积极主动!左移安全验证
软件开发生命周期(SDLC)中的“左移(安全)”方法意味着在过程的早期启动安全性。当组织意识到软件从来都不是完美的,并且充满了许多可利用的漏洞、bug和业务逻辑漏洞,需要重新修复和修补时,他们明白构建安全的软件需要合并和整合大量资源。
这一结论导致DevOps和R&;D领导者变得积极主动,获取技术以提前发现并弥补这些差距,目的是降低成本和努力,同时提高成果质量。
随着新兴的全面持续安全验证技术的出现,“左移”作为SDLC的一个基本部分,其已证明的好处现在可以应用到您的网络安全计划中,其结果远远超过了安全态势管理的纯技术方面。
在开发层面上,SDLC的概念化是众多思路的融合,以优化流程的结果。从网络安全的角度来看,同样的思想融合过程导致了通过实施扩展安全态势管理(XSPM)技术的基础,推出持续安全保障计划的概念。
安全态势管理生命周期
与SDLC一样,XSPM的诞生源于需要考虑整个安全态势管理生命周期,包括从攻击性角度进行验证。自从“左移”一词被提出以来,出现了大量可集成到CI/CD过程中的检测和响应解决方案。然而,即使假设有一个完美集成和优化的高级检测和响应工具堆栈,它仍然会受到结构缺陷的影响。检测和响应是一种反应式方法,将主动权交给攻击者,并以检测任何和所有攻击的能力为前提。
事实上,网络威胁格局的日益动态性和网络防御的不对称性–;攻击者只需成功一次,而防御者需要阻止每一次攻击#8211;意味着只关注反应式检测和响应方法类似于打最后一场战争。现在应该转向进一步左移,以集成主动式连续安全验证过程。
XSPM包括所有连续的安全验证元素,并以安全态势组织它们—生命周期的四个阶段—评估、优化、合理化和保证。
- “评估”步骤包括从开始到结束发起一系列全面的攻击,涵盖攻击-杀伤链。
- “优化”步骤可识别配置错误的安全控制,使优化它们能够经常补偿尚未修补的CVE,并减少IT团队修补工作的工作量。
- “合理化”步骤评估检测和响应工具堆栈的有效性,提供详细信息以改进其配置,并识别重叠的工具和缺失的功能。
- 最后一步“确保”包括一个动态分析过程,可以根据需要进行定制,并用于可视化随时间变化的安全态势趋势。
生产力高于安全性,让我们让安全性更具生产力
XSPM的框架和技术促进了网络安全计划的优化,从而更好地利用了网络安全投资的资金和资源。减少重叠、最小化修补窗口、确定工作负载优先级、设置KPI和其他好处直接来自于早期集成安全性,而不是回顾性集成。
为了实现资源分配和安全态势的这种组合优化,安全和风险管理领导者首先需要建立一个相关的、经过验证的基线。由于数据完全来自检测和响应阵列,实际情况是一个未优化的顺序过程,它将主动安全验证步骤推到队列的后面,并导致对抗孤立的DevOps和SOC团队。团队之间的目标不一致会导致矛盾信息的混乱流动,阻碍决策过程,减慢运营速度,并可能导致不安全的部署。
将二者结合起来以实现安全软件–;在SDLC中烘焙XSPM的好处
当安全测试只在SDLC结束时启动时,由于未发现的关键安全漏洞而导致的部署延迟会导致DevOps和SOC团队之间的分歧。安全性往往被推到了最后,在引入新的工具或方法时,没有多少协作,例如偶尔对CI/CD管道发起模拟攻击。
相反,一旦SDLC中制定了全面的连续安全验证方法,每天通过自动化内置XSPM技术调用攻击技术仿真,在过程的早期识别错误配置,从而激励DevSecOps和DevOps之间的密切合作。通过跨安全和软件开发生命周期的内置团队间协作,以及对安全影响的即时可见性,两个团队的目标一致性消除了过去因内部政治而产生的冲突和摩擦。
创造指数级成果
通过全面的连续安全验证,您可以开始映射和了解在各种检测和响应技术上的投资,并实施发现,以抢占整个杀伤链上的攻击技术,保护真正的功能需求。
这一过程为IT团队提供了所需的一切,以确定从一开始就巩固和稳定安全态势管理的机会,避免部署过程中代价高昂的延迟,并最大限度地降低成功违规尝试的风险,而SOC团队则获得了构建以威胁为导向的战略所需的精确数据。
今天,您将如何积极主动地了解公司的安全态势?
本文由Ben Zilbermancymate的产品营销总监写作
