為響應(yīng)新興數(shù)字市場需求，公司企業(yè)正加速采納敏捷開發(fā)策略。

持續(xù)更新與精煉終端用戶應(yīng)用的需求;可更有效挖掘大數(shù)據(jù)環(huán)境下關(guān)鍵信息，尤其是橫跨多個網(wǎng)絡(luò)生態(tài)系統(tǒng)的大數(shù)據(jù)環(huán)境中關(guān)鍵信息的內(nèi)部工具的開發(fā)應(yīng)用;以及IoT設(shè)備或基于運營技術(shù)(OT)的設(shè)備的快速采納;催生出一種更為靈活的軟件及硬件開發(fā)的迭代方法。

從安全角度考慮，該方法可算是引入了重大安全挑戰(zhàn)。可訪問重要資源的應(yīng)用和其他解決方案往往不是靜止不變的，通常以每2-4周的頻率更新。公司企業(yè)應(yīng)用這些更新的速度，尤其是各工程團隊有時候會分開實現(xiàn)的那些更新，增大了引入關(guān)鍵漏洞的可能性。不幸的是，極少有公司企業(yè)實現(xiàn)并實行測試與驗證過程來提供全面持續(xù)的分析以檢測并清除這些漏洞。

隨著開發(fā)團隊往各種解決方案中加入越來越多的自動化過程，這種迭代方法的隱患也越來越大。數(shù)字化轉(zhuǎn)型過程中，生產(chǎn)環(huán)境本身就在經(jīng)歷經(jīng)常性的資源增補與重組，因而在這種復(fù)雜生產(chǎn)環(huán)境中持續(xù)應(yīng)用更新，會讓測試與驗證變得越來越難。自動化關(guān)鍵過程會再增添一層幾乎無法保證其安全的復(fù)雜性。

諷刺的是，可抵御此類漏洞的一個意料之外的防御，竟然正是公司企業(yè)引入各種改變的速度。漏洞利用的窗口期僅在數(shù)周或數(shù)天之間。但網(wǎng)絡(luò)罪犯通過自動化其惡意軟件，可以隨時監(jiān)視并攻擊這些漏洞。除了檢測規(guī)避技術(shù)，新型威脅還有大把可通過攻擊端與控制端的雙向通信自動更新的漏洞利用程序可用。

隨著這些工具不斷完善自動化過程，傳統(tǒng)以人為主，需手動指揮每個攻擊階段的控制端，將會被越來越智能的系統(tǒng)代替，未來的攻擊可從目標上實時收集情報，然后更新惡意軟件，近實時地利用新發(fā)現(xiàn)的漏洞。

為應(yīng)對這些挑戰(zhàn)，安全團隊也需采取更敏捷的方法，不僅要能檢測并防御攻擊，還要能預(yù)測攻擊最有可能發(fā)生的地方。此類基于迭代的智能安全策略，需要一套基于預(yù)防的防御性安全基礎(chǔ)設(shè)施，該基礎(chǔ)設(shè)施要能確立起常規(guī)行為基線，然后持續(xù)監(jiān)視環(huán)境以檢測并審查環(huán)境中的變化，無論變化發(fā)生在什么位置。

用傳統(tǒng)的基于終端的安全解決方案是沒辦法達到這種效果的，傳統(tǒng)解決方案幾乎都是各自為戰(zhàn)。

敏捷方法需要全面集成的策略，該策略應(yīng)橫跨所有生態(tài)系統(tǒng)，包括移動終端及IoT設(shè)備、通過軟件定義廣域網(wǎng)(SD-WAN)連接的遠程辦公室，以及由基礎(chǔ)設(shè)施和基于服務(wù)的解決方案構(gòu)成的多云環(huán)境。這種集成的基于結(jié)構(gòu)的方法，是跨用戶、設(shè)備及網(wǎng)段，跟蹤并監(jiān)視不斷發(fā)展的應(yīng)用及服務(wù)的重要基礎(chǔ)。

現(xiàn)代開發(fā)方法及部署策略會不可避免地引入新的威脅，公司企業(yè)想要檢測并響應(yīng)這些新威脅，就要擁有全面的基于行為的分析，而基于結(jié)構(gòu)的集成化方法正是此類分析的基本要求。

集成的自動反應(yīng)式安全結(jié)構(gòu)，也是下一代基于意圖的安全解決方案的基礎(chǔ)。

當前日趨復(fù)雜的惡意軟件開發(fā)環(huán)境，需要下一代基于意圖的安全解決方案加以應(yīng)對。網(wǎng)絡(luò)罪犯已采納了敏捷策略，可以綜合利用暗網(wǎng)市場上不同團隊開發(fā)出來的漏洞利用程序和工具。不僅低端攻擊者可以利用網(wǎng)絡(luò)犯罪即服務(wù)，高端網(wǎng)絡(luò)罪犯也在打造自適應(yīng)的靈活犯罪軟件，比如VPNFilter和 Hide 'N Seek——此類犯罪軟件能在新的漏洞利用程序和工具集推出時自動更新上這些功能。而且，因為不需要發(fā)現(xiàn)并堵上漏洞，網(wǎng)絡(luò)罪犯往往比其受害者有效率得多。

想要抵御新型威脅，安全團隊需圍繞以下幾個基本支柱，構(gòu)建基于身份的安全

• 以動態(tài)分隔來隔離資源并監(jiān)測分布式網(wǎng)絡(luò)中橫向移動的惡意軟件;
• 確保高級訪問控制不僅要應(yīng)用到用戶和設(shè)備上，還要擴展到應(yīng)用程序上;
• 還應(yīng)結(jié)合使用基于信任的組件，在不當行為或非預(yù)期行為發(fā)生時立即撤銷訪問;當然，這種功能需要實時分析加以支持，而且這里的實時分析不僅要能監(jiān)視分布式網(wǎng)絡(luò)上的所有設(shè)備和行為，還要能收集并關(guān)聯(lián)該數(shù)據(jù)到中央系統(tǒng)中。
• 要有能力對任何異常實施協(xié)調(diào)統(tǒng)一的實時響應(yīng)。

這種自動化響應(yīng)需遠遠超出當前下一代防火墻(NGFW)解決方案那種關(guān)閉端口或截斷流量的能力。今天的數(shù)字化環(huán)境中，簡單粗暴地關(guān)閉端口或截斷流量，可能會帶來意想不到的嚴重后果。

安全解決方案和聯(lián)網(wǎng)解決方案需能夠協(xié)調(diào)出協(xié)同一致的靈活響應(yīng)，該靈活響應(yīng)應(yīng)能動態(tài)重分隔部分網(wǎng)絡(luò)，隔離流氓設(shè)備，重路由流量以繞開敏感或關(guān)鍵資源，自動實施會注意到動作后果的監(jiān)視及干預(yù)協(xié)議。

最后，此類基于結(jié)構(gòu)的方法不能是靜態(tài)的。與其所保護的敏捷軟件和基礎(chǔ)設(shè)施一樣，集成安全框架應(yīng)能隨所保護的基礎(chǔ)設(shè)施一起動態(tài)進化。隨著公司企業(yè)不斷實現(xiàn)新的云解決方案，通過SD-WAN擴展其分布式環(huán)境，并開始與公共基礎(chǔ)設(shè)施等外部環(huán)境互連，安全也應(yīng)能夠自動適應(yīng)這些變化。這就要求圍繞開放標準、互操作性和能夠在多網(wǎng)絡(luò)生態(tài)系統(tǒng)中協(xié)同無縫運行的解決方案，來打造自適應(yīng)安全策略。

數(shù)字轉(zhuǎn)型不僅僅影響網(wǎng)絡(luò)。敏捷軟件及敏捷應(yīng)用開發(fā)增加了一層現(xiàn)代安全工具無法防護的抽象性和復(fù)雜性，而網(wǎng)絡(luò)罪犯不僅想要，也能夠利用這一點。我們需要徹底重新思考安全部署的方法及位置，包括深度集成和自動化適應(yīng)及響應(yīng)，以及對所采取安全動作的后果感知，以便防護動作不會破壞今日數(shù)字市場要求的即時性。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文