內置安全性在RSAConference上網絡安全與DevOps相交

網絡安全不是快速解決方案或一次性解決方案。為了有效，它需要直接內置到應用程序開發，測試和發布管道中。

隨著企業采用DevOps實踐來快速發布應用程序，安全性正成為其開發人員必須確保的關鍵成果之一。這是因為釋放代碼的速度越快，釋放代碼漏洞的速度就越快。

這勢在必行，需要一系列越來越被稱為“ DevSecOps ”的實踐，這是指在持續集成/連續部署 或CI / CD工作流程中提供“安全性作為代碼”的方法。為了有效，必須在應用程序開發，信息技術運營和安全團隊中共同采用DevSecOps。

本周在 舊金山舉行的 RSA大會上，安全社區的40,000多名成員參加了會議，目的是加深他們的技能，了解創新方法并與DevSecOps和其他網絡安全最佳做法保持同步。如今已是第28年，該活動已逐漸轉向關注人工智能和機器學習，以將強大的IT安全性集成到混合和多云操作中。

從RSA大會上的許多公告中可以看出，人工智能和機器學習現在是DevSecOps的重要組成部分。如果沒有AI驅動的DevSecOps，云專業人員很難在云中安全地部署和管理微服務，容器和無服務器應用程序，這將變得非常困難。

這些數據驅動算法是在整個應用程序生命周期中自動化預防，檢測和補救安全問題的基本組件。這些控件是API消耗型安全性，24×7主動安全性監視，連續漏洞利用測試，閉環網絡自愈，共享威脅情報和合規性操作的基礎。

從RSA安全會議上CUBE的專家訪談中，以下是關于多云時代DevSecOps要求的一些最有趣的評論：

全面的威脅建模和風險緩解

網絡安全威脅現在發生在混合環境和其他多云環境中，在這些環境中，“邊界”一直移至邊緣設備和應用程序中的數據。

對于網絡安全專業人員來說，實施DevSecOps要求他們以“零信任安全”范式進行持續的威脅建模和風險緩解。正如我在最近的SiliconANGLE文章中所討論的那樣，此方法也稱為“外圍安全性”，將每次訪問嘗試都視為來自遠程不受信任的一方。

跨多云全面實施零信任安全性需要對信任，身份，權限，端點，設備和移動性管理基礎架構進行投資。它還需要AI，使所有這些基礎架構都能夠跨所有受管設備和內容實時自適應地調整身份驗證技術，訪問權限和其他控件，無論它們在何處漫游。

持續的安全自動化

自動化是解決網絡安全人員短缺的重要工具。面對人員和技能短缺，要確保強大的安全性，就需要AI驅動的所有網絡安全流程自動化。至少，您應該將動態應用程序安全性測試嵌入到軟件開發生命周期中。這應該包括使用機器學習來增強夜間代碼構建的例行測試。它還應包括掃描已提交的代碼更改以查找已知的安全漏洞，例如 Open Web Application Security Project的最常見漏洞列表中的漏洞。

網絡安全實施要求越來越主動地檢測，搶占和消除分布式應用程序中可能發生的漏洞和問題。

在DevSecOps工作流程中，這要求開發人員擁有工具來幫助他們在編寫代碼時識別漏洞并確定優先級。自動化工具必須預測目標生產環境中代碼的可能行為，而不是簡單地掃描構建以查找過去看到的已知問題的特征。工具必須通過將安全規則嵌入其常規CI / CD工作流程中來識別和補救潛在漏洞。

在CUBE上接受采訪的其他發言人包括Optiv Security Inc.首席執行官Dan Burns;羅素·瓊斯(Russell L.Jones)，信息系統安全認證專家，德勤(Deloitte)網絡風險服務合伙人;Eles Costante，Forescout的安全研究員;Haworth Inc.的高級信息安全分析師兼NA隱私官Joe Cardamone;Splunk Inc.首席執行官Doug Merritt;ServiceNow Inc.安全和風險業務部門副總裁兼總經理Sean Convery;Booz Allen Hamilton的高級副總裁Brad Medairy;賽門鐵克公司(Symantec Corp.)以及Forrester Research Inc.網絡安全主管Chase Cunningham。