海外优质VPS
高性价比免备案主机推荐

RSAC 2020热点解读:如何让DevSecOps管道真正落地实践


RSAC 2020热点解读:如何让DevSecOps管道真正落地实践

作为网络安全行业风向标的RSAC大会于美国时间2月24日至28日在旧金山如期召开。据统计,此次盛会参会人数预计达5万多人,参展商共529家(统计截止2月18日),大会包含研讨会、创新沙盒、主题演讲、课堂等多种不同类型的活动。

 

基于参会人员的关注热度,RSAC发布了《RSAC 2020趋势报告》,其中DevSecOps相关内容再次成为大家关注的焦点之一。随着DevSecOps的发展日臻成熟,可为开发运维、风险管理、安全合规等团队搭建桥梁,让彼此真正联系起来。





DevOps管道威胁模型


DevOps自2012年出现以来展现出了巨大的发展潜力。DevOps对于靠速度取胜的客户有很大的帮助作用。真正帮助开发、运维团队了解关键功能的开发状况如何,哪些方面容易出现问题,如何在这些方面有针对性地采取控制措施。这个管道模型的目的就是要清楚地了解开发人员的流程以及他们在这个过程中,每个节点上的所思所想。

 

那么SecOps真的来自于DevOps管道吗?通过下图,可以看出安全(sec)是DevOps的内在要求。下图是基于DevOps工具链构建的威胁模型。

RSAC 2020热点解读:如何让DevSecOps管道真正落地实践



图1  DevOps管道模型

DevOps威胁建模的意义在于通过人物画像,你就可以了解存在哪些种类的攻击者,并且针对其目标和动机,采取有效的网络完全控制措施。通过上图DevOps威胁建模,我们可以了解不少信息:
  • 存在攻击者,比如图中APT和内鬼(Insider)。

  • 了解攻击者的目的,比如APT组织要窃取凭据。

  • 开发人员疏忽导致风险漏洞。

  • 红色标记表示主要攻击目标,也就是攻击者要攻击的主要资产。

  • 蓝色表示次要目标,是攻击者要攻陷的次要资产,以便实现其主要目标。





DevSecOps管道落地实践


在具体实践中,DevSecOps该如何落地实践呢?这不是一个人的事情,需要多个部门的合作,需要将安全嵌入到DevOps管道中去。
 
例如,首先了解黑客在想什么,这也是很好的一个切入点。可以让团队中的某些成员担任攻击者的角色。这样开发团队就可以了解威胁攻击者会带来怎样的危害,以及他们要做什么?可以针对性地采取有效控制措施。其次,有条件的组织机构,可以进行网络安全有关的培训,这会对公司有很大的帮助作用。
 
当然为了确保整个管道的安全,DevSecOps落地有以下四个方面需要重点注意。

01

构建黑客人物画像



正如上文所说,DevOps威胁建模前提是了解黑客人物画像,确定其目标和动机。因为通常会有很多种类型的攻击者,不管黑客采用哪种类型攻击方案肯定都要绕过我们的检测手段。如果能够研究一下最常见的攻击者的动机和目标,这样就能知道黑客会利用我们的哪些漏洞。


下图展示的是一个黑客人物画像示例。了解一下她的动机是什么,最让她头痛的难点在哪儿?这样我们就可以有的放矢。
RSAC 2020热点解读:如何让DevSecOps管道真正落地实践



图2  人物画像示例


  • 动机:要知道她要攻击什么,他在寻找什么?她会利用什么漏洞?

  • 难点:如果我们知道哪些地方能够困住她,就可以在这些地方采取有效的控制措施,将这些控制措施整合到整个系统建设中来,加强系统在这些控制点上的优势,就可以在一定程度上阻止攻击者实现其目标。


02

了解黑客攻击模式



上面了解了攻击者的人物画像,下面我们看一下攻击者的攻击模式。从任何攻击模式中,都能够看到KillChain的影子和印记。如下图所示,通过不断地监测(recon),攻击者可能伪装成合法用户,然后获得连接(connection),从而进行漏洞利用。
RSAC 2020热点解读:如何让DevSecOps管道真正落地实践



3  攻击者的攻击模型示例


上图所示的攻击模式是很普通很常见的一种攻击模式,企业组织需要根据自身的特定情况,总结概括所在行业经常面临的特定攻击模式,从而制定缓解特定风险的措施。但是,无需花费大量的时间和精力去解决每一种风险,只需要重点解决所面临的特定风险。

03

方法比工具更重要



目前,很多公司在落地DecSecOps项目时,为预防出现bug,都会集成大量安全工具,可以开展动态和静态分析、漏洞奖励(bug bounty)、渗透测试、运行时检测、安全包装库、模糊测试等等。关键在于,清晰地知道每种工具的使用场景。在修复漏洞时,要从这么多工具中进行选择,确实太让人头痛了。但重要的是,不管你用哪种工具,每种方法都有自己的优势和弊端。所以,每种方法是好是坏,对于解决的不同问题而言,不能一概而论。
RSAC 2020热点解读:如何让DevSecOps管道真正落地实践



图4   工具箱中的安全工具


因此,最重要的不是要提高工具的效能,而是要选择正确的方法来解决问题。而且,选择忽略哪些问题,对这些问题暂且不管,也是很重要的一个选择。最后,正确的方法是根据漏洞的类型和复杂程度而定的。

04

漏洞管理是防护基础



漏洞管理是了解当前的安全现状以及未来工作是否有效的关键所在。在DevSecOps的发展过程中,要重点关注以下几个方面:
  • 尽量减少开发人员和安全人员之间的摩擦。

  • 同一个系统中的所有漏洞都按照常规bug来追踪

  • 通过相同的工作流程处理所有漏洞(漏洞报告奖励、渗透测试、工具、内部测试)。





写在最后

DevSecOps的成功实践离不开团队之间的协同合作,尤其是对于安全团队。DevSecOps是由开发、安全、运维三驾马车组成的,最需要做出改变就是安全人员。安全人员要改变过去审核者的心态,应该将自己变成开发人员和业务人员合作伙伴。如果安全人员总是高高在上站在审核者的位置上,粗暴指出业务系统存在问题或者指导运维人员如何修改配置,那么DevSecOps落地实践就是一句空话。

-The End-

RSAC 2020热点解读:如何让DevSecOps管道真正落地实践

携手战“疫”,青藤宣布向全国免费提供SaaS主机安全产品


其它精彩阅读:

青藤云安全完成3亿元B+轮融资,大湾区共同家园投资有限公司领投

携手战“疫”,青藤宣布向全国免费提供SaaS主机安全产品

NIST.SP.800-190容器安全标准(中文版)正式发布

关于容器、微服务、docker的十大问题

技术洞见:公有云容器市场发展及安全问题

在生产环境中运行容器的“六要、六不要和六管理”


关于青藤云安全

青藤云安全以服务器安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全态势感知平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。

RSAC 2020热点解读:如何让DevSecOps管道真正落地实践-政府机构-

国家信访局 | 国家信息中心 | 北京市公安局 | 中国煤炭地质总局 | 国家电网 |华中电网有限公司 | 天津市地震局| 青海省卫生健康委员会 | 北京电视台 | 中国日报 | 人民网| 中央广播电视台

-金融行业-

中国平安 | 招商银行 | 光大银行 | 吉林银行 | 宁波银行 | 安信基金 | 阳光保险集团 | 招联金融 | 银华基金管理股份有限公司 | 泰康 | 广发证券 | 安信证券| 华融

-互联网金融-

陆金所 | 借贷宝 | 91金融 | 51信用卡 | 玖富 | 易宝支付 |宜信 | 人人贷 | 普惠家 | 有利网|大智慧集团

-互联网-

BiliBili | 科大讯飞 | 51 Talk | 团车网 | 人人行科技 | 斗鱼 | 映客 | 途牛 | 春雨医生 | 天极网 | 医渡云| 中投视讯

-大型企业-

九阳 | 吉利控股集团 | 中通快递 | 上汽集团 | 百胜中国 | TCL | 中国移动 | 中国联通 | 中国电信

RSAC 2020热点解读:如何让DevSecOps管道真正落地实践

《RSAC 2020热点解读:如何让DevSecOps管道真正落地实践》原文地址:
http://mp.weixin.qq.com/s?__biz=MzAwNDE4Mzc1NA==&mid=2650827434&idx=1&sn=4ea5e75681a5119ef2a9af6dacf34fb5&chksm=80db090fb7ac801902ee6218e8483a12378a0100dac60afd98869e1beb8710a82ee211acb154
赞(0)
本站所刊载内容均为网络上收集整理,本站不保证其真实性和准确性,所有内容仅供大家娱乐参考。如有异议,请与本站联系,会尽快处理争议内容。VPS主机推荐 » RSAC 2020热点解读:如何让DevSecOps管道真正落地实践

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址