安全能從開發(fā)運(yùn)維中學(xué)到的:自動化、集成與協(xié)作

責(zé)任編輯:editor005

作者:nana

2016-09-02 14:46:20

摘自:安全牛

“開發(fā)運(yùn)維”正在改變應(yīng)用程序開發(fā),其中自動化、集成和協(xié)作等原則,同樣可以極大地改進(jìn)安全。當(dāng)數(shù)據(jù)收集和分析自動化了,開發(fā)人員、安全團(tuán)隊(duì)和業(yè)務(wù)部門也就能共同協(xié)作了。更快的警報(bào)意味著安全部門更早地切入問題,更好的信息能幫團(tuán)隊(duì)構(gòu)建出解決方案。

“開發(fā)運(yùn)維”正在改變應(yīng)用程序開發(fā),其中自動化、集成和協(xié)作等原則,同樣可以極大地改進(jìn)安全。

企業(yè)安全從業(yè)人員常被認(rèn)為是癡迷于減少風(fēng)險(xiǎn)的嚴(yán)厲看門人,但他們更想被看做幫助企業(yè)獲取需要的數(shù)據(jù)達(dá)成業(yè)績的促成者。為成就這一印象上的轉(zhuǎn)變,安全團(tuán)隊(duì)必須更快、更高效、更適應(yīng)變化。這聽起來真的挺像開發(fā)運(yùn)維的屬性。

事實(shí)上,安全還真能從開發(fā)運(yùn)維上提取靈感——Splunk安全市場副總裁宋海巖如是說。開發(fā)運(yùn)維鼓勵(lì)自動化和工具間更好的集成,而這兩個(gè)趨勢正越來越被安全從業(yè)人員用以使安全在整個(gè)企業(yè)范圍內(nèi)更加透明。

“讓安全成為整個(gè)結(jié)構(gòu)中的一部分,這樣人們便不用刻意去考慮它了。”

隨著更多的企業(yè)將開發(fā)運(yùn)維原則運(yùn)用到幫助開發(fā)人員和業(yè)務(wù)部門合作改進(jìn)軟件開發(fā)和維護(hù)上,這些企業(yè)也越來越尋求將安全嵌入到他們的過程中。連續(xù)自動化測試能改進(jìn)應(yīng)用程序安全,操作可見性的增加也能改善網(wǎng)絡(luò)安全。

“工作更順暢意味著更好地搞定安全漏洞。”這不僅僅是在開發(fā)過程中捕捉漏洞,也是要有能力在出問題的時(shí)候及時(shí)進(jìn)行響應(yīng)和修復(fù)。

當(dāng)數(shù)據(jù)收集和分析自動化了,開發(fā)人員、安全團(tuán)隊(duì)和業(yè)務(wù)部門也就能共同協(xié)作了。其中的好處已超越了應(yīng)用安全。宋海巖舉了個(gè)“往電商應(yīng)用中推出一個(gè)功能更新后便銷售急劇下滑”公司的例子,難道問題出在更新或者應(yīng)用本身上?非也。其實(shí)是SSL證書過期而已。如果幾部分人馬通力合作,就能更容易發(fā)現(xiàn)并修復(fù)問題?,F(xiàn)在有種不同部門和團(tuán)隊(duì)互相合作融合的趨勢。

開發(fā)運(yùn)維讓參與其中的每個(gè)人都更容易知曉正在發(fā)生什么、為什么會發(fā)生,以及接下來會發(fā)生什么。這種可見性對安全團(tuán)隊(duì)同樣非常重要。因?yàn)榘踩藛T未必控制著網(wǎng)絡(luò)運(yùn)維或那些各種各樣的系統(tǒng)。通過自動化的跨域數(shù)據(jù)收集和分析,這樣就會對所有過程都有情境式的感知。要將安全團(tuán)隊(duì)融入數(shù)據(jù)庫和網(wǎng)絡(luò)管理員、商業(yè)利益相關(guān)者、業(yè)務(wù)部門和開發(fā)人員中來,這樣大家才能精誠合作。

安全不是孤軍奮戰(zhàn)。摒除團(tuán)隊(duì)間的樊籬可以更快地讓安全部門獲悉當(dāng)前情況。更快的警報(bào)意味著安全部門更早地切入問題,更好的信息能幫團(tuán)隊(duì)構(gòu)建出解決方案。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號