隨著IT基礎架構變得越來越複雜,某些專業職能部門已經制定了自己的利基(利基(niche)是指針對企業的優勢細分出來的市場,這個市場不大,而且沒有得到令人滿意的服務。簡單可以直接理解成「小環境」)要求,與主流IT運營有關,但有所不同。主要的包括開發、安全性和網絡。多年來,這些利基要求變得孤立而效率不高。
近年來,人們嘗試打破孤島,將功能與主流IT運營重新整合發展。如DevOps,NetOps和SecOps以及更細微差別的DevSecOps的概念。總稱是xOps。在總的情況下,其目的都是通過與IT運營更好地集成來提高利基功能的速度、敏捷性和效率,該過程業已證明非常成功。
當然,其所獲得的效率完全取決於將功能與IT運營重新集成的成功,案例不同並不統一。例如,國外安全文章舉了總部位於猶他州Lehi的自動化公司SaltStack的例子。相信看到這個名字,你會翻到前面我發布的幾篇有關這個公司產品漏洞的文章。SaltStack已發布了一系列新的調查報告,以檢查xOps的當前狀態,並從檢查SecOps的狀態開始。SecOps與DevSecOps不同。前者是基礎架構及其數據的整體安全性,而後者是在新應用程式的開發階段構建安全性的一種嘗試,以避免部署後必須增加安全性。
SaltStack的《2020年第二季度XOps狀態報告》在2020年1月期間查詢了130位經過驗證的信息安全從業者和IT領導者。以此前,Gartner 2017年的預測(到2020年底已經利用的漏洞的99%)為背景,這個背景為安全從業者和IT專業人員所熟知。最近發生的許多漏洞表明系統配置錯誤和未修補的已知漏洞,尤其是公共雲和本地伺服器基礎結構和資料庫的漏洞,是造成數據洩露和成功利用漏洞的最常見原因。
這意味著,如果已知漏洞但未修復,則安全團隊與IT團隊之間將缺乏足夠的協作。SaltStack調查證實了這一點。只有54%的安全主管表示他們與IT專業人員進行了有效的溝通,而只有45%的IT專業人員表示同意。這兩個數字令人擔憂,這種差異表明安全團隊對他們的溝通能力和(或)IT的聆聽意願過於自信,其實是不夠。
安全從業者和IT經理都同意對應該發生的事情需要有基本的了解。數據保護應優先於創新、上市速度和成本。實踐中,實際情況只有30%的人認為遵循這一原則。整整70%的受訪者表示,公司為加快創新而犧牲了數據安全性。專家表示,有來自運維團隊的壓力,他們希望儘快完成工作,也許在Sec和Ops之間會存在一些衝突。
SaltStack認為問題可能出在兩個團隊之間的責任細節不同。IT運營商有權在保持基礎架構可靠性的同時,快速創新並推向市場。安全專家的任務是識別安全漏洞和合規性問題。採取行動補救安全性問題和強制合規性的共同責任常常無從落地。
缺乏跨團隊協作將兩個團隊勉強聯繫在一起,可能在相互協作磨合的過程加劇產生漏洞。這個認識是基於詳細調查信息支持的。在使用跨功能協作和自動化工具的情況下,管理人員說IT從業者和安全團隊進行有效溝通的可能性要高四倍,當然這點你可以理解成是他們想推銷他們的自動化工具,不過工具促進團隊合作,提升效率的案例在我們身邊比比皆是,對此的理解還是希望不要太過偏執。
在理論性的安全合規方面有很多細節,比如大家都討厭補丁管理,安全性討厭威脅優先級以及IT討厭合規性審核,在此過程中,團隊傾向於用自動化將SecOps的工作統一起來,實現提升團隊協作和效率。自動化在這個過程中彌合了Sec和Ops兩個小組之間的自然差異,並且可以使SecOps的概念成功實踐。
上面我說道,你看到SaltStack可能會點開前面我整理的兩篇有關Salt漏洞的文章。最近,F-Secure在SaltStack產品中發現了兩個漏洞,並按照漏洞管理的規則及時披露了漏洞。SaltStack在F-Secure公開漏洞之前對其進行了修補。我們也提到,F-Secure指出,黑客掌握漏洞後最多一天時間就可以開發出利用程序。周五的警告,第二個周一就發現幾次攻擊行為。也就是說,在周末開始已經有人開始攻擊SaltStack產品,詳情可以看上兩次有關SaltStack的文章。
成千上萬的數據中心受嚴重的SaltStack RCE錯誤(CVSS得分10)影響
黑客利用SaltStack漏洞破壞LineageOS,Ghost和DigiCert伺服器
以色列大學研究出新惡意軟體通過操縱電源轉化成音頻跳過網閘保護
這裡是鄭州二七區網紅街,我竟然不知道