在RSA大會上 網絡安全與DevOps交叉

網絡安全不是權宜之計。為了有效，它需要直接構建到應用程序開發、測試和發布管道中。

隨著企業采用DevOps實踐來快速發布應用程序，安全性正成為開發人員必須確保的關鍵結果之一。這是因為你越快發布代碼，你的代碼的漏洞就會越快被發布。

這個命令需要一系列實踐，這些實踐越來越被稱為“DevSecOps”，它指的是在持續集成/持續deploymentor CI/CD工作流中交付“安全作為代碼”的方法。要想有效，DevSecOps必須在應用程序開發、信息技術操作和安全團隊之間被共同采用。

本周在舊金山舉行的theRSA會議上，超過4萬名安全人員參加了會議，以提高他們的技能，學習創新方法，并與DevSecOps和其他網絡安全最佳實踐保持同步。今年已經是第28屆了，大會的重點越來越轉向人工智能和機器學習，將其作為將強大的IT安全集成到混合和多云操作中的工具。

從RSA大會上的許多公告中可以看出，人工智能和機器學習現在是DevSecOps的重要組成部分。沒有人工智能支持的DevSecOps，云專業人員將很難在云中安全地部署和管理微服務、容器和沒有服務器的應用程序。

這些數據驅動的算法是在整個應用程序生命周期中自動預防、檢測和修復安全問題的基本組件。這些控制是api -消耗性安全、24×7主動安全監控、持續漏洞測試、閉環網絡自修復、共享威脅情報和合規操作的基礎。

從2019年RSA安全會議上關于這個ube的專家訪談中，以下是關于多云時代DevSecOps需求的一些最有趣的評論:

網絡安全威脅現在發生在混合和其他多云環境中，“邊界”已經轉移到邊緣設備和應用程序中的數據。

對于網絡安全專業人員來說，實施DevSecOps要求他們在“零信任安全”模式下進行持續的威脅建模和風險降低。正如我在最近的這篇SiliconANGLE文章中所討論的，這種方法也稱為“后邊緣安全”，它將每次訪問嘗試視為來自遠程的、不受信任的一方。

跨多云全面實現零信任安全需要在信任、身份、權限、端點、設備和移動管理基礎設施方面進行投資。它還需要人工智能，使所有這些基礎設施能夠跨所有托管設備和內容實時自適應地調整身份驗證技術、訪問權限和其他控制，無論這些設備和內容在何處漫游。

帕洛阿爾托網絡公司(Palo Alto Networks Inc.)全球系統工程高級副總裁斯科特·史蒂文斯(Scott Stevens)在談到零信任安全時是這樣說的:

“(零信任)已經成為一種時髦的詞。我認為你看待零信任的基本方式是，它是一種架構方法，用來確保你的網絡安全，把重點放在最重要的事情上。所以你關注最重要的數據這對你的業務至關重要，你從數據中建立你的安全框架。它允許我們做的是創建正確的細分策略，從云的數據中心開始，然后回到訪問數據的地方。如何分割和控制流量是最基本的。我們在安全方面要解決的是兩個基本問題我們有太多的問題，但有兩個大問題。首先是基于憑證的攻擊，那么我們是否有某人在網絡中被竊取了憑證，竊取了我們的數據，或者我們是否有一個擁有憑證的內部人員，但他們是惡意的?他們實際上是在竊取公司的內容。第二個大問題是基于軟件的攻擊，惡意軟件，利用腳本。那么我們如何分割網絡，在那里我們可以加強用戶行為?我們可以監視惡意軟件，這樣我們就可以通過一個架構框架來防止這兩種情況的發生。零信任為我們提供了構建這些網絡的模板。”

自動化是解決網絡安全人才短缺的重要手段。在面臨人員和技能短缺的情況下，確保可靠的安全需要所有網絡安全過程的人工智能驅動的自動化。至少，您應該將動態應用程序安全性測試嵌入到軟件開發生命周期中。這應該包括使用機器學習來支持夜間代碼構建的例行測試。它還應該包括掃描已提交的代碼更改，以查找已知的安全漏洞，比如開放Web應用程序安全項目中最常見的漏洞列表中的那些。

RSA安全有限責任公司(RSA Security LLC)總裁羅希特·蓋伊(Rohit Ghai)在談到網絡安全自動化勢在必行時說:

“(降低網絡安全風險)讓人感到難以承受，我想說的是，每當你感到難以承受時，你就得做三件事來減少工作量。您可以通過在彈性基礎設施中設計安全性來實現這一點。其次是自動化工作，基本上是使用人工智能和機器學習等技術。但你知道，壞人有我們所有的AI和ML。因此，成功的第三個秘訣是業務驅動的安全性，這意味著您必須將業務上下文應用到您的安全狀態。所以你讓我們關注正確的問題。正確的網絡事件就在這里，就在現在。這是一個獨特的優勢。我們這些好人唯一的優勢就是我們對商業合同的理解。我們稱之為業務驅動的安全。”

網絡安全執法要求對分布式應用程序中可能出現的漏洞和問題進行越來越主動的檢測、先發制人和中和。

在DevSecOps工作流中，這要求開發人員在編寫代碼時使用工具來幫助他們識別和優先處理漏洞。自動化工具必須預測目標環境、生產環境中代碼的可能行為，而不是簡單地掃描構建版本，尋找過去看到的已知問題的簽名。工具必須通過在其正常的CI/CD工作流中嵌入安全規則來識別和修復潛在的漏洞。

以下是Forescout Technologies Inc.總裁兼首席執行長邁克爾?迪澤爾(Michael DeCesare)對自動網絡安全系統進行快速、預測性問題檢測和補救的必要性的看法:

“2019年網絡安全的驚人之處在于創新的速度正以前所未有的速度爆炸。我們每個季度的在線設備數量比互聯網的前十年總和還多。因此，采用新技術的速度才是推動機器學習和人工智能需求的真正原因。從歷史上看，在網絡安全領域，大多數公司的做法是“我將擁有一大堆不同的網絡產品”。“他們都有自己的儀表盤，建造了這個叫做網絡操作中心(SOC)的東西。但是人類將會參與到很多的研究和攻擊的優先排序中。我認為，正是這些天的侵入和攻擊的規模和復雜程度使這些公司轉向自動化。你必須愿意讓你的網絡安全產品自己采取行動，而機器學習和人工智能在這方面發揮非常大的作用。”