隨著IT基礎(chǔ)架構(gòu)變得越來(lái)越復(fù)雜,某些專業(yè)職能部門已經(jīng)制定了自己的利基要求�����,這些要求與主流IT運(yùn)營(yíng)有關(guān)�����,但又與之分離�����。主要的例子包括開(kāi)發(fā)�,安全性和網(wǎng)絡(luò)。多年來(lái)�����,這些利基要求變得孤立而效率不高。
近年來(lái)����,人們嘗試打破孤島,以將功能與主流IT運(yùn)營(yíng)重新整合-并發(fā)展了DevOps�,NetOps和SecOps以及更細(xì)微差別的DevSecOps的概念。總稱是xOps��。在所有情況下��,其目的都是通過(guò)與IT運(yùn)營(yíng)更好地集成來(lái)提高利基功能的速度�,敏捷性和效率,并且該過(guò)程經(jīng)常被證明非常成功�。
但是,所獲得的效率完全取決于將功能與IT運(yùn)營(yíng)重新集成的成功-這并不統(tǒng)一��。總部位于猶他州Lehi的自動(dòng)化公司SaltStack已發(fā)布了一系列新的調(diào)查報(bào)告�����,以檢查xOps的當(dāng)前狀態(tài)���,并從檢查SecOps的狀態(tài)開(kāi)始。(SecOps與DevSecOps不同���。前者是基礎(chǔ)架構(gòu)及其數(shù)據(jù)的整體安全性�����,而后者是在新應(yīng)用程序的開(kāi)發(fā)階段構(gòu)建安全性的一種嘗試���,以避免部署后必須增加安全性�����。)
SaltStack的“ 2020年第二季度XOps狀態(tài)報(bào)告”(PDF)在2020年1月期間查詢了130位經(jīng)過(guò)驗(yàn)證的信息安全和IT領(lǐng)導(dǎo)者�。這是在Gartner 2017年的預(yù)測(cè)(到2020年底)中��,已經(jīng)利用的漏洞的99%已經(jīng)成為背景�。被安全和IT專業(yè)人員所熟知。產(chǎn)品和市場(chǎng)營(yíng)銷高級(jí)副總裁Alex Peay補(bǔ)充說(shuō):“最近發(fā)生的許多漏洞表明系統(tǒng)配置錯(cuò)誤和未修補(bǔ)的已知漏洞����,尤其是公共云和本地服務(wù)器基礎(chǔ)結(jié)構(gòu)和數(shù)據(jù)庫(kù)的漏洞,是造成數(shù)據(jù)泄露和成功利用漏洞的最常見(jiàn)原因����。”在SaltStack��。
這意味著,如果已知漏洞但未修復(fù)�,則安全團(tuán)隊(duì)與IT團(tuán)隊(duì)之間將缺乏足夠的協(xié)作。SaltStack調(diào)查證實(shí)了這一點(diǎn)����。只有54%的安全主管表示他們與IT專業(yè)人員進(jìn)行了有效的溝通,而只有45%的IT專業(yè)人員表示同意�����。盡管這兩個(gè)數(shù)字令人擔(dān)憂�,但這種差異也表明安全團(tuán)隊(duì)對(duì)他們的溝通能力和/或IT的聆聽(tīng)意愿過(guò)于自信。
盡管如此���,對(duì)應(yīng)該發(fā)生的事情有基本的了解�����。例如��,安全和IT經(jīng)理都同意�����,數(shù)據(jù)保護(hù)應(yīng)優(yōu)先于創(chuàng)新�����,上市速度和成本����。然而���,實(shí)際情況在實(shí)踐中有所不同-只有30%的人說(shuō)這是事實(shí)��。整整70%的受訪者表示�,他們的公司為加快創(chuàng)新而犧牲了數(shù)據(jù)安全性�����。Peay在接受《安全周刊》采訪時(shí)說(shuō)��,原因可能很復(fù)雜:“運(yùn)維團(tuán)隊(duì)有些壓力��,他們希望盡快完成工作�����,承受著很大的壓力,也許在Sec和Ops之間會(huì)有一些人格沖突������!
但是,這是一個(gè)需要解決的問(wèn)題��,而SecOps概念尚未解決����。SaltStack認(rèn)為問(wèn)題可能出在兩個(gè)團(tuán)隊(duì)之間的責(zé)任細(xì)節(jié)不同。報(bào)告稱:“ IT運(yùn)營(yíng)商有權(quán)在保持基礎(chǔ)架構(gòu)可靠性的同時(shí)�����,快速創(chuàng)新并推向市場(chǎng)�������! “安全專家的任務(wù)是識(shí)別安全漏洞和合規(guī)性問(wèn)題�����。采取行動(dòng)補(bǔ)救安全性問(wèn)題和強(qiáng)制合規(guī)性的共同責(zé)任常常落在裂縫之間��!
缺乏跨團(tuán)隊(duì)協(xié)作將兩個(gè)團(tuán)隊(duì)聯(lián)系在一起并相互協(xié)作的過(guò)程可能會(huì)加劇這些漏洞��。這項(xiàng)建議在調(diào)查的詳細(xì)信息中得到了支持�。在使用跨功能協(xié)作和自動(dòng)化工具的情況下��,管理人員說(shuō)IT和安全團(tuán)隊(duì)進(jìn)行有效溝通的可能性要高四倍�����。
某些任務(wù)的共同厭惡進(jìn)一步強(qiáng)調(diào)了這一點(diǎn)(這兩個(gè)小組都討厭補(bǔ)丁管理�,安全性討厭威脅優(yōu)先級(jí)以及IT討厭合規(guī)性審核),而兩個(gè)小組都同意自動(dòng)化將SecOps的工作統(tǒng)一起來(lái)�,從而實(shí)現(xiàn)團(tuán)隊(duì)協(xié)作和效率。這意味著涵蓋Sec和Ops的自動(dòng)化超越了兩個(gè)小組之間的自然差異�����,并且可以使SecOps的概念成功�。
SaltStack自己的Salt產(chǎn)品中最近存在的漏洞充分說(shuō)明了修補(bǔ)問(wèn)題。F-Secure發(fā)現(xiàn)了兩個(gè)漏洞��,并負(fù)責(zé)任地披露了這些漏洞�。SaltStack在F-Secure公開(kāi)之前修補(bǔ)了這些漏洞�����。但是F-Secure指出���,一名能干的黑客最多需要一天的時(shí)間就可以開(kāi)發(fā)出利用程序。警告說(shuō)����,在星期五之前修補(bǔ),或在星期一之前違反��。沒(méi)錯(cuò)�����。周末開(kāi)始報(bào)道了基于這些漏洞的違規(guī)行為���。
Peay說(shuō):“沒(méi)有安全操作自動(dòng)化的力量倍增和團(tuán)隊(duì)之間更好的協(xié)作�,沒(méi)有足夠的熟練人員來(lái)大規(guī)模保護(hù)數(shù)字基礎(chǔ)架構(gòu)�。” “事實(shí)證明���,自動(dòng)化和協(xié)作是破壞或真正安全的數(shù)字業(yè)務(wù)之間的區(qū)別�������!
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
