(wù)交給機器,讓人把精力集中在數(shù)據(jù)的相關(guān)性上呢?在某些場景中,如果流程定義得足夠好,甚至可能不需要人工參與。
這就是自動化的美妙之處。再加上業(yè)務(wù)流程,它可以非常靈活。
那么,這對整體安全意味著什么呢?我們在下面列出:
1、防御者走在攻擊者的前面,而不是一直在被動防御
2、安全職能更精簡,效率更高
3、這個行業(yè)更加強大,聯(lián)系更加緊密,效率更高
4、它為更大的IT團隊之間的合作鋪平了道路
結(jié)語
安全做了這么多年,但是面臨黑客攻擊的時候卻仍然是不堪一擊。作為一名安全從業(yè)者,我能切身體會到當(dāng)下的安全現(xiàn)狀對防御者來說有多艱難。如果沒有開發(fā)人員,添加編排和自動化是一件多么困難的事。對許多組織來說,受到網(wǎng)絡(luò)安全短缺和預(yù)算限制,在安全操作中增加自動化是一個白日夢。因此迫切需要企業(yè)管理者,從根本上重視安全投入,能夠提供給安全團隊向安全流程添加自動化的最快方法,而不是一堆代碼。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!