首页 > 安全 > 正文

现代CISO面临的挑战:实施DevSecOps,改进安全运营

2019-01-11 15:53:08   来源:IT运维网>

我们与FP Complete的首席执行官Aaron Contorer坐下来,了解企业可以采取哪些措施来增加网络安全,与DevSecOps实施相关的挑战以及改进整体安全运营等等。
 

现代CISO的挑战


根据您的经验,大型企业在管理大量IT项目时遇到了哪些困难?如何使用现代技术减轻这些影响?


今天的公司正在努力解决基本的冲突。它们应该始终提供新的和增加的IT功能,但它们也应该提供高水平的安全性和可靠性。当您应该不断更改和升级关键系统时,如何确保隐私安全,防范黑客和事故?
 

最好的IT公司,如谷歌和微软,都知道你只能通过良好的工程实践来实现这一目标,包括DevOps,现代云架构和现代编程语言。这些公司每天都能够对其软件进行重大升级。所以我们知道这是一个已解决的问题 - 但大多数公司都没有采用必要的解决方案。
 

特别是,DevOps(包括用于安全性的DevSecOps)将自动化和变更控制引入公司的在线基础架构。正确使用DevSecOps工具,使在线安全成为现实,并提供一定程度的控制和自动化,可以防止公司成为下一个Equifax。
 

鉴于现代安全架构的复杂性,与实施DevSecOps相关的最重要挑战是什么?


许多公司容忍并补贴持续的危机和消防状态。我们需要像工程师一样行事并解决问题的原因,而不是说“够了”。原因是过时的手动工程系统,从未设计用于处理现代IT的规模和复杂性。令人恐惧的是,在一个过期的许可证或一个配置错误的服务器或帐户或防火墙可能是成功(通常是安全)和失败之间的差异的环境中,有多少工程师和系统操作员被迫手动部署和维护非常复杂的解决方案。
 

坦率地说,如果您在未来一年没有预算来管理和自动控制您的云系统,那么您可以打赌会出现严重的IT故障,这会对您的公司造成伤害,甚至可能会在执行或董事会中发现您的业务中断水平。隐私,安全和正常运行时间是强制性的 - 如果您关心使其工作,希望不是一种策略。工程师需要管理层的支持来分配他们的时间和资源,他们需要访问现在可以实施的经过验证的最佳实践。
 

您对新任命的CISO有何建议,该任务旨在改善大型企业的整体安全运营?


首先,我要说“祝贺你,你可能是贵公司第一位非常认真对待安全的高管。”然后我会说“谨慎,这意味着你所依赖的每个人都有比你更不重视安全的旧习惯“这意味着你必须驾驶船只通过未知的水域,这需要坚定的手掌。
 

我最实际的建议是:不要误以为提高安全性需要一个宏大的总体规划。如果你把所有的时间花在安全性而不是执行的策略上,那么到明年这个时候,你会更穷,但不会更安全。相反,要了解许多安全实践和工具已在现场得到验证,随时可供您实施。你不需要向导,也不需要奇迹。您需要向团队发出此订单:在每个级别逐步改进安全性,立即开始。
 

我的第二条建议是:非自动化的安全性实际上并不安全。系统中需要手动步骤的任何东西都会在某个时刻中断,因为我们人类并不完美。即使我们正确地设置了三次服务器,这并不意味着工作人员在更新软件,扩大容量或从中断中仓促恢复时,第四次和第五次都会100%正确。必须自动配置网络中必须正确配置的任何内容和服务器。如果您希望每次焊接的方式相同,那么您就会得到焊接机器人。如果您想要安全性,那么您将获得DevSecOps机器人。并且你不用手工制作它们 - 你得到已经存在的那些。
 

您如何看待DevSecOps在不久的将来发展?您期望AI和机器学习对DevSecOps有什么样的影响?


主要趋势是在版本管理和专业工程中包含更多的IT系统。今天,我们通常有条不紊地构建软件和数据库,但我们将它们部署在云服务器的队列上,这些服务器由一个秘密的IT专家组手工安装。猜猜每个月新闻中的安全漏洞来自哪里?不是来自受版本控制且具有正式测试用例管理的东西,而是来自秘密的,临时的部署步骤,当他们从褪色的餐巾纸上读取计划时,有人“忘记”正确地执行。所以“基础设施作为代码”是一个大趋势 - 使用像Docker和Kubernetes这样的自动化系统来确保软件和微服务的复杂网络总是正确部署,并且它们的云总是正确配置。
 

主要公司已经达到的下一个大趋势是新版本的节奏急剧增加。一旦新功能的升级完全自动化,安全可靠,公司正在转向IT准备每周推出新软件的节奏,以及之后的每一天 - 没有消防演习,没有午夜电话会议,只是一个迅速的IT工厂一直推出新软件的传送带。
 

人工智能的重要作用在于了解健康系统的外观,并比任何人都能更快地识别故障指标。机器学习具有惊人的能力,可以通过系统日志和状态监视器进行跋涉,其规模可以使任何人类大脑陷入困境,在大量其他针头的大海捞针中寻找奇怪形状的针头。
 

高级公司正在应用层持续监控系统行为,寻找用户正在接收异常服务的任何迹象。对质量敏感的公司正在使用遗传算法或“突变测试”来注入人们尚未见过的疯狂状况,因此他们可以在人们想到探测它们之前很久就识别每一层的系统弱点。
 

没有人会在云工程领域失业。通过实现基础知识,如自动化测试和自动化持续部署,我们可以自由地升级堆栈,致力于可靠性工程,可扩展性,最终为最终用户提供新的业务价值和新功能。

相关热词搜索:DevSecOps

上一篇:打击金融部门全球犯罪网络的攻击
下一篇:加密后门为网络安全打开了潘多拉盒子