企業(yè)如今面臨日益嚴(yán)重的網(wǎng)絡(luò)威脅，安全自動(dòng)化將為企業(yè)IT團(tuán)隊(duì)提供幫助。

關(guān)于安全性的一個(gè)棘手問(wèn)題是，這就像是“打鼴鼠”的游戲。一次性處理可能很簡(jiǎn)單，因?yàn)樵S多漏洞可以修補(bǔ)，并且企業(yè)可能已經(jīng)制定了使用安全應(yīng)用程序的流程。而困難的是，有太多的“鼴鼠”，沒(méi)有太多時(shí)間來(lái)確保系統(tǒng)安全，而人工處理過(guò)程很繁瑣，因此需要實(shí)現(xiàn)安全自動(dòng)化。

安全自動(dòng)化的5種有意義的方法

對(duì)于實(shí)現(xiàn)安全自動(dòng)化，企業(yè)可以了解對(duì)企業(yè)具有意義的五種方法。

（1）了解對(duì)企業(yè)重要的事情

許多安全工具可以集成到自動(dòng)化流程中，例如持續(xù)集成（CI）／持續(xù)交付（CD）管道。以這種方式集成安全性通常被稱(chēng)為DevSecOps。DevSecOps是組織擴(kuò)展DevOps的一些實(shí)踐和過(guò)程的一種方式，以繼續(xù)快速開(kāi)發(fā)和縮短發(fā)布周期，同時(shí)解決安全問(wèn)題。而且這樣做不會(huì)造成更多的開(kāi)銷(xiāo)和延遲。

DevSecOps一直面臨的挑戰(zhàn)是安全是一個(gè)多方面的問(wèn)題，無(wú)論是對(duì)于一般的應(yīng)用程序還是對(duì)于云計(jì)算原生應(yīng)用程序。DevSecOps掃描源代碼中的已知漏洞，確認(rèn)應(yīng)用程序依賴(lài)項(xiàng)目的當(dāng)前版本（如數(shù)據(jù)庫(kù)）用于構(gòu)建代碼，或者檢查生產(chǎn)中運(yùn)行的應(yīng)用程序是否保持最新版本。很多人正在搜索將應(yīng)用程序與其他所需組件封裝在一起的容器中的漏洞。企業(yè)要確保應(yīng)用程序平臺(tái)、工具鏈和開(kāi)發(fā)人員客戶(hù)端本身是安全的。

其中完成許多任務(wù)需要不同的工具。但是，并非所有這些任務(wù)對(duì)于企業(yè)來(lái)說(shuō)都具有同等重要的意義。如果尚未使用容器，或只使用自己構(gòu)建的容器，容器掃描工具可能不是優(yōu)先事項(xiàng)。如果在受到管制的環(huán)境中，則可能需要為某些類(lèi)型的數(shù)據(jù)或通信優(yōu)先考慮額外的安全級(jí)別。

（2）實(shí)現(xiàn)容易成功的目標(biāo)

盡管實(shí)施更全面的安全性方法可能是一個(gè)重要的項(xiàng)目，但是可以通過(guò)一些相對(duì)較小的改進(jìn)而獲得更大的成功，并確保軟件供應(yīng)鏈安全。

隨著開(kāi)源軟件的廣泛使用，開(kāi)源代碼正逐漸進(jìn)入越來(lái)越多的應(yīng)用程序中，無(wú)論是專(zhuān)有的還是開(kāi)源的。例如，Synopsys公司在其發(fā)布的“2020開(kāi)源和風(fēng)險(xiǎn)分析報(bào)告”中指出 ，該公司審核了1253個(gè)應(yīng)用程序，發(fā)現(xiàn)其中99％的應(yīng)用程序包含開(kāi)源組件，總的來(lái)說(shuō)，70％的代碼是開(kāi)源的。分析報(bào)告還發(fā)現(xiàn)，82％的代碼庫(kù)的組件已過(guò)期4年以上，88％的代碼庫(kù)組件在過(guò)去兩年中沒(méi)有開(kāi)發(fā)活動(dòng)。

但是，企業(yè)不應(yīng)避免使用開(kāi)源庫(kù)和其他組件。它應(yīng)該是從受信任的來(lái)源獲取經(jīng)過(guò)簽名的軟件，并使其保持最新狀態(tài)。如果在開(kāi)發(fā)過(guò)程中使用開(kāi)源軟件，那么改善軟件供應(yīng)管理是企業(yè)可以采取的最重要步驟之一，而且?guī)缀醵紩?huì)這樣做。

（3）文化勝過(guò)過(guò)程，過(guò)程勝過(guò)工具

現(xiàn)在有很多良好的工具。而且企業(yè)應(yīng)該至少利用其中一些工具自動(dòng)執(zhí)行以確保安全性。但是僅靠工具是不夠的。需要有一個(gè)過(guò)程，并以一致的方式使用工具。自動(dòng)化技術(shù)在這方面有很大幫助。

但是企業(yè)還需要一種安全文化，在這種文化中，安全是每個(gè)人都在考慮的事情，而不只是安全團(tuán)隊(duì)的事情。

這并不是說(shuō)每個(gè)人都必須成為安全專(zhuān)家，但是需要了解開(kāi)放式網(wǎng)絡(luò)應(yīng)用程序安全性項(xiàng)目維護(hù)的十大網(wǎng)絡(luò)安全性風(fēng)險(xiǎn)列表。該列表包括諸如注入漏洞、跨站點(diǎn)腳本XSS、身份驗(yàn)證損壞等風(fēng)險(xiǎn)，并且每年都會(huì)更新。令人關(guān)注的是每年的變化很小?；仡?0年的清單，就會(huì)發(fā)現(xiàn)許多與當(dāng)前相同的風(fēng)險(xiǎn)。而這種變化很慢，這很重要，因?yàn)槲幕茈y改變。

（4）采用自動(dòng)掃描技術(shù)

安全文化采用可靠的安全過(guò)程，并在整個(gè)開(kāi)發(fā)過(guò)程中使用安全工具，其結(jié)果是安全性很早就開(kāi)始內(nèi)置。這是有利的，因?yàn)榧词棺罱K在代碼投入生產(chǎn)之前發(fā)現(xiàn)了所有的安全缺陷，這意味著現(xiàn)在必須從頭開(kāi)始，這就是安全性成為瓶頸的原因。

與其相反，企業(yè)應(yīng)該盡早發(fā)現(xiàn)問(wèn)題，并且解決的成本相對(duì)較低，可以使用自動(dòng)掃描來(lái)捕獲漏洞。這是現(xiàn)代制造系統(tǒng)中的一種眾所周知的做法。企業(yè)希望在零組件安裝到車(chē)輛上之前就發(fā)現(xiàn)供應(yīng)商的問(wèn)題。

（5）安全自動(dòng)化也與運(yùn)營(yíng)團(tuán)隊(duì)有關(guān)

雖然DevSecOps在全球范圍內(nèi)可以操作，但考慮到DevOps在歷史上傾向于以開(kāi)發(fā)人員為中心，因此經(jīng)常會(huì)忽略安全性。

然而，安全自動(dòng)化對(duì)運(yùn)營(yíng)團(tuán)隊(duì)同樣重要。這種自動(dòng)化通常看起來(lái)與云原生架構(gòu)之前有所不同，那時(shí)更可能修復(fù)長(zhǎng)時(shí)間運(yùn)行的虛擬機(jī)或服務(wù)器實(shí)例中的漂移和其他問(wèn)題?，F(xiàn)在，更有可能關(guān)閉一個(gè)容器并啟動(dòng)一個(gè)新容器。

但是，需要知道哪些容器需要構(gòu)建新的容器進(jìn)行更新，構(gòu)建這些容器包括針對(duì)新問(wèn)題的安全修補(bǔ)程序。此外，在不停機(jī)的情況下快速將這些更新的容器投入生產(chǎn)可能會(huì)受益于快速部署。

這聽(tīng)起來(lái)工作量很大嗎？如果人工處理的話(huà)是這樣。與其相反，監(jiān)視生產(chǎn)中的容器并根據(jù)需要刷新它們的過(guò)程需要可靠的自動(dòng)化技術(shù)。這是安全自動(dòng)化過(guò)程中的共同點(diǎn)。

責(zé)任編輯：xj