CISO如何從應用安全的思維轉(zhuǎn)變?yōu)楫a(chǎn)品安全的思維

責任編輯:cres

作者:Ericka Chickowski

2023-09-07 14:25:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

與應用安全團隊相比,產(chǎn)品安全團隊因其采用的深度安全方法而變得更受歡迎,同時,它還有更多的意義,包括創(chuàng)造一種具有安全意識的文化。

無論你將其稱為左移安全、預置安全,還是設計安全,當今具有前瞻性的企業(yè)都明白,他們不僅需要將安全作為單個應用程序的整個生命周期的考慮因素,而且還需要考慮其支持的業(yè)務產(chǎn)品的整個生命周期。為了做到這一點,越來越多的企業(yè)使用產(chǎn)品安全團隊和產(chǎn)品安全官作為實現(xiàn)這一變化的一種方式。
 
產(chǎn)品安全將傳統(tǒng)應用程序安全的范圍遠遠擴展到測試之外,并擴展到倡導、業(yè)務組之間的協(xié)作、設計思維、威脅建模、架構(gòu)規(guī)劃和真正的風險管理領(lǐng)域。Appdome的首席產(chǎn)品官Chris Roeckl表示:“通過積極參與開發(fā)過程的每個階段,產(chǎn)品安全團隊幫助將安全考慮因素嵌入到軟件的設計、架構(gòu)、編碼、測試和發(fā)布到生產(chǎn)中。”這種主動的方法是一個良性循環(huán),將漏洞風險降至最低,并確保安全是最終產(chǎn)品不可或缺的一個方面。
 
如果處理得當,產(chǎn)品安全將成為兌現(xiàn)DevSecOps倡導者多年來做出的承諾的重要因素。
 
應用安全和產(chǎn)品安全有何不同
 
雖然應用安全和產(chǎn)品安全有一個共同的目的——幫助企業(yè)發(fā)布和維護安全軟件--但每個功能在實現(xiàn)這一目標中扮演的角色是不同的。谷歌員工云安全倡導者米歇爾·丘比爾卡解釋說:“應用安全真正關(guān)注的是測試、驗證和工具鏈,而產(chǎn)品安全涵蓋了整個SDLC的業(yè)務規(guī)則,包括軟件開發(fā)中那些模糊的人為部分。”
 
此外,雖然應用安全團隊深入研究他們負責加強的每個單獨的應用程序,但產(chǎn)品安全要著眼于整體情況,端到端地查看幫助提供給定產(chǎn)品的整個堆棧的安全性。產(chǎn)品安全是應用程序安全的延伸。應用安全集中在保護單個軟件應用程序的代碼和功能上。“Contrast Security公司的CISODavid Lindner說。產(chǎn)品安全考慮到更廣泛的環(huán)境和各種組件之間的通信可能出現(xiàn)的潛在攻擊載體,從整體上看待整個技術(shù)產(chǎn)品。
 
這一更廣泛的環(huán)境可以同時包括多個應用程序、硬件組件和相關(guān)服務。產(chǎn)品安全考慮了它們在一起部署時的安全狀態(tài)。
 
對于一些公司來說,產(chǎn)品安全可能只關(guān)注外部客戶,但其他公司甚至認為關(guān)鍵的后端財務或人力資源系統(tǒng)等內(nèi)部項目也在產(chǎn)品安全保護傘的范圍內(nèi)。全球軟件開發(fā)公司EPAM Systems的CISO薩姆·拉赫曼解釋說,無論哪種方式,產(chǎn)品安全前景都更加全面。“這涉及更廣泛的范圍,包括運營和技術(shù)控制、整體環(huán)境、客戶身份,以及檢測和應對服務中潛在問題的機制。”他說。
 
黑莓負責產(chǎn)品安全的副總裁克里斯汀·加茲比(Christine Gadsby)表示,看待這一區(qū)別的一種方法是將應用程序想象成蛋糕。應用程序安全類似于在將其提供給某人之前檢查單個蛋糕,以確保它看起來安全且沒有污染。同時,產(chǎn)品安全是指改善面包店制作蛋糕的方式和他們使用的工具,以確保每一塊蛋糕都是安全和美味的。“產(chǎn)品安全更像是一種‘大局’方法——從開始到結(jié)束的整個烘焙過程,確保你在每一步都有正確的動作和過程,以確保蛋糕有完全正確的成分,滿足你客戶的精致甚至敏感的托盤,并在整個生命周期中保持‘新鮮’,”她說。作為一個企業(yè),產(chǎn)品安全團隊必須考慮整個產(chǎn)品或系統(tǒng)列表的安全性以及客戶使用它們的內(nèi)容,這些產(chǎn)品或系統(tǒng)可能包括幾個‘配料’或幾個蛋糕。
 
為什么產(chǎn)品安全正在成為應用的趨勢
 
產(chǎn)品安全已經(jīng)出現(xiàn)在企業(yè)架構(gòu)圖上,這一事實并不是對傳統(tǒng)應用程序安全測試的否定,只是承認現(xiàn)代軟件交付需要不同的視角,而不是受過培訓的應用安全測試顯微鏡。由于技術(shù)領(lǐng)導者已經(jīng)認識到應用程序不是在真空中運行,產(chǎn)品安全已經(jīng)成為幫助觀察單個應用程序之間的差距的首選團隊。這個團隊的成員也是安全倡導者,他們可以幫助向可重復的開發(fā)過程和產(chǎn)生所有代碼的“軟件工廠”灌輸安全基礎(chǔ)。
 
API安全測試公司StackHawk的聯(lián)合創(chuàng)始人兼CSO Scott Gerlach表示,產(chǎn)品安全的出現(xiàn)類似于DevOps運動早期站點可靠性工程的增加。隨著軟件交付的速度越來越快,從開始到交付,可靠性都需要融入到產(chǎn)品中。如今,安全團隊通常在開發(fā)過程中與軟件的交互最少。另一方面,產(chǎn)品團隊在整個生命周期中全力以赴。將安全性納入他們的技能集,并從產(chǎn)品開始到發(fā)布進行整合,可以實現(xiàn)更快、更安全的產(chǎn)品交付周期。這是為了在早期讓安全更接近產(chǎn)品。
 
同時,產(chǎn)品安全通常不會取代傳統(tǒng)的應用安全。應用程序安全在保護軟件方面繼續(xù)發(fā)揮著重要作用,最好是在一個協(xié)調(diào)良好的產(chǎn)品安全框架內(nèi)。EPAM的拉赫曼解釋說:“值得注意的是,產(chǎn)品安全依賴于應用安全實踐來限制和減少應用程序中的漏洞。”如果不解決應用程序級漏洞,任何圍繞產(chǎn)品的額外安全措施都無法確保高標準。
 
產(chǎn)品安全團隊可以促進安全文化
 
產(chǎn)品安全在設計原則下的安全實現(xiàn)中起著舉足輕重的作用。根據(jù)拉赫曼的說法,它在產(chǎn)品或服務的設計階段是不可或缺的。這種參與擴展到定義復雜地編織到產(chǎn)品的架構(gòu)和功能中的強大的產(chǎn)品政策和控制。“。
 
定義產(chǎn)品策略只是個開始,因為產(chǎn)品安全是工程和開發(fā)、業(yè)務利益相關(guān)者和安全領(lǐng)導之間協(xié)作的實際促進者。企業(yè)經(jīng)常將該團隊用作推動始終難以捉摸的安全文化的變革推動者,而許多軟件安全大師多年來一直倡導這種文化。
 
Gadsby說:“產(chǎn)品安全團隊可以通過定期交流安全更新、成功經(jīng)驗和挑戰(zhàn),幫助創(chuàng)建一種有安全意識的文化,讓每個人都能在日常工作中了解安全并將安全放在首位。”他們制定明確的指導方針和標準,提供資源教育員工有關(guān)最佳實踐的知識,并與開發(fā)團隊合作,將安全性整合到軟件開發(fā)生命周期中。
 
雖然產(chǎn)品安全確實做了相當多的宣傳和政策工作,但最好的產(chǎn)品安全團隊不會只把繁重的安全需求堆積在別人的肩膀上,而不支持他們。Synopsys Integrity Group的副首席安全顧問杰米·布特(Jamie Boote)表示,它們應該幫助減少局限。
 
布特解釋說:“一種特殊類型的局限會阻礙企業(yè)中的安全,那就是認知局限——理解和解決安全問題所需的精神努力。”通過提供培訓、明確的要求、可重復使用的解決方案和按設計確保安全的組件,團隊只需付出最少的努力即可適應和使用這些組件,從而可以減少開發(fā)人員、架構(gòu)師、工程師和其他利益相關(guān)者所遇到的認知局限。
 
拉赫曼表示,通過領(lǐng)導對每個參與產(chǎn)品相關(guān)方面設計和編碼的人的教育和培訓,是產(chǎn)品安全作為安全文化變革推動者角色的關(guān)鍵組成部分。他說:“非安全專業(yè)人士往往缺乏防御性思維或預測潛在攻擊者視角的內(nèi)在本能——我稱之為‘檢查每一個角落’的觀念。”“分享看似合理的情景,不是為了引起恐懼,而是為了說明襲擊者的潛在行動,這對于在企業(yè)內(nèi)培養(yǎng)安全文化至關(guān)重要。當個人掌握了可能出現(xiàn)的情景和面臨風險的資產(chǎn)時,他們就更有可能采取正確的心態(tài)。
 
誰負責產(chǎn)品安全?
 
如果一個企業(yè)沒有在Prodsec團隊中安排合適的人員并建立授權(quán)的報告結(jié)構(gòu),使他們能夠成功地影響變化,那么所有這些產(chǎn)品安全的職責和目標都是純粹的抱負。最好的產(chǎn)品安全專業(yè)人員需要擁有技術(shù)熟練和軟技能的體面組合,這將有助于他們促進協(xié)作;這不是那些不喜歡與人交談的搖滾明星技術(shù)人員的地方。同樣,他們需要一位負責安全以及提供有利可圖產(chǎn)品的業(yè)務和工程方面的負責人。“要領(lǐng)導有效的產(chǎn)品安全,必須任命一位具有產(chǎn)品知識和深厚安全專業(yè)知識的人,”拉赫曼說。他建議,他們將被授權(quán)在四個關(guān)鍵利益相關(guān)者領(lǐng)域進行有效溝通:IT、CISO辦公室、開發(fā)/開發(fā)運營團隊,以及治理、風險和合規(guī)。
 
根據(jù)企業(yè)的需要和文化,報告結(jié)構(gòu)將有很大不同。如果他們更大的企業(yè)是圍繞產(chǎn)品建立的,一些Prodsec團隊可能會嵌入到工程或產(chǎn)品企業(yè)中。此外,一些團隊可能會根據(jù)監(jiān)管或法律風險敞口向法律或合規(guī)部門報告。但有些人通常仍會向CIO/CTO、CISO或副總裁或安全總監(jiān)匯報工作。
 
拉赫曼說,最常見的直接下屬通常是CISO、CTO和CIO。他說:“在安全企業(yè)在技術(shù)上熟練且強大的情況下,我傾向于向CISO報告。”或者,向負責技術(shù)戰(zhàn)略的CTO匯報也可以為產(chǎn)品安全角色提供一個有效的住所。這一選擇最終取決于該企業(yè)的具體動態(tài)和目標。
 
作為黑莓產(chǎn)品安全副總裁,加茲比直接向CISO匯報工作。這將確保產(chǎn)品安全努力與我們的公司安全戰(zhàn)略保持一致,并確保我們在所有產(chǎn)品和服務中始終如一地實施安全措施。“。
 
無論產(chǎn)品安全直接向誰報告,所有專家都同意,CISO應該為團隊執(zhí)行的產(chǎn)品安全設定戰(zhàn)略愿景。CISO通過定義產(chǎn)品安全倡議的戰(zhàn)略方向來塑造和指導產(chǎn)品安全團隊。他們考慮如何將安全性集成到產(chǎn)品開發(fā)生命周期中,并使其與公司的總體目標保持一致。CISO還確保產(chǎn)品安全團隊由熟練的專業(yè)人員組成,他們能夠應對與產(chǎn)品開發(fā)相關(guān)的一些復雜挑戰(zhàn)。與其他部門進行了大量合作,以確保安全措施無縫集成,他們努力建立安全政策、標準和指導方針。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號