|
隨著IT基礎(chǔ)架構(gòu)變得越來(lái)越復(fù)雜,某些專業(yè)職能部門已經(jīng)制定了自己的利基(利基(niche)是指針對(duì)企業(yè)的優(yōu)勢(shì)細(xì)分出來(lái)的市場(chǎng)�����,這個(gè)市場(chǎng)不大�����,而且沒(méi)有得到令人滿意的服務(wù)�����。簡(jiǎn)單可以直接理解成“小環(huán)境”)要求����,與主流IT運(yùn)營(yíng)有關(guān),但有所不同���。主要的包括開(kāi)發(fā)�����、安全性和網(wǎng)絡(luò)�。多年來(lái),這些利基要求變得孤立而效率不高�����。 近年來(lái)��,人們嘗試打破孤島�,將功能與主流IT運(yùn)營(yíng)重新整合發(fā)展。如DevOps����,NetOps和SecOps以及更細(xì)微差別的DevSecOps的概念?��?偡Q是xOps�����。在總的情況下�����,其目的都是通過(guò)與IT運(yùn)營(yíng)更好地集成來(lái)提高利基功能的速度��、敏捷性和效率���,該過(guò)程業(yè)已證明非常成功。 當(dāng)然���,其所獲得的效率完全取決于將功能與IT運(yùn)營(yíng)重新集成的成功��,案例不同并不統(tǒng)一�。例如��,國(guó)外安全文章舉了總部位于猶他州Lehi的自動(dòng)化公司SaltStack的例子�����。相信看到這個(gè)名字��,你會(huì)翻到前面我發(fā)布的幾篇有關(guān)這個(gè)公司產(chǎn)品漏洞的文章��。SaltStack已發(fā)布了一系列新的調(diào)查報(bào)告�,以檢查xOps的當(dāng)前狀態(tài),并從檢查SecOps的狀態(tài)開(kāi)始�。SecOps與DevSecOps不同。前者是基礎(chǔ)架構(gòu)及其數(shù)據(jù)的整體安全性�����,而后者是在新應(yīng)用程序的開(kāi)發(fā)階段構(gòu)建安全性的一種嘗試,以避免部署后必須增加安全性���。 SaltStack的《2020年第二季度XOps狀態(tài)報(bào)告》在2020年1月期間查詢了130位經(jīng)過(guò)驗(yàn)證的信息安全從業(yè)者和IT領(lǐng)導(dǎo)者��。以此前�����,Gartner 2017年的預(yù)測(cè)(到2020年底已經(jīng)利用的漏洞的99%)為背景�,這個(gè)背景為安全從業(yè)者和IT專業(yè)人員所熟知��。最近發(fā)生的許多漏洞表明系統(tǒng)配置錯(cuò)誤和未修補(bǔ)的已知漏洞��,尤其是公共云和本地服務(wù)器基礎(chǔ)結(jié)構(gòu)和數(shù)據(jù)庫(kù)的漏洞���,是造成數(shù)據(jù)泄露和成功利用漏洞的最常見(jiàn)原因��。 這意味著�,如果已知漏洞但未修復(fù)��,則安全團(tuán)隊(duì)與IT團(tuán)隊(duì)之間將缺乏足夠的協(xié)作����。SaltStack調(diào)查證實(shí)了這一點(diǎn)�����。只有54%的安全主管表示他們與IT專業(yè)人員進(jìn)行了有效的溝通��,而只有45%的IT專業(yè)人員表示同意。這兩個(gè)數(shù)字令人擔(dān)憂�����,這種差異表明安全團(tuán)隊(duì)對(duì)他們的溝通能力和(或)IT的聆聽(tīng)意愿過(guò)于自信����,其實(shí)是不夠。 安全從業(yè)者和IT經(jīng)理都同意對(duì)應(yīng)該發(fā)生的事情需要有基本的了解�����。數(shù)據(jù)保護(hù)應(yīng)優(yōu)先于創(chuàng)新����、上市速度和成本。實(shí)踐中�,實(shí)際情況只有30%的人認(rèn)為遵循這一原則�。整整70%的受訪者表示�,公司為加快創(chuàng)新而犧牲了數(shù)據(jù)安全性。專家表示����,有來(lái)自運(yùn)維團(tuán)隊(duì)的壓力,他們希望盡快完成工作��,也許在Sec和Ops之間會(huì)存在一些沖突�����。 SaltStack認(rèn)為問(wèn)題可能出在兩個(gè)團(tuán)隊(duì)之間的責(zé)任細(xì)節(jié)不同��。IT運(yùn)營(yíng)商有權(quán)在保持基礎(chǔ)架構(gòu)可靠性的同時(shí)����,快速創(chuàng)新并推向市場(chǎng)。安全專家的任務(wù)是識(shí)別安全漏洞和合規(guī)性問(wèn)題����。采取行動(dòng)補(bǔ)救安全性問(wèn)題和強(qiáng)制合規(guī)性的共同責(zé)任常常無(wú)從落地。 缺乏跨團(tuán)隊(duì)協(xié)作將兩個(gè)團(tuán)隊(duì)勉強(qiáng)聯(lián)系在一起����,可能在相互協(xié)作磨合的過(guò)程加劇產(chǎn)生漏洞���。這個(gè)認(rèn)識(shí)是基于詳細(xì)調(diào)查信息支持的。在使用跨功能協(xié)作和自動(dòng)化工具的情況下��,管理人員說(shuō)IT從業(yè)者和安全團(tuán)隊(duì)進(jìn)行有效溝通的可能性要高四倍�,當(dāng)然這點(diǎn)你可以理解成是他們想推銷他們的自動(dòng)化工具,不過(guò)工具促進(jìn)團(tuán)隊(duì)合作��,提升效率的案例在我們身邊比比皆是�,對(duì)此的理解還是希望不要太過(guò)偏執(zhí)。 在理論性的安全合規(guī)方面有很多細(xì)節(jié)���,比如大家都討厭補(bǔ)丁管理,安全性討厭威脅優(yōu)先級(jí)以及IT討厭合規(guī)性審核����,在此過(guò)程中,團(tuán)隊(duì)傾向于用自動(dòng)化將SecOps的工作統(tǒng)一起來(lái)�����,實(shí)現(xiàn)提升團(tuán)隊(duì)協(xié)作和效率�����。自動(dòng)化在這個(gè)過(guò)程中彌合了Sec和Ops兩個(gè)小組之間的自然差異,并且可以使SecOps的概念成功實(shí)踐�����。 上面我說(shuō)道���,你看到SaltStack可能會(huì)點(diǎn)開(kāi)前面我整理的兩篇有關(guān)Salt漏洞的文章��。最近�����,F(xiàn)-Secure在SaltStack產(chǎn)品中發(fā)現(xiàn)了兩個(gè)漏洞���,并按照漏洞管理的規(guī)則及時(shí)披露了漏洞。SaltStack在F-Secure公開(kāi)漏洞之前對(duì)其進(jìn)行了修補(bǔ)���。我們也提到��,F(xiàn)-Secure指出���,黑客掌握漏洞后最多一天時(shí)間就可以開(kāi)發(fā)出利用程序。周五的警告�,第二個(gè)周一就發(fā)現(xiàn)幾次攻擊行為��。也就是說(shuō)�,在周末開(kāi)始已經(jīng)有人開(kāi)始攻擊SaltStack產(chǎn)品�����,詳情可以看上兩次有關(guān)SaltStack的文章���。
|
