應(yīng)用安全已死?以產(chǎn)品為中心才是方向
隨著云計(jì)算和企業(yè)數(shù)字化轉(zhuǎn)型的加速發(fā)展,應(yīng)用安全領(lǐng)域的性質(zhì)發(fā)生了很大的變化。比如目前,安全界存在著這樣一種聲音:即便應(yīng)用安全還沒死,它的日子也是屈指可數(shù)了!
必須承認(rèn)這種說法過于夸張,不要擔(dān)心,作為一名應(yīng)用程序安全工程師,您所做的工作實(shí)際上將變得比以往任何時(shí)候都更重要,這一點(diǎn)將很快反映在您的預(yù)算上。應(yīng)用安全永遠(yuǎn)不會(huì)消失,但它將不得不進(jìn)行成功轉(zhuǎn)型。
作為企業(yè)安全的一個(gè)子集,應(yīng)用安全已經(jīng)存在了超過15年的時(shí)間。自21世紀(jì)初以來,應(yīng)用安全專家已經(jīng)為評(píng)估網(wǎng)站和銷售應(yīng)用程序滲透測(cè)試做出了突出成績(jī)。但是如今,越來越多的此類專家正在將其頭銜從“應(yīng)用安全工程師”改為“產(chǎn)品安全工程師”。這一變化不僅僅是一種語義的轉(zhuǎn)變,它還反映了企業(yè)安全性質(zhì)的真正變化。為了進(jìn)一步了解其重要性,接下來將為大家分析兩大行業(yè)趨勢(shì)——向云遷移以及企業(yè)數(shù)字化轉(zhuǎn)型為其帶來的影響。
移至云端
云,DevOps(開發(fā)運(yùn)維)和敏捷開發(fā)的迅速崛起,使得安全團(tuán)隊(duì)越來越難以跟上技術(shù)發(fā)展的步伐。由于應(yīng)用程序是使用as-a-service(即服務(wù))平臺(tái),基礎(chǔ)架構(gòu)和功能產(chǎn)品(如亞馬遜網(wǎng)絡(luò)服務(wù)AWS、Pivotal和Lambda)構(gòu)建的,傳統(tǒng)的基于網(wǎng)絡(luò)和主機(jī)的安全模型現(xiàn)在由第三方提供商掌握。這種抽象縮小了安全邊界,并迫使傳統(tǒng)的企業(yè)安全專家更新其技能。
與此同時(shí),我們也看到了DevOps安全專家的興起。過去,應(yīng)用程序安全團(tuán)隊(duì)主要負(fù)責(zé)代碼的安全性,并運(yùn)行靜態(tài)和動(dòng)態(tài)分析工具來幫助開發(fā)團(tuán)隊(duì)審核其輸出。現(xiàn)在,這些技術(shù)正在重塑為更加以開發(fā)者為中心的模型,主要由開發(fā)人員和運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)分析、保護(hù)和修復(fù)自己的代碼和部署。如此一來,可謂是減輕了已經(jīng)負(fù)載過重的應(yīng)用安全團(tuán)隊(duì)的工作量,并將安全所有權(quán)置于其所屬的位置——即一開始構(gòu)建應(yīng)用程序的團(tuán)隊(duì)手中。此外,將應(yīng)用程序安全性集成到持續(xù)集成/交付管道中,還可以實(shí)時(shí)地進(jìn)行安全驗(yàn)證,這一直是應(yīng)用程序安全專家的夢(mèng)想。
數(shù)字化轉(zhuǎn)型
另一個(gè)起到重要影響作用的行業(yè)趨勢(shì)是,企業(yè)業(yè)務(wù)開始從傳統(tǒng)模式向數(shù)字化方向轉(zhuǎn)型。各類企業(yè)正在將數(shù)字技術(shù)整合到其產(chǎn)品、服務(wù)以及運(yùn)營(yíng)等所有領(lǐng)域之中,以支持實(shí)現(xiàn)價(jià)值的新方式。
隨著產(chǎn)品開始大規(guī)模的在線移動(dòng),安全專家的領(lǐng)域也隨之迅速擴(kuò)大。應(yīng)用程序不再僅限于內(nèi)部重點(diǎn)支持系統(tǒng)——它們現(xiàn)在已經(jīng)成為企業(yè)組織的命脈,也是其最重要的收入來源。專注于保護(hù)少數(shù)Web應(yīng)用程序已經(jīng)遠(yuǎn)遠(yuǎn)不夠了;應(yīng)用安全工程師現(xiàn)在不僅必須保障整個(gè)產(chǎn)品線的安全性,還需要保護(hù)業(yè)務(wù)本身。
產(chǎn)品安全重要性日顯
由此看來,從“應(yīng)用程序安全工程師”變成“產(chǎn)品安全工程師”不僅僅是職位頭銜的轉(zhuǎn)變,同時(shí)也意味著安全思考方式發(fā)生了轉(zhuǎn)變。云、DevOps、敏捷開發(fā)以及它們所實(shí)現(xiàn)的數(shù)字化轉(zhuǎn)型已經(jīng)使傳統(tǒng)的“以應(yīng)用程序?yàn)橹行?rdquo;的安全性視角變得過時(shí)。應(yīng)用安全已經(jīng)不再只是關(guān)于保護(hù)少數(shù)業(yè)務(wù)線應(yīng)用程序的問題。
應(yīng)用安全工程師現(xiàn)在需要負(fù)責(zé)為客戶創(chuàng)造價(jià)值的產(chǎn)品的安全性,并推動(dòng)競(jìng)爭(zhēng)差異化和推進(jìn)企業(yè)戰(zhàn)略。
如今的風(fēng)險(xiǎn)成本已經(jīng)達(dá)到了前所未有的高度。受損的內(nèi)部生產(chǎn)力應(yīng)用程序可能會(huì)造成暫時(shí)服務(wù)中斷或延遲操作,但是客戶手中受損的核心產(chǎn)品或服務(wù)則可能會(huì)對(duì)業(yè)務(wù)本身造成毀滅性的打擊。
這種區(qū)別可能看起來很微妙,但您可以通過下述問題得到驗(yàn)證:詢問一下您的企業(yè)主管,他曾有多少個(gè)夜晚因擔(dān)心公司應(yīng)用程序的完整性而失眠,對(duì)此,他們可能會(huì)回應(yīng)你一個(gè)茫然的眼神。那么現(xiàn)在,問一個(gè)同樣的有關(guān)公司產(chǎn)品完整性的問題,再看看他們的反應(yīng)。
安全工程師正在逐漸接受這種“以產(chǎn)品為中心”的新的角色概念。希望這種轉(zhuǎn)變能夠幫助應(yīng)用安全專家意識(shí)到他們工作日益增長(zhǎng)的重要性,并幫助他們獲取更多的預(yù)算、資源和工具,以確保為其業(yè)務(wù)提供支持的產(chǎn)品的安全性,以及推動(dòng)新型數(shù)字經(jīng)濟(jì)業(yè)務(wù)發(fā)展。
