在安全行业工作多年之后,我发现很多安全管理者都会遇到一个明显的问题,那就是如何在不增加资源的情况下,完成越来越多的安全工作。然而在企业中,安全从业人员大都生活在“信息孤岛”上,都是孤独者。
那么该如何利用特定的技术提高安全人员和业务之间的融合度,提高安全投入的效益和效率呢?
DevOps革命
这似乎是很久以前的事了,那时软件开发团队和IT运维团队是孤立的。每个团队负责特定的事情:开发人员负责编写和构建软件,IT运维人员负责部署和交付软件。
通常,在这个过程中开发人员很少考虑如何实现有效地部署。团队之间交流很少,而且没有合理规划或自动化部署,导致软件交付速度不够快,慢慢的就会出现矛盾和问题。
这种软件开发和交付方法没有考虑时间效率或成本效益,特别是没有考虑到在技术飞速发展的背景下,软件交付要求更快。随着时间的推移,开发人员和运维人员都很难跟上进度。
庆幸的是,大量的实践经验加上新兴技术(云计算、SaaS等)的出现,为这一场革命铺平了道路。编制和自动化的引入令整个过程无缝衔接且更加有效。
DevOps就是这样诞生的。DevOps有一个简单的目的:使用单个单元来构建、部署和交付软件。
安全正处于变革的边缘
安全团队现在的困境,正如开发人员和运维人员在DevOps诞生之前所面临的困境相同。例如:团队被过多的警报淹没,他们没有足够的时间或人员调查所有的警报。更糟的是,大多数警报很可能是误报,但仍然需要调查,这导致团队花费大量的精力追查日志和其他情报,却发现没有实际的威胁。与此同时,真正构成危险的警报可能没有得到足够快的调查,甚至根本没有得到调查,因为许多调查任务都是手工的、重复的、费时的。
在这个过程中,所有工具都是独立割裂的。因此团队必须不停从一个系统跳转到另一个系统,查看和了解不同的信息。这是非常艰巨的任务,而且容易出错。
在当今优秀网络安全人才非常稀少的情况下,想要通过雇佣更多的安全人员来解决问题也不是一个简单的解决方案(也不一定更有效率)。
最后,威胁者正变得比以往任何时候都更具创造性(Mirai病毒、僵尸网络和恶意软件等)。防守者越来越难以跟上形势,更不要说超越这些威胁了。
在这样的背景下,安全正在到达拐点。就像安全编排和自动化解决方案如何给软件开发和IT操作带来变化一样,它也将给安全操作(SecOps)带来变化。
安全编排和自动化带来的变革
正如前文所说,编排和自动化是DevOps成功的关键技术。为什么不把这些相同的概念引入SecOps呢?安全编排统一了不同的系统和工具,为机器对机器的安全自动化指明了道路。机器擅长处理一系列重复的任务,而人类则擅长从数据中获取信息。为什么不把这些重复性的任务交给机器,让人把精力集中在数据的相关性上呢?在某些场景中,如果流程定义得足够好,甚至可能不需要人工参与。
这就是自动化的美妙之处。再加上业务流程,它可以非常灵活。
那么,这对整体安全意味着什么呢?我们在下面列出:
1、防御者走在攻击者的前面,而不是一直在被动防御
2、安全职能更精简,效率更高
3、这个行业更加强大,联系更加紧密,效率更高
4、它为更大的IT团队之间的合作铺平了道路
结语
安全做了这么多年,但是面临黑客攻击的时候却仍然是不堪一击。作为一名安全从业者,我能切身体会到当下的安全现状对防御者来说有多艰难。如果没有开发人员,添加编排和自动化是一件多么困难的事。对许多组织来说,受到网络安全短缺和预算限制,在安全操作中增加自动化是一个白日梦。因此迫切需要企业管理者,从根本上重视安全投入,能够提供给安全团队向安全流程添加自动化的最快方法,而不是一堆代码。