信息化觀察網(wǎng)

大多數(shù)組織的工作環(huán)境看起來與10年前完全不同，這對IT部門和安全專業(yè)人員的影響是深遠的。DevSecOps是一項旨在提高數(shù)據(jù)和應用程序安全性的運動，一系列危機將加速并重塑這一運動。

首席信息官通過在組織中創(chuàng)建一致的安全文化為DevSecOps團隊奠定了基礎(chǔ)，但這種文化也必須擴展到應用程序開發(fā)團隊。建立DevSecOps需要領(lǐng)導層將IT系統(tǒng)、應用程序和安全性作為一個統(tǒng)一的、相互關(guān)聯(lián)的系統(tǒng)來考慮和運維。此外，IT領(lǐng)導者及其團隊必須采用系統(tǒng)分析實踐來更全面地分析性能、功能和安全性。

DevSecOps主要關(guān)注文化和過程，而不是產(chǎn)品和技術(shù)，但它確實為軟件和服務(wù)創(chuàng)造了一個市場。數(shù)據(jù)表明，DevSecOps仍然是一個利基。但這是一個快速增長的項目，復合年增長率約為32%：支出主要用于自動化工具，這些工具將安全嵌入開發(fā)過程，并減少安全相關(guān)任務(wù)的開銷，如威脅建模、代碼審計、漏洞分析和應用程序工具。

工作環(huán)境的突然轉(zhuǎn)變促進了IT交付業(yè)務(wù)應用程序、協(xié)作服務(wù)和連接方式的重大變化。這三者都對安全性有著深遠的影響，DevSecOps組織也是如此。下面的DevSecOps趨勢導致了這些變化。

IT走向云端

疫情后IT的兩大趨勢是云服務(wù)的急劇增長和企業(yè)網(wǎng)絡(luò)的解體。一旦員工離開辦公樓，數(shù)據(jù)中心也撤離了，私人基礎(chǔ)設(shè)施的許多好處就成了障礙。

如圖1所示，來自Flexera的數(shù)據(jù)顯示，大多數(shù)IT組織計劃顯著增加（而不是削減）SaaS應用程序和云基礎(chǔ)設(shè)施的開支。因此，人們的反應是普遍放棄私人數(shù)據(jù)中心。55%的受訪IT企業(yè)表示，他們計劃在兩年內(nèi)減少數(shù)據(jù)中心的占地面積。

這一趨勢對DevSecOps乃至整個IT來說意義重大，因為一旦企業(yè)成功地將AWS、Microsoft365、Zoom、Slack和Google Meet等云服務(wù)整合到自己的環(huán)境中，很少有企業(yè)會回到員工全部回辦公室工作的狀態(tài)。普華永道（PwC）2021年1月的一項調(diào)查發(fā)現(xiàn)，大多數(shù)員工可能會有一半以上的時間遠程工作。

當開發(fā)人員圍繞使用容器、無服務(wù)器功能和云原生服務(wù)的微服務(wù)架構(gòu)重新設(shè)計應用程序時，云服務(wù)最有價值。反過來，云原生應用程序需要DevSecOps實踐來整合云開發(fā)和部署（例如，基礎(chǔ)設(shè)施即代碼）服務(wù)和可以掃描云環(huán)境的安全工具。

工作到了邊緣

向分布式工作轉(zhuǎn)移需要同樣程度的持久性。分散在無數(shù)寬帶和無線網(wǎng)絡(luò)中的員工經(jīng)常發(fā)現(xiàn)，內(nèi)部服務(wù)器比超大型設(shè)施提供的云服務(wù)更難訪問，性能也更慢，這些設(shè)施之間有大量的光纖鏈路和主要交換點。由于IT人員也是遠程的，它在遠程管理中進行內(nèi)部系統(tǒng)和云服務(wù)維護。然而，它也破壞了為內(nèi)部基礎(chǔ)設(shè)施設(shè)計的安全協(xié)議。

同樣，使用寬帶和無線網(wǎng)絡(luò)的遠程員工需要新的方法來提高公司網(wǎng)絡(luò)的可靠性和安全性，包括客戶端SD-WAN和安全訪問服務(wù)邊緣。

DevSecOps團隊既是這些新功能的管理員，也是用戶。例如，DevSecOps專業(yè)人員可以將零信任網(wǎng)絡(luò)訪問和雙因素身份驗證構(gòu)建到工具鏈中，以加強對源代碼、CI/CD事件觸發(fā)器和應用程序或云資源部署的控制。

分布式供應鏈帶來了新的安全威脅

2020年的SolarWinds事件暴露了可以利用軟件供應鏈中的漏洞（即SolarWinds的內(nèi)部網(wǎng)絡(luò)及其更新服務(wù)器）實現(xiàn)高級持久性威脅，對SolarWinds Orion監(jiān)控服務(wù)器安裝實施多階段攻擊。FireEye使用自己的軟件發(fā)現(xiàn)了這一漏洞，但這是在攻擊者獲得了數(shù)千名客戶（包括美國主要政府機構(gòu)）不可知量的敏感數(shù)據(jù)之后。

由大量設(shè)備和軟件供應商、微服務(wù)應用程序和云服務(wù)組成的異構(gòu)IT環(huán)境更可能面臨供應鏈攻擊。DevSecOps團隊必須支持他們的安全架構(gòu)、策略和檢查，以檢測和遏制此類攻擊。

開源項目存儲庫是供應鏈妥協(xié)的一種“陰險”形式，因為它們鼓勵任何人的貢獻，不幸的是，這可能包括使用偽造身份的攻擊者。2021年2月，安全研究人員Alex Birsan記錄了一種利用所謂依賴混淆的策略，這種策略欺騙軟件用戶將受污染的軟件包自動下載到他們的項目中。

Birsan聲稱，被感染的代碼使他能夠攻破35家大公司，其中包括蘋果和微軟等科技巨頭，這兩家公司分別向他支付了3萬美元和4萬美元的bug賞金。此后，微軟發(fā)布了一份白皮書，記錄了限制pull請求的作用域或命名空間以及使用安全私有存儲庫（如Azure Artifacts）的技術(shù)，該文件增加了“防止公共包意外替換或與私有包合并的保護”。

其他趨勢和風險

工作和IT環(huán)境的變化會帶來其他一些風險和機遇，DevSecOps團隊應該面對這些風險和機遇，例如：

網(wǎng)絡(luò)釣魚和勒索軟件攻擊的數(shù)量和復雜程度增加，這些攻擊利用遠程辦公的員工——他們對家庭系統(tǒng)的安全控制較弱，但卻有權(quán)訪問公司數(shù)據(jù)；

來自內(nèi)部人士的重大威脅，他們通常是出于金錢的動機（占所有違規(guī)行為的35%）；

增加監(jiān)管、政治和媒體對數(shù)據(jù)隱私和保護的關(guān)注，包括增加違反法律和法規(guī)的罰款數(shù)量和嚴重程度；

AI和機器學習技術(shù)在整個IT管理和自動化工具鏈中的擴散。

遠程工作和其他內(nèi)部威脅強調(diào)了DevSecOps需要在整個組織的工具鏈中嵌入安全過程和控制。AIOps工具中的高級功能顯著提高了自動化和安全工具的有效性和效率，這使得在安全威脅感染其他系統(tǒng)或部署到生產(chǎn)應用程序之前更容易檢測和消除它們。

DevSecOps團隊面對的是一個擁有更大攻擊面、更復雜對手和更嚴格審查的世界，但可喜的是有更好的工具和服務(wù)來滿足安全需求。