網絡安全急需一場敏捷化革命
根據Digital.ai的調查,2020年上半年,受新冠疫情刺激,全球企業敏捷化加速,55%的受訪者表示,他們的公司計劃在未來12-14個月內增加對敏捷的使用。這比年初疫情尚未全球爆發前增加了13%。此外,33%的人表示,他們在過去90天內增加或擴展了敏捷的采用率,以幫助管理分布式團隊。
根據佐格比分析(Zogby Analytics)的最新報告,在疫情造成的停擺前后,讓大部分員工進行遠程辦公的企業數量從21%增長到70%,增加了兩倍以上。40%的受訪企業(為新冠疫情爆發前的兩倍)表示將讓大部分員工永久遠程辦公。
在疫情防控表現最好的國家之一中國,疫情爆發前僅有十分之一的企業讓半數以上員工進行遠程辦公(90%的受訪企業遠程辦公人員不足50%);疫情發生后,中國企業的這一數字增加到63%。
與此同時,伴隨著企業無邊界化和敏捷化,全球網絡釣魚攻擊增加了600%,勒索軟件攻擊增加了148%,FBI報告的網絡犯罪增加了300%。網絡犯罪分子在新冠病毒大流行期間正開足馬力,不斷升級攻擊技術和戰術,以每周拿下一家百年老店的速度肆虐全球。
為了跟上不斷增長的威脅級別并在遠程辦公的新常態中取得成果,許多企業正在采用敏捷方法。敏捷曾經被認為是DevOps的地盤,但近年來,以DevSecOps為代表的“敏捷安全”正在成為敏捷的重要陣地。
敏捷是一種迭代的工作方式,鼓勵迅速釋放較小的價值,而不需要大型傳統項目的漫長導入時間。隨著環境變化以滿足不斷變化的業務需求,結果可以不斷得到快速改善。許多公司都從敏捷方法交付軟件中受益,敏捷化工作方式正在擴展到包括越來越多的安全團隊。
敏捷為網絡安全帶來了巨大的好處,因為安全團隊面臨著不斷發展變化的威脅,而攻擊者已經具備了敏捷化的特質,會快速調整方法以找到最佳的攻擊媒介。
當安全遇見敏捷:從團隊合作到價值流管理
Digital.ai的2020敏捷全球調查報告調查了1000多名全球IT和商務專業人士,60%的受訪者表示,敏捷不僅幫助加快了產品上市速度,而且提高了團隊生產力。
組織采用敏捷的主要推動力來自于希望加速向客戶交付價值以及能夠快速響應不斷變化的環境。調查發現,采用敏捷的第二大原因是增強了管理不斷變化的優先級的能力,三分之二(63%)的受訪者將此作為主要動機。
這一關鍵優勢使得敏捷在業務的許多領域得到采用,其中軟件開發和IT最受歡迎,分別占37%和26%。但是,值得注意的是,敏捷方法越來越多地用于運營、市場營銷、人力資源和銷售中。網絡安全也不例外,因為敏捷可以幫助安全團隊應對不斷發展的威脅。
事實上,敏捷的概念已經存在了近20年,其理論框架和應用領域至今已經歷了幾次重大的“迭代升級”。以下,我們回顧敏捷發展歷程,看看敏捷是如何與安全走到一起的:
敏捷始于2000年代后期的Scrum框架,該框架專注于團隊合作,問責制以及用于硬件和軟件開發的迭代版本。在2000年代初,它通過各種擴展框架進行了擴展,允許多個小型團隊在產品的各個單元進行有效的協作。如今,與傳統的面對面互動相比,團隊以多種方式進行協作,有71%的公司報告團隊在多個地區進行協作。
隨著公司開始從提高的開發效率中受益,他們意識到下一個瓶頸實際上是將新產品投入生產。這導致DevOps在2010年代中期的知名度上升,從而導致敏捷實踐和文化的擴展。為此,超過90%的受訪者現在高度重視DevOps,而75%的組織正在積極計劃和/或實施這一領域的轉型。正在進行DevOps轉型的組織希望實現:更快的交付速度(70%)、提高的質量(62%)和降低的風險(48%)。在日益數字化的世界中,至關重要的是盡快向消費者提供高質量、有價值的軟件。
隨著DevOps開始解決運營瓶頸,組織開始看到其他領域的問題,并意識到他們需要關注整個端到端的價值流。價值流管理(VSM)通過提供一種通過人員,流程和技術的組合來衡量和改善組織內工作流程的系統方法,有助于縮短實現價值的時間。
當前,80%的受訪者表示有興趣,正在計劃實施或正在實施VSM。端到端了解組織中的價值流向將使公司將實際結果與交付聯系起來,從而大大改善了計劃和交付的價值視圖。
VSM的興起推動企業將安全性整合到DevOps流程中,而不是事后才想到創建DevSecOps。這種方法使組織能夠在開發過程中解決安全問題,減少周期時間,并在提高質量和簡化工作流程的同時減少返工。此外,這還意味著安全團隊現在可以在DevOps這張桌子邊坐下來,確保整個應用程序開發生命周期的安全性。
安全敏捷化的挑戰
在談論安全的敏捷化之前,我們有必要先回顧一下《敏捷宣言》的十二條“天規”:
- 客戶是最重要的。
- 擁抱變化。
- 經常發布有效的軟件版本,使客戶高興。
- 日常協調。
- 開發人員應積極面對挑戰。
- 鼓勵面對面的交流。
- 如果某個功能或產品運行良好,則可以評估進度。
- 保持團隊發布可用軟件的進度不變。
- 關注細節。
- 您應該以最快的方式完成所需的工作,而不是追求做得更多。
- 跨職能團隊才是最好的。
- 不斷獲取反饋。
我們不清楚有多少網絡安全企業致力于敏捷化,但可以確定的是,笑傲江湖多年的惡意軟件之王——Emotet背后的黑客團隊,是一個將《敏捷宣言》和敏捷價值觀奉為圭臬的敏捷組織。而且,Emotet絕不會是最后一個受益于敏捷化的網絡犯罪組織。
敏捷框架有如此多的優點,為什么至今沒有成為主流企業方法呢?阻力主要來自企業內部的的嚴重障礙。
當你想把一個場均1:0的足球隊改造成場均120分的籃球隊,其難度不亞于把狗腦子打出豬腦子。
調查顯示,超過40%的受訪者認為,企業整體上對變革的抵制,領導參與程度不足,團隊之間的做法不一致,企業文化與敏捷價值觀背道而馳。需要指出的是,超過五年來,這些一直是企業采用敏捷的最大障礙。
領導層必須了解使敏捷生態系統發揮作用的原則,并努力進行必要的組織變革才能享受“敏捷紅利”。但不幸的是具備敏捷思維的領導者可謂鳳毛麟角。
敏捷獲得成功還取決于實施行之有效的實踐和原則,這些實踐和原則是通過沉浸于這種工作方式的文化來執行的。我們看到越來越多的管理層開始學習并擁有這些核心敏捷價值。很明顯,還有很多工作要做,這令人鼓舞,因為企業的成功取決于“運動”。
在應付全球疫情帶來的新挑戰的同時,面對功力勇猛精進的攻擊者,企業需要更快的反應速度。那些采用敏捷方法的企業能夠更好地應對不斷變化的狀況,同時保持產品質量和安全性。
網絡安全當下的熱點依然是“見招拆招”的檢測與響應,未來,隨著人工智能與網絡安全技術的融合,“奇門遁甲”的分析與預測將成為下一個熱點。而敏捷化,則是網絡安全行業打贏這場戰爭的關鍵所在。
新冠疫情可以關閉面對面溝通的門,卻為我們打開了遠程分布式團隊乃至全球網絡安全人才的窗戶。2020年,面對一個高度不確定的十年,安全行業的敏捷化變革,已經迎來最佳時機。甲方敏捷了,黑客敏捷了,你還愣著干啥?
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
