危險!安全人員和開發運維人員之間的誤解

2021-12-29 21:18:14 字數 3157 閱讀 8314

危險!安全人員和開發運維人員之間的誤解。安全團隊和開發運維人員團隊之間的誤解可將企業置於業務風險之中。

從物理、金融風險,再到戰略和運營風險,今日企業被種種風險所包圍。企業和員工必須就這些風險進行溝通,這反而會促進企業團結一心。這種溝通需要it人員、安全人員和開發運維人員(devops)的通力合作。這些團隊應當清晰地認識到應用的安全性和業務風險波動之間的關聯,這會讓他們進一步明了自身在解決安全風險時的職責。相對的,失敗的溝通也會讓整個企業處於危險之中。

傾向於聘請開發運維人員的企業通常會追求高投入產出比、內部的持續創新,以及高敏感度的客戶響應能力。大多數領導團隊最恐懼的就是對手的創新和進步,以及疏遠了本應抓住的客戶而導致銷售額損失。因此,安全團隊的話語權遠遠不如開發運維團隊,更不要說阻止後者了。即使在最理想的情況下,安全團隊也只能對他們產生一些影響。

安全團隊要想和商戶以及開發運維人員進行有效溝通,就需要了解應用安全和企業面臨的風險波動之間的關聯。 如果能實現這一目標,安全團隊將會在資訊風險事宜上更有話語權。然而,如果對這些風險置若罔聞,企業將會遭受各種安全問題的困擾,團隊地位也會一落千丈。

避免溝通失敗的第一步,就是 了解開發團隊不需要的安全措施 。某些最佳實踐指南就不尊重技術現實,比如「加密資料庫中所有資料」,這樣的指南顯然不具備實際意義。標準應該適合應用,並且對於開發團隊具有可行性。那些缺乏開發經驗的安全團隊常常誤入這個陷阱。

除此以外, 執行安全測試時漏洞資訊管理的欠缺是害處多多的 。檢測工具會誤報,雖然確定了這些漏洞,但是這些「漏洞」不能反映系統或軟體的真正弱點。工具還會錯報所檢測到漏洞的嚴重程度,而導致的不合理優先順序。在與開發運維團隊溝通時,漏洞誤報既浪費時間,也降低了安全團隊的可信度。

最好的結果是: 對缺乏相容性的漏洞加以溝通,或形成未修復漏洞的日誌。 最壞的結果是:開發團隊把時間浪費在了沒用的補丁上。應用的安全性常常難以捉摸,所以許多開發團隊僅憑自身是難以理解漏洞的。如果他們無法認識到這些內容,他們就無法正確評估漏洞的風險,也不會知道該如何解決它們。而相容和支援恰恰是開發團隊取得成功的關鍵。

開發運維團隊需要和安全團隊溝通哪些內容?

當安全團隊與開發者溝通漏洞時,漏洞必須確實存在且被精確測評,安全團隊對漏洞影響的說明會讓開發運維團隊更加心中有數。 針對性的補救建議至關重要,它需要盡可能和開發團隊所使用的語言和框架相符。 這使它能更容易解決問題,漏洞可以更快也更有效地被修復,修復漏洞的時間產出比也會得以改善。目標明確的漏洞修復也更容易一次性成功。

安全團隊還可以為漏洞的處理以及合規提供有價值的指導。一旦因為漏洞而導致處罰或關停服務,開發團隊需要及時獲得這些漏洞資訊並第一時間進行修正。危險!安全人員和開發運維人員之間的誤解。安全團隊和開發運維人員團隊之間的誤解可將企業置於業務風險之中。

從物理、金融風險,再到戰略和運營風險,今日企業被種種風險所包圍。企業和員工必須就這些風險進行溝通,這反而會促進企業團結一心。這種溝通需要it人員、安全人員和開發運維人員(devops)的通力合作。這些團隊應當清晰地認識到應用的安全性和業務風險波動之間的關聯,這會讓他們進一步明了自身在解決安全風險時的職責。相對的,失敗的溝通也會讓整個企業處於危險之中。

傾向於聘請開發運維人員的企業通常會追求高投入產出比、內部的持續創新,以及高敏感度的客戶響應能力。大多數領導團隊最恐懼的就是對手的創新和進步,以及疏遠了本應抓住的客戶而導致銷售額損失。因此,安全團隊的話語權遠遠不如開發運維團隊,更不要說阻止後者了。即使在最理想的情況下,安全團隊也只能對他們產生一些影響。

安全團隊要想和商戶以及開發運維人員進行有效溝通,就需要了解應用安全和企業面臨的風險波動之間的關聯。 如果能實現這一目標,安全團隊將會在資訊風險事宜上更有話語權。然而,如果對這些風險置若罔聞,企業將會遭受各種安全問題的困擾,團隊地位也會一落千丈。

避免溝通失敗的第一步,就是 了解開發團隊不需要的安全措施 。某些最佳實踐指南就不尊重技術現實,比如「加密資料庫中所有資料」,這樣的指南顯然不具備實際意義。標準應該適合應用,並且對於開發團隊具有可行性。那些缺乏開發經驗的安全團隊常常誤入這個陷阱。

除此以外, 執行安全測試時漏洞資訊管理的欠缺是害處多多的 。檢測工具會誤報,雖然確定了這些漏洞,但是這些「漏洞」不能反映系統或軟體的真正弱點。工具還會錯報所檢測到漏洞的嚴重程度,而導致的不合理優先順序。在與開發運維團隊溝通時,漏洞誤報既浪費時間,也降低了安全團隊的可信度。

最好的結果是: 對缺乏相容性的漏洞加以溝通,或形成未修復漏洞的日誌。 最壞的結果是:開發團隊把時間浪費在了沒用的補丁上。應用的安全性常常難以捉摸,所以許多開發團隊僅憑自身是難以理解漏洞的。如果他們無法認識到這些內容,他們就無法正確評估漏洞的風險,也不會知道該如何解決它們。而相容和支援恰恰是開發團隊取得成功的關鍵。

開發運維團隊需要和安全團隊溝通哪些內容?

當安全團隊與開發者溝通漏洞時,漏洞必須確實存在且被精確測評,安全團隊對漏洞影響的說明會讓開發運維團隊更加心中有數。 針對性的補救建議至關重要,它需要盡可能和開發團隊所使用的語言和框架相符。 這使它能更容易解決問題,漏洞可以更快也更有效地被修復,修復漏洞的時間產出比也會得以改善。目標明確的漏洞修復也更容易一次性成功。

安全團隊還可以為漏洞的處理以及合規提供有價值的指導。一旦因為漏洞而導致處罰或關停服務,開發團隊需要及時獲得這些漏洞資訊並第一時間進行修正。

除了漏洞, 安全團隊還可以就系統架構建議進行進一步溝通,來更好的設計應用以減少系統因為合規要求而受到的種種束縛。 舉例而言,將信用卡相關事宜交給可信的第三方可以避免系統需要受不符合pci-dss的評估。另乙個例子,不進行非必要的個人身份資訊儲存(pii)以避免人工管理資料的風險。營銷人員經常想要儲存所有可訪問的資料,但是系統設計師需要理解儲存過多的資料對隱私和安全的影響以及相伴的風險。

安全團隊和開發運維團隊之間的誤解會讓企業面臨風險。在與業務風險相關的應用安全已經對業務造成了影響時,安全團隊應當出面進行溝通。如果安全團隊可以從品牌、金融、戰略等方面進行風險評估,那麼他們就會成為開發運維團隊最可靠的諫言者,並幫助開發運維團隊建立和維護安全的系統。

除了漏洞, 安全團隊還可以就系統架構建議進行進一步溝通,來更好的設計應用以減少系統因為合規要求而受到的種種束縛。 舉例而言,將信用卡相關事宜交給可信的第三方可以避免系統需要受不符合pci-dss的評估。另乙個例子,不進行非必要的個人身份資訊儲存(pii)以避免人工管理資料的風險。營銷人員經常想要儲存所有可訪問的資料,但是系統設計師需要理解儲存過多的資料對隱私和安全的影響以及相伴的風險。

安全團隊和開發運維團隊之間的誤解會讓企業面臨風險。在與業務風險相關的應用安全已經對業務造成了影響時,安全團隊應當出面進行溝通。如果安全團隊可以從品牌、金融、戰略等方面進行風險評估,那麼他們就會成為開發運維團隊最可靠的諫言者,並幫助開發運維團隊建立和維護安全的系統。

我了解的安全人員 作者 flashsky

作為乙個安全研究人員,看見360宣傳自己擁有的安全牛人將近一半,雖然非常質疑這個資料,但是還是覺得 安全技術人員被乙個安全公司拿來作為向大眾宣傳的看點,對安全人員,安全技術發展都不是什麼太壞的事情。這裡盤點一下我知道的一些牛人 由於我前期主要研究方向在系統漏洞挖掘,漏洞利用,漏洞攻防範疇上,知道的牛...

安全人員稱攻擊Google的是業餘黑客

3月4日訊息,專門偵測及分析殭屍網路的damballa周二 3 2 發表了攻擊google的aurora行動調查報告,藉由偵測該攻擊行動的命令及控制活動,指出雖然aurora是極具殺傷力的攻擊,破壞一些全球最精密的網路,但它是乙個很平常的殭屍網路,且執行aurora攻擊行動的黑客應是業餘的。根據da...

開發人員和產品人員對接需求總結

最近一段時間,碰到乙個業務邏輯比較複雜的專案,和產品經理對接了一周的需求,突然發現對接需求也不比開發工作輕鬆多少,所以想把對接需求時遇到的問題和一些好的經驗記錄下來。1 不要接受產品人員一上來就提的 我需要乙個什麼什麼介面 我需要乙個什麼什麼功能 的所謂的需求,這不是需求,這是要求。這樣做其實是產品...