安全自動化的5種有意義的方法

企業(yè)如今面臨日益嚴重的網(wǎng)絡威脅，安全自動化將為企業(yè)IT團隊提供幫助。

關于安全性的一個棘手問題是，這就像是“打鼴鼠”的游戲。一次性處理可能很簡單，因為許多漏洞可以修補，并且企業(yè)可能已經(jīng)制定了使用安全應用程序的流程。而困難的是，有太多的“鼴鼠”，沒有太多時間來確保系統(tǒng)安全，而人工處理過程很繁瑣，因此需要實現(xiàn)安全自動化。

安全自動化的5種有意義的方法

對于實現(xiàn)安全自動化，企業(yè)可以了解對企業(yè)具有意義的五種方法。

（1）了解對企業(yè)重要的事情

許多安全工具可以集成到自動化流程中，例如持續(xù)集成（CI）／持續(xù)交付（CD）管道。以這種方式集成安全性通常被稱為DevSecOps。DevSecOps是組織擴展DevOps的一些實踐和過程的一種方式，以繼續(xù)快速開發(fā)和縮短發(fā)布周期，同時解決安全問題。而且這樣做不會造成更多的開銷和延遲。

DevSecOps一直面臨的挑戰(zhàn)是安全是一個多方面的問題，無論是對于一般的應用程序還是對于云計算原生應用程序。DevSecOps掃描源代碼中的已知漏洞，確認應用程序依賴項目的當前版本（如數(shù)據(jù)庫）用于構建代碼，或者檢查生產(chǎn)中運行的應用程序是否保持最新版本。很多人正在搜索將應用程序與其他所需組件封裝在一起的容器中的漏洞。企業(yè)要確保應用程序平臺、工具鏈和開發(fā)人員客戶端本身是安全的。

其中完成許多任務需要不同的工具。但是，并非所有這些任務對于企業(yè)來說都具有同等重要的意義。如果尚未使用容器，或只使用自己構建的容器，容器掃描工具可能不是優(yōu)先事項。如果在受到管制的環(huán)境中，則可能需要為某些類型的數(shù)據(jù)或通信優(yōu)先考慮額外的安全級別。

（2）實現(xiàn)容易成功的目標

盡管實施更全面的安全性方法可能是一個重要的項目，但是可以通過一些相對較小的改進而獲得更大的成功，并確保軟件供應鏈安全。

隨著開源軟件的廣泛使用，開源代碼正逐漸進入越來越多的應用程序中，無論是專有的還是開源的。例如，Synopsys公司在其發(fā)布的“2020開源和風險分析報告”中指出 ，該公司審核了1253個應用程序，發(fā)現(xiàn)其中99％的應用程序包含開源組件，總的來說，70％的代碼是開源的。分析報告還發(fā)現(xiàn)，82％的代碼庫的組件已過期4年以上，88％的代碼庫組件在過去兩年中沒有開發(fā)活動。

但是，企業(yè)不應避免使用開源庫和其他組件。它應該是從受信任的來源獲取經(jīng)過簽名的軟件，并使其保持最新狀態(tài)。如果在開發(fā)過程中使用開源軟件，那么改善軟件供應管理是企業(yè)可以采取的最重要步驟之一，而且?guī)缀醵紩@樣做。

（3）文化勝過過程，過程勝過工具

現(xiàn)在有很多良好的工具。而且企業(yè)應該至少利用其中一些工具自動執(zhí)行以確保安全性。但是僅靠工具是不夠的。需要有一個過程，并以一致的方式使用工具。自動化技術在這方面有很大幫助。

但是企業(yè)還需要一種安全文化，在這種文化中，安全是每個人都在考慮的事情，而不只是安全團隊的事情。

這并不是說每個人都必須成為安全專家，但是需要了解開放式網(wǎng)絡應用程序安全性項目維護的十大網(wǎng)絡安全性風險列表。該列表包括諸如注入漏洞、跨站點腳本XSS、身份驗證損壞等風險，并且每年都會更新。令人關注的是每年的變化很小?；仡?0年的清單，就會發(fā)現(xiàn)許多與當前相同的風險。而這種變化很慢，這很重要，因為文化很難改變。

（4）采用自動掃描技術

安全文化采用可靠的安全過程，并在整個開發(fā)過程中使用安全工具，其結果是安全性很早就開始內(nèi)置。這是有利的，因為即使最終在代碼投入生產(chǎn)之前發(fā)現(xiàn)了所有的安全缺陷，這意味著現(xiàn)在必須從頭開始，這就是安全性成為瓶頸的原因。

與其相反，企業(yè)應該盡早發(fā)現(xiàn)問題，并且解決的成本相對較低，可以使用自動掃描來捕獲漏洞。這是現(xiàn)代制造系統(tǒng)中的一種眾所周知的做法。企業(yè)希望在零組件安裝到車輛上之前就發(fā)現(xiàn)供應商的問題。

（5）安全自動化也與運營團隊有關

雖然DevSecOps在全球范圍內(nèi)可以操作，但考慮到DevOps在歷史上傾向于以開發(fā)人員為中心，因此經(jīng)常會忽略安全性。

然而，安全自動化對運營團隊同樣重要。這種自動化通?？雌饋砼c云原生架構之前有所不同，那時更可能修復長時間運行的虛擬機或服務器實例中的漂移和其他問題?，F(xiàn)在，更有可能關閉一個容器并啟動一個新容器。

但是，需要知道哪些容器需要構建新的容器進行更新，構建這些容器包括針對新問題的安全修補程序。此外，在不停機的情況下快速將這些更新的容器投入生產(chǎn)可能會受益于快速部署。

這聽起來工作量很大嗎？如果人工處理的話是這樣。與其相反，監(jiān)視生產(chǎn)中的容器并根據(jù)需要刷新它們的過程需要可靠的自動化技術。這是安全自動化過程中的共同點。

責任編輯：xj