危險!安全人員和開發運維人員之間的誤解
安全團隊和開發運維人員團隊之間的誤解可將企業置于業務風險之中
從物理、金融風險,再到戰略和運營風險,今日企業被種種風險所包圍。企業和員工必須就這些風險進行溝通,這反而會促進企業團結一心。這種溝通需要IT人員、安全人員和開發運維人員(DevOps)的通力合作。這些團隊應當清晰地認識到應用的安全性和業務風險波動之間的關聯,這會讓他們進一步明了自身在解決安全風險時的職責。相對的,失敗的溝通也會讓整個企業處于危險之中。
傾向于聘請開發運維人員的企業通常會追求高投入產出比、內部的持續創新,以及高敏感度的客戶響應能力。大多數領導團隊最恐懼的就是對手的創新和進步,以及疏遠了本應抓住的客戶而導致銷售額損失。因此,安全團隊的話語權遠遠不如開發運維團隊,更不要說阻止后者了。即使在最理想的情況下,安全團隊也只能對他們產生一些影響。
安全團隊要想和商戶以及開發運維人員進行有效溝通,就需要了解應用安全和企業面臨的風險波動之間的關聯。如果能實現這一目標,安全團隊將會在信息風險事宜上更有話語權。然而,如果對這些風險置若罔聞,企業將會遭受各種安全問題的困擾,團隊地位也會一落千丈。
避免溝通失敗的***步,就是了解開發團隊不需要的安全措施。某些***實踐指南就不尊重技術現實,比如“加密數據庫中所有數據”,這樣的指南顯然不具備實際意義。標準應該適合應用,并且對于開發團隊具有可行性。那些缺乏開發經驗的安全團隊常常誤入這個陷阱。
除此以外,執行安全測試時漏洞信息管理的欠缺是害處多多的。檢測工具會誤報,雖然確定了這些漏洞,但是這些“漏洞”不能反映系統或軟件的真正弱點。工具還會錯報所檢測到漏洞的嚴重程度,而導致的不合理優先級。在與開發運維團隊溝通時,漏洞誤報既浪費時間,也降低了安全團隊的可信度。
***的結果是:對缺乏兼容性的漏洞加以溝通,或形成未修復漏洞的日志。最壞的結果是:開發團隊把時間浪費在了沒用的補丁上。應用的安全性常常難以捉摸,所以許多開發團隊僅憑自身是難以理解漏洞的。如果他們無法認識到這些內容,他們就無法正確評估漏洞的風險,也不會知道該如何解決它們。而兼容和支持恰恰是開發團隊取得成功的關鍵。
開發運維團隊需要和安全團隊溝通哪些內容?
當安全團隊與開發者溝通漏洞時,漏洞必須確實存在且被精確測評,安全團隊對漏洞影響的說明會讓開發運維團隊更加心中有數。針對性的補救建議至關重要,它需要盡可能和開發團隊所使用的語言和框架相符。這使它能更容易解決問題,漏洞可以更快也更有效地被修復,修復漏洞的時間產出比也會得以改善。目標明確的漏洞修復也更容易一次性成功。
安全團隊還可以為漏洞的處理以及合規提供有價值的指導。一旦因為漏洞而導致處罰或關停服務,開發團隊需要及時獲得這些漏洞信息并***時間進行修正。
除了漏洞,安全團隊還可以就系統架構建議進行進一步溝通,來更好的設計應用以減少系統因為合規要求而受到的種種束縛。舉例而言,將信用卡相關事宜交給可信的第三方可以避免系統需要受不符合PCI-DSS的評估。另一個例子,不進行非必要的個人身份信息存儲(PII)以避免人工管理數據的風險。營銷人員經常想要存儲所有可訪問的數據,但是系統設計師需要理解儲存過多的數據對隱私和安全的影響以及相伴的風險。
安全團隊和開發運維團隊之間的誤解會讓企業面臨風險。在與業務風險相關的應用安全已經對業務造成了影響時,安全團隊應當出面進行溝通。如果安全團隊可以從品牌、金融、戰略等方面進行風險評估,那么他們就會成為開發運維團隊最可靠的諫言者,并幫助開發運維團隊建立和維護安全的系統。
【本文是51CTO專欄作者李少鵬的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
