您现在的位置是:首页 >互联网 > 2020-10-28 11:12:34 来源:
内置安全性在RSAConference上网络安全与DevOps相交
网络安全不是快速解决方案或一次性解决方案。为了有效,它需要直接内置到应用程序开发,测试和发布管道中。
随着企业采用DevOps实践来快速发布应用程序,安全性正成为其开发人员必须确保的关键成果之一。这是因为释放代码的速度越快,释放代码漏洞的速度就越快。
这势在必行,需要一系列越来越被称为“ DevSecOps ”的实践,这是指在持续集成/连续部署 或CI / CD工作流程中提供“安全性作为代码”的方法。为了有效,必须在应用程序开发,信息技术运营和安全团队中共同采用DevSecOps。
本周在 旧金山举行的 RSA大会上,安全社区的40,000多名成员参加了会议,目的是加深他们的技能,了解创新方法并与DevSecOps和其他网络安全最佳做法保持同步。如今已是第28年,该活动已逐渐转向关注人工智能和机器学习,以将强大的IT安全性集成到混合和多云操作中。
从RSA大会上的许多公告中可以看出,人工智能和机器学习现在是DevSecOps的重要组成部分。如果没有AI驱动的DevSecOps,云专业人员很难在云中安全地部署和管理微服务,容器和无服务器应用程序,这将变得非常困难。
这些数据驱动算法是在整个应用程序生命周期中自动化预防,检测和补救安全问题的基本组件。这些控件是API消耗型安全性,24×7主动安全性监视,连续漏洞利用测试,闭环网络自愈,共享威胁情报和合规性操作的基础。
从RSA安全会议上CUBE的专家访谈中,以下是关于多云时代DevSecOps要求的一些最有趣的评论:
全面的威胁建模和风险缓解
网络安全威胁现在发生在混合环境和其他多云环境中,在这些环境中,“边界”一直移至边缘设备和应用程序中的数据。
对于网络安全专业人员来说,实施DevSecOps要求他们以“零信任安全”范式进行持续的威胁建模和风险缓解。正如我在最近的SiliconANGLE文章中所讨论的那样,此方法也称为“外围安全性”,将每次访问尝试都视为来自远程不受信任的一方。
跨多云全面实施零信任安全性需要对信任,身份,权限,端点,设备和移动性管理基础架构进行投资。它还需要AI,使所有这些基础架构都能够跨所有受管设备和内容实时自适应地调整身份验证技术,访问权限和其他控件,无论它们在何处漫游。
持续的安全自动化
自动化是解决网络安全人员短缺的重要工具。面对人员和技能短缺,要确保强大的安全性,就需要AI驱动的所有网络安全流程自动化。至少,您应该将动态应用程序安全性测试嵌入到软件开发生命周期中。这应该包括使用机器学习来增强夜间代码构建的例行测试。它还应包括扫描已提交的代码更改以查找已知的安全漏洞,例如 Open Web Application Security Project的最常见漏洞列表中的漏洞。
网络安全实施要求越来越主动地检测,抢占和消除分布式应用程序中可能发生的漏洞和问题。
在DevSecOps工作流程中,这要求开发人员拥有工具来帮助他们在编写代码时识别漏洞并确定优先级。自动化工具必须预测目标生产环境中代码的可能行为,而不是简单地扫描构建以查找过去看到的已知问题的特征。工具必须通过将安全规则嵌入其常规CI / CD工作流程中来识别和补救潜在漏洞。
在CUBE上接受采访的其他发言人包括Optiv Security Inc.首席执行官Dan Burns;罗素·琼斯(Russell L.Jones),信息系统安全认证专家,德勤(Deloitte)网络风险服务合伙人;Eles Costante,Forescout的安全研究员;Haworth Inc.的高级信息安全分析师兼NA隐私官Joe Cardamone;Splunk Inc.首席执行官Doug Merritt;ServiceNow Inc.安全和风险业务部门副总裁兼总经理Sean Convery;Booz Allen Hamilton的高级副总裁Brad Medairy;赛门铁克公司(Symantec Corp.)以及Forrester Research Inc.网络安全主管Chase Cunningham。