無(wú)論你將其稱(chēng)為左移安全、預(yù)置安全,還是設(shè)計(jì)安全,當(dāng)今具有前瞻性的企業(yè)都明白,他們不僅需要將安全作為單個(gè)應(yīng)用程序的整個(gè)生命周期的考慮因素,而且還需要考慮其支持的業(yè)務(wù)產(chǎn)品的整個(gè)生命周期。為了做到這一點(diǎn),越來(lái)越多的企業(yè)使用產(chǎn)品安全團(tuán)隊(duì)和產(chǎn)品安全官作為實(shí)現(xiàn)這一變化的一種方式。
產(chǎn)品安全將傳統(tǒng)應(yīng)用程序安全的范圍遠(yuǎn)遠(yuǎn)擴(kuò)展到測(cè)試之外,并擴(kuò)展到倡導(dǎo)、業(yè)務(wù)組之間的協(xié)作、設(shè)計(jì)思維、威脅建模、架構(gòu)規(guī)劃和真正的風(fēng)險(xiǎn)管理領(lǐng)域。Appdome的首席產(chǎn)品官ChrisRoeckl表示:“通過(guò)積極參與開(kāi)發(fā)過(guò)程的每個(gè)階段,產(chǎn)品安全團(tuán)隊(duì)幫助將安全考慮因素嵌入到軟件的設(shè)計(jì)、架構(gòu)、編碼、測(cè)試和發(fā)布到生產(chǎn)中。”這種主動(dòng)的方法是一個(gè)良性循環(huán),將漏洞風(fēng)險(xiǎn)降至最低,并確保安全是最終產(chǎn)品不可或缺的一個(gè)方面。
如果處理得當(dāng),產(chǎn)品安全將成為兌現(xiàn)DevSecOps倡導(dǎo)者多年來(lái)做出的承諾的重要因素。
應(yīng)用安全和產(chǎn)品安全有何不同
雖然應(yīng)用安全和產(chǎn)品安全有一個(gè)共同的目的——幫助企業(yè)發(fā)布和維護(hù)安全軟件--但每個(gè)功能在實(shí)現(xiàn)這一目標(biāo)中扮演的角色是不同的。谷歌員工云安全倡導(dǎo)者米歇爾·丘比爾卡解釋說(shuō):“應(yīng)用安全真正關(guān)注的是測(cè)試、驗(yàn)證和工具鏈,而產(chǎn)品安全涵蓋了整個(gè)SDLC的業(yè)務(wù)規(guī)則,包括軟件開(kāi)發(fā)中那些模糊的人為部分。”
此外,雖然應(yīng)用安全團(tuán)隊(duì)深入研究他們負(fù)責(zé)加強(qiáng)的每個(gè)單獨(dú)的應(yīng)用程序,但產(chǎn)品安全要著眼于整體情況,端到端地查看幫助提供給定產(chǎn)品的整個(gè)堆棧的安全性。產(chǎn)品安全是應(yīng)用程序安全的延伸。應(yīng)用安全集中在保護(hù)單個(gè)軟件應(yīng)用程序的代碼和功能上。“ContrastSecurity公司的CISODavidLindner說(shuō)。產(chǎn)品安全考慮到更廣泛的環(huán)境和各種組件之間的通信可能出現(xiàn)的潛在攻擊載體,從整體上看待整個(gè)技術(shù)產(chǎn)品。
這一更廣泛的環(huán)境可以同時(shí)包括多個(gè)應(yīng)用程序、硬件組件和相關(guān)服務(wù)。產(chǎn)品安全考慮了它們?cè)谝黄鸩渴饡r(shí)的安全狀態(tài)。
對(duì)于一些公司來(lái)說(shuō),產(chǎn)品安全可能只關(guān)注外部客戶,但其他公司甚至認(rèn)為關(guān)鍵的后端財(cái)務(wù)或人力資源系統(tǒng)等內(nèi)部項(xiàng)目也在產(chǎn)品安全保護(hù)傘的范圍內(nèi)。全球軟件開(kāi)發(fā)公司EPAMSystems的CISO薩姆·拉赫曼解釋說(shuō),無(wú)論哪種方式,產(chǎn)品安全前景都更加全面。“這涉及更廣泛的范圍,包括運(yùn)營(yíng)和技術(shù)控制、整體環(huán)境、客戶身份,以及檢測(cè)和應(yīng)對(duì)服務(wù)中潛在問(wèn)題的機(jī)制。”他說(shuō)。
黑莓負(fù)責(zé)產(chǎn)品安全的副總裁克里斯汀·加茲比(ChristineGadsby)表示,看待這一區(qū)別的一種方法是將應(yīng)用程序想象成蛋糕。應(yīng)用程序安全類(lèi)似于在將其提供給某人之前檢查單個(gè)蛋糕,以確保它看起來(lái)安全且沒(méi)有污染。同時(shí),產(chǎn)品安全是指改善面包店制作蛋糕的方式和他們使用的工具,以確保每一塊蛋糕都是安全和美味的。“產(chǎn)品安全更像是一種‘大局’方法——從開(kāi)始到結(jié)束的整個(gè)烘焙過(guò)程,確保你在每一步都有正確的動(dòng)作和過(guò)程,以確保蛋糕有完全正確的成分,滿足你客戶的精致甚至敏感的托盤(pán),并在整個(gè)生命周期中保持‘新鮮’,”她說(shuō)。作為一個(gè)企業(yè),產(chǎn)品安全團(tuán)隊(duì)必須考慮整個(gè)產(chǎn)品或系統(tǒng)列表的安全性以及客戶使用它們的內(nèi)容,這些產(chǎn)品或系統(tǒng)可能包括幾個(gè)‘配料’或幾個(gè)蛋糕。
為什么產(chǎn)品安全正在成為應(yīng)用的趨勢(shì)
產(chǎn)品安全已經(jīng)出現(xiàn)在企業(yè)架構(gòu)圖上,這一事實(shí)并不是對(duì)傳統(tǒng)應(yīng)用程序安全測(cè)試的否定,只是承認(rèn)現(xiàn)代軟件交付需要不同的視角,而不是受過(guò)培訓(xùn)的應(yīng)用安全測(cè)試顯微鏡。由于技術(shù)領(lǐng)導(dǎo)者已經(jīng)認(rèn)識(shí)到應(yīng)用程序不是在真空中運(yùn)行,產(chǎn)品安全已經(jīng)成為幫助觀察單個(gè)應(yīng)用程序之間的差距的首選團(tuán)隊(duì)。這個(gè)團(tuán)隊(duì)的成員也是安全倡導(dǎo)者,他們可以幫助向可重復(fù)的開(kāi)發(fā)過(guò)程和產(chǎn)生所有代碼的“軟件工廠”灌輸安全基礎(chǔ)。
API安全測(cè)試公司StackHawk的聯(lián)合創(chuàng)始人兼CSOScottGerlach表示,產(chǎn)品安全的出現(xiàn)類(lèi)似于DevOps運(yùn)動(dòng)早期站點(diǎn)可靠性工程的增加。隨著軟件交付的速度越來(lái)越快,從開(kāi)始到交付,可靠性都需要融入到產(chǎn)品中。如今,安全團(tuán)隊(duì)通常在開(kāi)發(fā)過(guò)程中與軟件的交互最少。另一方面,產(chǎn)品團(tuán)隊(duì)在整個(gè)生命周期中全力以赴。將安全性納入他們的技能集,并從產(chǎn)品開(kāi)始到發(fā)布進(jìn)行整合,可以實(shí)現(xiàn)更快、更安全的產(chǎn)品交付周期。這是為了在早期讓安全更接近產(chǎn)品。
同時(shí),產(chǎn)品安全通常不會(huì)取代傳統(tǒng)的應(yīng)用安全。應(yīng)用程序安全在保護(hù)軟件方面繼續(xù)發(fā)揮著重要作用,最好是在一個(gè)協(xié)調(diào)良好的產(chǎn)品安全框架內(nèi)。EPAM的拉赫曼解釋說(shuō):“值得注意的是,產(chǎn)品安全依賴于應(yīng)用安全實(shí)踐來(lái)限制和減少應(yīng)用程序中的漏洞。”如果不解決應(yīng)用程序級(jí)漏洞,任何圍繞產(chǎn)品的額外安全措施都無(wú)法確保高標(biāo)準(zhǔn)。
產(chǎn)品安全團(tuán)隊(duì)可以促進(jìn)安全文化
產(chǎn)品安全在設(shè)計(jì)原則下的安全實(shí)現(xiàn)中起著舉足輕重的作用。根據(jù)拉赫曼的說(shuō)法,它在產(chǎn)品或服務(wù)的設(shè)計(jì)階段是不可或缺的。這種參與擴(kuò)展到定義復(fù)雜地編織到產(chǎn)品的架構(gòu)和功能中的強(qiáng)大的產(chǎn)品政策和控制。“。
定義產(chǎn)品策略只是個(gè)開(kāi)始,因?yàn)楫a(chǎn)品安全是工程和開(kāi)發(fā)、業(yè)務(wù)利益相關(guān)者和安全領(lǐng)導(dǎo)之間協(xié)作的實(shí)際促進(jìn)者。企業(yè)經(jīng)常將該團(tuán)隊(duì)用作推動(dòng)始終難以捉摸的安全文化的變革推動(dòng)者,而許多軟件安全大師多年來(lái)一直倡導(dǎo)這種文化。
Gadsby說(shuō):“產(chǎn)品安全團(tuán)隊(duì)可以通過(guò)定期交流安全更新、成功經(jīng)驗(yàn)和挑戰(zhàn),幫助創(chuàng)建一種有安全意識(shí)的文化,讓每個(gè)人都能在日常工作中了解安全并將安全放在首位。”他們制定明確的指導(dǎo)方針和標(biāo)準(zhǔn),提供資源教育員工有關(guān)最佳實(shí)踐的知識(shí),并與開(kāi)發(fā)團(tuán)隊(duì)合作,將安全性整合到軟件開(kāi)發(fā)生命周期中。
雖然產(chǎn)品安全確實(shí)做了相當(dāng)多的宣傳和政策工作,但最好的產(chǎn)品安全團(tuán)隊(duì)不會(huì)只把繁重的安全需求堆積在別人的肩膀上,而不支持他們。SynopsysIntegrityGroup的副首席安全顧問(wèn)杰米·布特(JamieBoote)表示,它們應(yīng)該幫助減少局限。
布特解釋說(shuō):“一種特殊類(lèi)型的局限會(huì)阻礙企業(yè)中的安全,那就是認(rèn)知局限——理解和解決安全問(wèn)題所需的精神努力。”通過(guò)提供培訓(xùn)、明確的要求、可重復(fù)使用的解決方案和按設(shè)計(jì)確保安全的組件,團(tuán)隊(duì)只需付出最少的努力即可適應(yīng)和使用這些組件,從而可以減少開(kāi)發(fā)人員、架構(gòu)師、工程師和其他利益相關(guān)者所遇到的認(rèn)知局限。
拉赫曼表示,通過(guò)領(lǐng)導(dǎo)對(duì)每個(gè)參與產(chǎn)品相關(guān)方面設(shè)計(jì)和編碼的人的教育和培訓(xùn),是產(chǎn)品安全作為安全文化變革推動(dòng)者角色的關(guān)鍵組成部分。他說(shuō):“非安全專(zhuān)業(yè)人士往往缺乏防御性思維或預(yù)測(cè)潛在攻擊者視角的內(nèi)在本能——我稱(chēng)之為‘檢查每一個(gè)角落’的觀念。”“分享看似合理的情景,不是為了引起恐懼,而是為了說(shuō)明襲擊者的潛在行動(dòng),這對(duì)于在企業(yè)內(nèi)培養(yǎng)安全文化至關(guān)重要。當(dāng)個(gè)人掌握了可能出現(xiàn)的情景和面臨風(fēng)險(xiǎn)的資產(chǎn)時(shí),他們就更有可能采取正確的心態(tài)。
誰(shuí)負(fù)責(zé)產(chǎn)品安全?
如果一個(gè)企業(yè)沒(méi)有在Prodsec團(tuán)隊(duì)中安排合適的人員并建立授權(quán)的報(bào)告結(jié)構(gòu),使他們能夠成功地影響變化,那么所有這些產(chǎn)品安全的職責(zé)和目標(biāo)都是純粹的抱負(fù)。最好的產(chǎn)品安全專(zhuān)業(yè)人員需要擁有技術(shù)熟練和軟技能的體面組合,這將有助于他們促進(jìn)協(xié)作;這不是那些不喜歡與人交談的搖滾明星技術(shù)人員的地方。同樣,他們需要一位負(fù)責(zé)安全以及提供有利可圖產(chǎn)品的業(yè)務(wù)和工程方面的負(fù)責(zé)人。“要領(lǐng)導(dǎo)有效的產(chǎn)品安全,必須任命一位具有產(chǎn)品知識(shí)和深厚安全專(zhuān)業(yè)知識(shí)的人,”拉赫曼說(shuō)。他建議,他們將被授權(quán)在四個(gè)關(guān)鍵利益相關(guān)者領(lǐng)域進(jìn)行有效溝通:IT、CISO辦公室、開(kāi)發(fā)/開(kāi)發(fā)運(yùn)營(yíng)團(tuán)隊(duì),以及治理、風(fēng)險(xiǎn)和合規(guī)。
根據(jù)企業(yè)的需要和文化,報(bào)告結(jié)構(gòu)將有很大不同。如果他們更大的企業(yè)是圍繞產(chǎn)品建立的,一些Prodsec團(tuán)隊(duì)可能會(huì)嵌入到工程或產(chǎn)品企業(yè)中。此外,一些團(tuán)隊(duì)可能會(huì)根據(jù)監(jiān)管或法律風(fēng)險(xiǎn)敞口向法律或合規(guī)部門(mén)報(bào)告。但有些人通常仍會(huì)向CIO/CTO、CISO或副總裁或安全總監(jiān)匯報(bào)工作。
拉赫曼說(shuō),最常見(jiàn)的直接下屬通常是CISO、CTO和CIO。他說(shuō):“在安全企業(yè)在技術(shù)上熟練且強(qiáng)大的情況下,我傾向于向CISO報(bào)告。”或者,向負(fù)責(zé)技術(shù)戰(zhàn)略的CTO匯報(bào)也可以為產(chǎn)品安全角色提供一個(gè)有效的住所。這一選擇最終取決于該企業(yè)的具體動(dòng)態(tài)和目標(biāo)。
作為黑莓產(chǎn)品安全副總裁,加茲比直接向CISO匯報(bào)工作。這將確保產(chǎn)品安全努力與我們的公司安全戰(zhàn)略保持一致,并確保我們?cè)谒挟a(chǎn)品和服務(wù)中始終如一地實(shí)施安全措施。“。
無(wú)論產(chǎn)品安全直接向誰(shuí)報(bào)告,所有專(zhuān)家都同意,CISO應(yīng)該為團(tuán)隊(duì)執(zhí)行的產(chǎn)品安全設(shè)定戰(zhàn)略愿景。CISO通過(guò)定義產(chǎn)品安全倡議的戰(zhàn)略方向來(lái)塑造和指導(dǎo)產(chǎn)品安全團(tuán)隊(duì)。他們考慮如何將安全性集成到產(chǎn)品開(kāi)發(fā)生命周期中,并使其與公司的總體目標(biāo)保持一致。CISO還確保產(chǎn)品安全團(tuán)隊(duì)由熟練的專(zhuān)業(yè)人員組成,他們能夠應(yīng)對(duì)與產(chǎn)品開(kāi)發(fā)相關(guān)的一些復(fù)雜挑戰(zhàn)。與其他部門(mén)進(jìn)行了大量合作,以確保安全措施無(wú)縫集成,他們努力建立安全政策、標(biāo)準(zhǔn)和指導(dǎo)方針。
