专家说,公司需要从Devops到Devsecops移动
根据Devops专家的说法,Devops在业务敏捷性方面提供了经过验证的优势,但它也可以创造新的安全风险和恢复旧的旧版本。
Devops Security of Cyber Ark的Devops Security副总裁伊丽莎白律师表示,风险未能培训或开发员工在安全上实施最佳实践。
“这种失败使组织容易受到内部和外部威胁的影响,”她每周告诉计算机。
律师表示,在管理其安全投资组合的时候至关重要,许多组织都在不知不觉地引入脆弱性以追求快速创新的脆弱性。
鉴于2017年的优步和其他高调组织的数据泄露,她说,有三个Devops安全趋势应该是每个组织的雷达。
1.优步漏洞只是一个开始
Lawler表示,Uber Breach是如何暴露5700万客户的个人数据,因为开发人员使用解决方法来管理软件存储库中的凭据。
“这让黑客访问了他们的特权账户,”她说。“那些开发人员并不孤单,这是一个偷看开发商的常见做法的幕后。没有明显的方式在工具上安全地合作。“
律师说,组织通常无法对Devops从业者进行安全容易,并为失败创造了机会。“通过他们的本性,开发人员不是安全从业者,”她补充道。“他们负责特征和功能,而不是讨论如何管理这些关键资产的凭证协作和安全性。”
这在组织的风险评估中留下了差距,这些风险评估由Cyber Alk研究强调,发现大多数组织无法识别存储凭据的所有位置。
研究报告发现,73%的组织根本没有策略,以解决Devops的特权账户安全。“这很惊人,”律师说。“开发人员的用户体验中存在明显的失败,这意味着我们将继续看到2018年及以后类似于优步的违规行为。
“公司要求开发人员在超出其核心工作职能时管理安全资产,并且他们在这样做的情况下没有经验。未来将是自动化的,使安全更加无缝,这意味着制造开发人员的本土经验的安全部分。“
据律法说,新的研究表明,优步可能并不孤单地试图隐瞒客户的泄露。“我们的研究发现,50%的组织DID在他们的个人数据在网络攻击中受到损害时,不完全通知客户。”“令人震惊,是的;令人惊讶的,也许不是那么多。“
2.Devops Security是一份全职工作
组织正在转向Devops工作流程以实现变革速度和创新,但律师表示,他们没有准备或人员管理这些环境的安全性。
“我们将看到Devsecops从业者的关键人才差距,因为业务领导者越来越优先考虑网络安全,”她说。“许多组织只是任务相同的Devops从业者 - 通常没有安全体验 - 保护这些环境,除了他们必须提供的许多其他职责。但这不再足够了,特别是考虑到Devops工作流程中的越来越大的威胁表面以及管理自动工作流中使用的脚本,平台和系统的相关风险。“
Devsecops从业者的需求很高,律师预测,由于组织意识到他们拥有合适的工具,但不一定是合适的人民管理它们,他们将更加困难。“安全将成为一个全职工作,专注于Devops工作流程,并且很少有从业者可以在市场上填补这种角色,”她说。
3.Devops的最少特权将获得一个整容
律师表示,组织在完整的企业堆栈中尚未解决“身份”尚未解决“身份”,因为机器身份,访问控制和管理或跨越多种平台组件的审计没有共同标准。
“组织只是安全成为最薄弱的环节,”她说。“弱链路可以是VM [虚拟机],容器或现在存在的几十个平台层。随着这些矩阵扩展,它们变得更加困难控制。“
据律法说,需要对携带越来越敏感的数据的高自动化系统中的机器身份的更强定义。“很快,我们将开始看到应用于机器的人类访问管理的概念有意义的应用,”她说。
通过强迫Devops团队考虑谁或什么要求访问什么,Lawler认为组织可以遵循安全最佳实践和限制机器正在做的事情,而不会影响运营。
“这将为Devops环境的安全姿势提供真正的问责制,”她说。“在Devsecops中连续交付最低权限的过程最终可以成为现实。”
律师补充说:最终,重要的是要理解Devops从业者没有完整的安全性的局面的视图。
据律法尔说,Devops团队主要思考软件漏洞和补丁管理作为“安全功能的范围”,这被大多数使用Terraform和Ansible等安全工具所证明的事实证明。
“但这些工具只是看待补丁和漏洞,而不是访问与他们访问tier零资产相关的控制和权限,”她说。“秘密管理根本不在雷达上。”
Devops未能阻止超级漏洞,因为律师说,最终受到了违规来源的“安全工具”。“剩下的工具链有同样的问题,”她补充道。“考虑一下 - 我将一个devops工具掌握,我拥有自己的系统。”
律师表示,这是时候带来安全团队来帮助保护组织的工具链或开始思考像攻击者。“这意味着它,Devops和Security团队必须聚集在一起,以更好地了解安全政策中的黑客,未来趋势和差距的直接威胁,”她说。“只有这样,他们才能建立一个策略,以有效保护自己免受威胁。”
