|
隨著IT基礎(chǔ)架構(gòu)變得越來越復(fù)雜���,某些專業(yè)職能部門已經(jīng)制定了自己的利基(利基(niche)是指針對企業(yè)的優(yōu)勢細(xì)分出來的市場,這個市場不大���,而且沒有得到令人滿意的服務(wù)����。簡單可以直接理解成“小環(huán)境”)要求�����,與主流IT運(yùn)營有關(guān),但有所不同����。主要的包括開發(fā)、安全性和網(wǎng)絡(luò)�。多年來,這些利基要求變得孤立而效率不高����。 近年來,人們嘗試打破孤島��,將功能與主流IT運(yùn)營重新整合發(fā)展�。如DevOps,NetOps和SecOps以及更細(xì)微差別的DevSecOps的概念����。總稱是xOps���。在總的情況下����,其目的都是通過與IT運(yùn)營更好地集成來提高利基功能的速度�、敏捷性和效率,該過程業(yè)已證明非常成功��。 當(dāng)然����,其所獲得的效率完全取決于將功能與IT運(yùn)營重新集成的成功,案例不同并不統(tǒng)一�����。例如��,國外安全文章舉了總部位于猶他州Lehi的自動化公司SaltStack的例子�����。相信看到這個名字����,你會翻到前面我發(fā)布的幾篇有關(guān)這個公司產(chǎn)品漏洞的文章。SaltStack已發(fā)布了一系列新的調(diào)查報告�����,以檢查xOps的當(dāng)前狀態(tài),并從檢查SecOps的狀態(tài)開始��。SecOps與DevSecOps不同�。前者是基礎(chǔ)架構(gòu)及其數(shù)據(jù)的整體安全性,而后者是在新應(yīng)用程序的開發(fā)階段構(gòu)建安全性的一種嘗試��,以避免部署后必須增加安全性�����。 SaltStack的《2020年第二季度XOps狀態(tài)報告》在2020年1月期間查詢了130位經(jīng)過驗(yàn)證的信息安全從業(yè)者和IT領(lǐng)導(dǎo)者�����。以此前�,Gartner 2017年的預(yù)測(到2020年底已經(jīng)利用的漏洞的99%)為背景,這個背景為安全從業(yè)者和IT專業(yè)人員所熟知����。最近發(fā)生的許多漏洞表明系統(tǒng)配置錯誤和未修補(bǔ)的已知漏洞,尤其是公共云和本地服務(wù)器基礎(chǔ)結(jié)構(gòu)和數(shù)據(jù)庫的漏洞����,是造成數(shù)據(jù)泄露和成功利用漏洞的最常見原因。 這意味著���,如果已知漏洞但未修復(fù)�����,則安全團(tuán)隊(duì)與IT團(tuán)隊(duì)之間將缺乏足夠的協(xié)作���。SaltStack調(diào)查證實(shí)了這一點(diǎn)。只有54%的安全主管表示他們與IT專業(yè)人員進(jìn)行了有效的溝通��,而只有45%的IT專業(yè)人員表示同意�����。這兩個數(shù)字令人擔(dān)憂���,這種差異表明安全團(tuán)隊(duì)對他們的溝通能力和(或)IT的聆聽意愿過于自信����,其實(shí)是不夠��。 安全從業(yè)者和IT經(jīng)理都同意對應(yīng)該發(fā)生的事情需要有基本的了解�。數(shù)據(jù)保護(hù)應(yīng)優(yōu)先于創(chuàng)新、上市速度和成本���。實(shí)踐中���,實(shí)際情況只有30%的人認(rèn)為遵循這一原則��。整整70%的受訪者表示���,公司為加快創(chuàng)新而犧牲了數(shù)據(jù)安全性。專家表示�,有來自運(yùn)維團(tuán)隊(duì)的壓力,他們希望盡快完成工作�����,也許在Sec和Ops之間會存在一些沖突����。 SaltStack認(rèn)為問題可能出在兩個團(tuán)隊(duì)之間的責(zé)任細(xì)節(jié)不同。IT運(yùn)營商有權(quán)在保持基礎(chǔ)架構(gòu)可靠性的同時�����,快速創(chuàng)新并推向市場��。安全專家的任務(wù)是識別安全漏洞和合規(guī)性問題���。采取行動補(bǔ)救安全性問題和強(qiáng)制合規(guī)性的共同責(zé)任常常無從落地����。 缺乏跨團(tuán)隊(duì)協(xié)作將兩個團(tuán)隊(duì)勉強(qiáng)聯(lián)系在一起,可能在相互協(xié)作磨合的過程加劇產(chǎn)生漏洞���。這個認(rèn)識是基于詳細(xì)調(diào)查信息支持的�。在使用跨功能協(xié)作和自動化工具的情況下����,管理人員說IT從業(yè)者和安全團(tuán)隊(duì)進(jìn)行有效溝通的可能性要高四倍�����,當(dāng)然這點(diǎn)你可以理解成是他們想推銷他們的自動化工具�,不過工具促進(jìn)團(tuán)隊(duì)合作,提升效率的案例在我們身邊比比皆是�,對此的理解還是希望不要太過偏執(zhí)。 在理論性的安全合規(guī)方面有很多細(xì)節(jié)�����,比如大家都討厭補(bǔ)丁管理�,安全性討厭威脅優(yōu)先級以及IT討厭合規(guī)性審核��,在此過程中��,團(tuán)隊(duì)傾向于用自動化將SecOps的工作統(tǒng)一起來����,實(shí)現(xiàn)提升團(tuán)隊(duì)協(xié)作和效率��。自動化在這個過程中彌合了Sec和Ops兩個小組之間的自然差異����,并且可以使SecOps的概念成功實(shí)踐。 上面我說道��,你看到SaltStack可能會點(diǎn)開前面我整理的兩篇有關(guān)Salt漏洞的文章�。最近,F(xiàn)-Secure在SaltStack產(chǎn)品中發(fā)現(xiàn)了兩個漏洞���,并按照漏洞管理的規(guī)則及時披露了漏洞��。SaltStack在F-Secure公開漏洞之前對其進(jìn)行了修補(bǔ)����。我們也提到�,F(xiàn)-Secure指出�,黑客掌握漏洞后最多一天時間就可以開發(fā)出利用程序��。周五的警告��,第二個周一就發(fā)現(xiàn)幾次攻擊行為��。也就是說��,在周末開始已經(jīng)有人開始攻擊SaltStack產(chǎn)品���,詳情可以看上兩次有關(guān)SaltStack的文章���。
|
