右侧防护遇瓶颈 「安全左移」为网络安全建设及运营带来更多可能性

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2022-11-15
长久以来,网络安全技术产品和市场需求都聚焦于在“右侧”防护,即在各种系统、业务已经投入使用的网络环境外围或边界,检测进出的流量、行为等是不是存在风险,并对其进行管控或调整。然而事实上,安全风险不仅是“跑”起来之后才会产生,在业务流程的设计中、某个应用服务的编码中、内部数据的交换中等等早期阶段就可能出现缺陷,如果仅仅在后期查缺补漏围追堵截,成本、效率和效果都不够理想。


鉴于网络安全的木桶效应,“左侧”的安全短板逐渐引起安全行业和企业用户的共同关注,安全左移的思想迅速形成业界共识——人们需要将安全能力注入到业务流程的上游,并尽可能覆盖全生命周期,以便更早地发现并解决潜藏的风险点。这并不是一个新鲜名词,代码审计、软件测试包括近年来非常流行的DevSecOps体系,都是安全左移方向下的技术落地方案。
 
安全左移是一个相对的概念,我们认为,较之于传统的右侧防护,将安全能力前置的策略和措施都包含着安全左移的思想,考虑到网络安全体系的庞杂,需要保护的对象众多,其实远不止软件开发领域,针对安全左移的应用场景拥有非常广阔的空间。
 
软件开发及供应链使用场景
 
当然,要体会安全左移的价值首先离不开谈论DevSecOps。互联网云化与企业竞争压力改变了业务交付模式,敏捷开发DevOps日益活跃,DevSecOps也应运而生,它通过一套包含人文、流程、技术的框架和方法,强调在快速迭代中赋予整个IT团队(包括开发、测试、运维和安全所有角色)安全的能力。
 
近几年,SolarWinds供应链攻击、Log4j漏洞等事件的蝴蝶效应将软件供应链安全缺陷的问题暴露无遗。在国内,自2020年起,大量的甲方企业开始建设DevSecOps敏捷安全体系,其最明显的价值便是帮助企业在软件开发生命周期进行安全赋能,并且可以评估软件供应链的风险。有安全专家预判,DevSecOps未来或将由场景型技术转变为普适性技术。
 
除了安全文化的宣贯渗透和安全流程的制定应用,聚焦到具体技术能力上,DevOps的不同阶段需要进行相匹配的安全动作,比较核心的包括代码级检测分析能力(代码审计/SAST)、开源治理能力(SCA)、应用安全检测能力(IAST/DAST/Fuzzing)、运行时应用程序自保护能力(RASP)以及开发安全一体化管理平台。具体实践可以参考Gartner的DevSecOps工具链和悬镜安全的DevSecOps敏捷安全工具金字塔(目前已迭代至2.0版本)。

Gartner DevSecOps工具链
 

点击图片查看DevSecOps敏捷安全工具金字塔2.0
 
云原生应用保护场景
 
更进一步,随着研发环境和部署环境整体向云端迁移,云原生的普及让研发体系和业务部署环境的差异慢慢减少,有效推动着安全左移在云原生环境中的落地。对于安全厂商来说,可以将更多精力投入到安全产品的研发中,对于企业IT团队来说,省去了很多配置操作让使用门槛大幅降低而适配性更优。
 
在云原生应用程序开发生产和运营的过程中,由于大量新的架构、组件、服务的使用,对安全能力提出的要求是比较复杂的,包括云资产的普查及风险感知、威胁响应、漏洞管理修复、容器安全、云工作负载安全、API安全、Web安全等等。
 
如今,集成整套安全性和合规性功能的云原生应用保护平台愈发受到市场重视,其整合了多种云原生安全工具和技术,如容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施授权管理(CIEM)和运行时云工作负载保护平台(CWPP)。它可以保护从系统代码到业务开展的整个应用程序开发生命周期安全,提高对云工作负载的可见性,增强对云环境中安全性和合规性风险的控制。
 
数据风险评估及治理场景
 
市场上比较成熟的数据安全产品基本围绕着传统的数据库安全建设而来,如数据的审计、脱敏、加密等,再结合数据防泄漏DLP、用户行为分析UEBA等新一代技术,实现数据流经内外网边界的安全控制,这是比较典型的右侧防护。
 
随着数据资产量级、价值、流转频率的激增,安全防护逐渐从以网络和系统为中心转变到以数据为中心。着眼于数据本身,从数据的生产或采集之初,跟踪监测数据处理、使用、变形的全过程,是数据安全左移的切入口。这种趋势带来的变化是,数据安全产品不再是一个个异构孤立的单点产品,而是面向数据全生命周期构建的安全管理与防护体系,以数据识别和分类分级为基础,自动地评估动态的风险趋势,自适应地做出响应动作,让数据长期处于安全使用的状态。
 
数据安全平台(DSP)、数据安全治理(DSG)、数据运营安全(DataSecOps)、数据隐私管理(DPM)等是目前比较有代表性的技术及产品,通过分析各类名词的提出、阐述及实践应用,其比较共通且核心的能力侧重在对敏感数据的自动发现及大数据分析,对各场景业务与数据流转进行全面梳理,注重平台与各安全能力单元的智能联动。能够满足合规检验、风险评估、常态化治理的需求,市场潜力不可限量。

对于上述技术及趋势的分析观察,可点击查看安全419相关详细报道:DSP | DSG | DataSecOps | DPM


资源访问控制场景
 
不管是合法登录、无意误操作还是恶意攻击,访问请求是网络中最频繁的操作,涉及到人员身份,终端设备,应用、接口、数据等资源。访问控制策略通过一系列技术和手段,防止对任何资源进行未授权的访问,从而使系统在合法的范围内被使用。传统访问控制模型中,访问主体通过角色属性获取相应权限,随着静态封闭的网络环境逐步向开放式发展,访问主体身份不固定、设备不固定、网络环境不局限于内网,频繁进行登录、计算、传输和退出操作,对于访问控制模型提出了更高要求。
 
零信任网络访问(ZTNA)的提出颠覆了传统的基于网络边界建立的信任模型,默认即使身处内网的人员也不可信,基于先验证再访问的原则,对每一次访问请求都综合用户的身份、行为、状态进行安全评估和认证,以解决所有角色对所有资源的可信访问。如此一来,安全能力不仅是左移,而是无处不移,形成了一个动态的逻辑边界,持续评估提供对最小资源范围内的最可控访问,无法通过信任链认证的流量、数据包等都无法进入系统,内部的资产也得到很好的收敛,天然对非授权用户隐身。
 
零信任并不局限单一场景,作为一个相当普适的理念,其在网络安全、身份安全、应用安全、数据安全等等层面都有其用武之地,因此在市场中,零信任的落地存在不同的技术路径,安全419通过广泛走访调研,推荐了多家优秀零信任厂商,感兴趣的朋友可点击跳转阅读。
 
通过前文不难发现,安全左移快速发展的场景都面临着网络环境云化、业务数字化、资产爆棚等特征,边界模糊甚至不复存在,导致安全盲点太多,因此才迫切需要在所有的系统、所有的业务流程中嵌入安全的能力。
 
这也引入了安全左移落地的最大挑战——发展与安全的平衡,在技术之外需要依靠人文和制度将安全意识进行长期渗透;同时安全团队需要解决安全能力如何无缝柔和地嵌入业务,不阻碍业务本身追求效率的目标;以及整体框架下各个安全能力单元的耦合联动,达到按需收放自如,在多云、云地混合、移动、物联网等新兴环境中完成构建和适配。
 
总而言之,安全左移只是一种概念,本身并无限制,除了以上我们展开讨论的几个比较突出的场景,比如采用攻击面管理提升资产可见性、运用机密计算保护使用中的数据等等新兴技术的运用,都可窥见安全左移的身影。最终,安全不是为了左移而左移,安全应该移动到任何需要它的地方,成为业务发展战略中本应存在的一部分。