|
随着IT基础架构变得越来越复杂,某些专业职能部门已经制定了自己的利基(利基(niche)是指针对企业的优势细分出来的市场,这个市场不大,而且没有得到令人满意的服务。简单可以直接理解成“小环境”)要求,与主流IT运营有关,但有所不同。主要的包括开发、安全性和网络。多年来,这些利基要求变得孤立而效率不高。 近年来,人们尝试打破孤岛,将功能与主流IT运营重新整合发展。如DevOps,NetOps和SecOps以及更细微差别的DevSecOps的概念。总称是xOps。在总的情况下,其目的都是通过与IT运营更好地集成来提高利基功能的速度、敏捷性和效率,该过程业已证明非常成功。 当然,其所获得的效率完全取决于将功能与IT运营重新集成的成功,案例不同并不统一。例如,国外安全文章举了总部位于犹他州Lehi的自动化公司SaltStack的例子。相信看到这个名字,你会翻到前面我发布的几篇有关这个公司产品漏洞的文章。SaltStack已发布了一系列新的调查报告,以检查xOps的当前状态,并从检查SecOps的状态开始。SecOps与DevSecOps不同。前者是基础架构及其数据的整体安全性,而后者是在新应用程序的开发阶段构建安全性的一种尝试,以避免部署后必须增加安全性。  SaltStack的《2020年第二季度XOps状态报告》在2020年1月期间查询了130位经过验证的信息安全从业者和IT领导者。以此前,Gartner 2017年的预测(到2020年底已经利用的漏洞的99%)为背景,这个背景为安全从业者和IT专业人员所熟知。最近发生的许多漏洞表明系统配置错误和未修补的已知漏洞,尤其是公共云和本地服务器基础结构和数据库的漏洞,是造成数据泄露和成功利用漏洞的最常见原因。 这意味着,如果已知漏洞但未修复,则安全团队与IT团队之间将缺乏足够的协作。SaltStack调查证实了这一点。只有54%的安全主管表示他们与IT专业人员进行了有效的沟通,而只有45%的IT专业人员表示同意。这两个数字令人担忧,这种差异表明安全团队对他们的沟通能力和(或)IT的聆听意愿过于自信,其实是不够。 安全从业者和IT经理都同意对应该发生的事情需要有基本的了解。数据保护应优先于创新、上市速度和成本。实践中,实际情况只有30%的人认为遵循这一原则。整整70%的受访者表示,公司为加快创新而牺牲了数据安全性。专家表示,有来自运维团队的压力,他们希望尽快完成工作,也许在Sec和Ops之间会存在一些冲突。 SaltStack认为问题可能出在两个团队之间的责任细节不同。IT运营商有权在保持基础架构可靠性的同时,快速创新并推向市场。安全专家的任务是识别安全漏洞和合规性问题。采取行动补救安全性问题和强制合规性的共同责任常常无从落地。 缺乏跨团队协作将两个团队勉强联系在一起,可能在相互协作磨合的过程加剧产生漏洞。这个认识是基于详细调查信息支持的。在使用跨功能协作和自动化工具的情况下,管理人员说IT从业者和安全团队进行有效沟通的可能性要高四倍,当然这点你可以理解成是他们想推销他们的自动化工具,不过工具促进团队合作,提升效率的案例在我们身边比比皆是,对此的理解还是希望不要太过偏执。 在理论性的安全合规方面有很多细节,比如大家都讨厌补丁管理,安全性讨厌威胁优先级以及IT讨厌合规性审核,在此过程中,团队倾向于用自动化将SecOps的工作统一起来,实现提升团队协作和效率。自动化在这个过程中弥合了Sec和Ops两个小组之间的自然差异,并且可以使SecOps的概念成功实践。 上面我说道,你看到SaltStack可能会点开前面我整理的两篇有关Salt漏洞的文章。最近,F-Secure在SaltStack产品中发现了两个漏洞,并按照漏洞管理的规则及时披露了漏洞。SaltStack在F-Secure公开漏洞之前对其进行了修补。我们也提到,F-Secure指出,黑客掌握漏洞后最多一天时间就可以开发出利用程序。周五的警告,第二个周一就发现几次攻击行为。也就是说,在周末开始已经有人开始攻击SaltStack产品,详情可以看上两次有关SaltStack的文章。 |
|
|
