[[322612]]

一、某“爆款”視頻會(huì)議軟件的市場(chǎng)滑鐵盧

2020年初，一場(chǎng)突如其來(lái)的疫情，使得某知名視頻會(huì)議系統(tǒng)日活用戶(hù)從1000萬(wàn)飆升至2億，資本市場(chǎng)對(duì)其一度看好?？珊镁安婚L(zhǎng)，由于系統(tǒng)被曝出嚴(yán)重的隱私和安全問(wèn)題，股價(jià)隨之受挫，商業(yè)信譽(yù)嚴(yán)重受損，還被諸多政府機(jī)構(gòu)、高科技公司禁用。

該視頻會(huì)議軟件的安全事件歸根結(jié)底是開(kāi)發(fā)安全沒(méi)做到位，相信其安全團(tuán)隊(duì)和開(kāi)發(fā)部門(mén)肯定因此經(jīng)歷了很多個(gè)不眠之夜。

其實(shí)早在2004年，微軟就提出了SDL，強(qiáng)調(diào)安全要在早期開(kāi)發(fā)過(guò)程介入，從根本上管控應(yīng)用安全。在2020年的RSA大會(huì)上，專(zhuān)注于將安全集成到DevOps流程中的DevSecOps，更是大放異彩。本文將從安全部門(mén)角度出發(fā)，針對(duì)安全開(kāi)發(fā)落地過(guò)程中容易被忽略的賦能與運(yùn)營(yíng)問(wèn)題，希望可以給大家提供一些思路。

二、安全部門(mén)的難處

安全部門(mén)處境尷尬，受制于業(yè)務(wù)上線(xiàn)的需求，安全往往需要為業(yè)務(wù)讓路，在實(shí)際執(zhí)行過(guò)程中處于弱勢(shì)，出問(wèn)題時(shí)安全部門(mén)又需要救火和背鍋。但從上文視頻會(huì)議軟件的案例中，我們也可以看到，安全對(duì)業(yè)務(wù)的重要性。無(wú)論是對(duì)業(yè)務(wù)的貢獻(xiàn)，還是合規(guī)要求，甚至是更實(shí)際的——安全人員自身的績(jī)效，都應(yīng)該開(kāi)展安全開(kāi)發(fā)體系建設(shè)的工作。

關(guān)于安全開(kāi)發(fā)體系建設(shè)的常見(jiàn)難點(diǎn)，首先我們來(lái)看兩個(gè)案例：

• 案例1：某傳統(tǒng)制造業(yè)企業(yè)，業(yè)務(wù)正在進(jìn)行互聯(lián)網(wǎng)轉(zhuǎn)型，應(yīng)用開(kāi)發(fā)項(xiàng)目逐漸增多，但是安全團(tuán)隊(duì)規(guī)模依舊很小(5人以下)，根本沒(méi)有人力來(lái)執(zhí)行安全測(cè)試、代碼審計(jì)等安全工作，更別提安全開(kāi)發(fā)體系建設(shè)。
• 案例2：某科技銀行，安全團(tuán)隊(duì)規(guī)模很大，僅安全測(cè)試就有數(shù)十人，測(cè)試團(tuán)隊(duì)每年的人力成本上千萬(wàn)(一線(xiàn)城市)。項(xiàng)目逐年擴(kuò)張，測(cè)試工作隨之增加，但人力成本不可能無(wú)限增加。

一般來(lái)說(shuō)，常見(jiàn)的安全開(kāi)發(fā)落地難點(diǎn)包括：

• 人力不充足：安全人員嚴(yán)重短缺;
• 人員的抵觸：自身安全能力不足，安全工作增加工作量但無(wú)法體現(xiàn)績(jī)效;
• 流程的變更：安全介入，導(dǎo)致流程改變，短時(shí)間無(wú)法適應(yīng);
• 項(xiàng)目周期緊：開(kāi)發(fā)周期原本已經(jīng)很緊湊，加入安全工作后，時(shí)間上更加緊張。

三、安全賦能，合作共贏

無(wú)論是人力緊缺的小型安全團(tuán)隊(duì)，還是人力充足的成熟安全團(tuán)隊(duì)，要解決上面講到的這些難處，最有效的方法莫過(guò)于賦能。但賦能也要講究方式方法，不然可能適得其反。

1. 合理的體系

合理高效的管理體系是確保開(kāi)發(fā)安全管控的前提，安全開(kāi)發(fā)管理體系需要定義安全介入的時(shí)機(jī)和每個(gè)角色需要執(zhí)行的安全動(dòng)作(安全工作和輸出物)，確保安全開(kāi)發(fā)管控流程執(zhí)行到位。但是這就對(duì)以前的流程產(chǎn)生了侵入，在設(shè)計(jì)體系時(shí)，應(yīng)盡量避免產(chǎn)生新的制度和流程，采用對(duì)現(xiàn)有制度和流程修訂優(yōu)化的方式，降低執(zhí)行的門(mén)檻。

2. 常態(tài)化培訓(xùn)

對(duì)于缺乏安全經(jīng)驗(yàn)的產(chǎn)品、開(kāi)發(fā)等人員，應(yīng)提供必要的安全培訓(xùn)(體系、意識(shí)、技能)的支持，以幫助相關(guān)人員提升安全能力，完成相關(guān)安全工作。對(duì)不同人員需要提供的培訓(xùn)內(nèi)容也不太一樣，下表是培訓(xùn)內(nèi)容的一些參考：

3. 合作的態(tài)度

安全開(kāi)發(fā)體系的制定和落地推廣離不開(kāi)產(chǎn)品、開(kāi)發(fā)、測(cè)試等部門(mén)和人員的認(rèn)可、參與，安全團(tuán)隊(duì)不能讓大家認(rèn)為安全部門(mén)是在加碼任務(wù)，設(shè)置卡點(diǎn)，要以合作的姿態(tài)開(kāi)展工作，前期應(yīng)以提供幫助解決安全問(wèn)題為重。

舉個(gè)例子：

某傳統(tǒng)行業(yè)的科技子公司，在推行安全開(kāi)發(fā)體系之前，先對(duì)開(kāi)發(fā)部門(mén)進(jìn)行調(diào)研，主要方向是收集開(kāi)發(fā)部門(mén)日常工作中遇到的安全問(wèn)題，了解開(kāi)發(fā)部門(mén)非常頭疼邏輯越權(quán)、SQL注入和隱私數(shù)據(jù)安全的問(wèn)題。安全部門(mén)將這些問(wèn)題作為安全開(kāi)發(fā)體系落地過(guò)程中的專(zhuān)題，提供編碼安全規(guī)范和代碼示例指引開(kāi)發(fā)人員提升代碼質(zhì)量，從源頭上避免這些問(wèn)題。編碼提交后，通過(guò)IAST測(cè)試平臺(tái)(交互式動(dòng)態(tài)測(cè)試)，幫助開(kāi)發(fā)人員查漏補(bǔ)缺。并且IAST發(fā)現(xiàn)的漏洞詳情非常詳盡：漏洞對(duì)應(yīng)的代碼位置、執(zhí)行過(guò)程展示、修復(fù)方法和示例代碼，甚至提供可以直接引用的安全組件，盡一切可能幫助開(kāi)發(fā)復(fù)現(xiàn)和修復(fù)漏洞。

注：應(yīng)用安全測(cè)試目前在市場(chǎng)上有眾多的解決方案，其中最老牌、應(yīng)用最為廣泛的是SAST(靜態(tài))和DAST(動(dòng)態(tài))測(cè)試工具，通過(guò)在源代碼(SAST)或公開(kāi)對(duì)外接口(DAST)上運(yùn)行安全掃描，可以在應(yīng)用上線(xiàn)之前識(shí)別并糾正許多漏洞。

然而隨著DevSecOps被廣泛接納，Gartner在2017年的研究報(bào)告中明確提倡用 Interactive Application Security Testing(IAST)交互式應(yīng)用安全測(cè)試替換SAST和DAST。

在后續(xù)的安全開(kāi)發(fā)體系落地過(guò)程中，開(kāi)發(fā)部門(mén)非常配合。在20多個(gè)試點(diǎn)項(xiàng)目中，發(fā)現(xiàn)并修復(fù)了近千個(gè)邏輯越權(quán)漏洞和數(shù)百個(gè)SQL注入漏洞，隱私數(shù)據(jù)的安全情況也得到大大改善。

4. 高效的安全工具

正如前面講到的例子，IAST可以幫助開(kāi)發(fā)人員排查修復(fù)漏洞，其根本意義在于安全工具可以給安全能力相對(duì)較弱的人員提供安全賦能。選擇使用門(mén)檻低且檢測(cè)效率高的安全工具，可以在很短的時(shí)間內(nèi)落實(shí)相關(guān)環(huán)節(jié)的安全工作。另一方面，在使用優(yōu)良的安全工具過(guò)程中，相關(guān)人員對(duì)安全知識(shí)的掌握和認(rèn)知也會(huì)得到極大的提升。

5. 知識(shí)庫(kù)支持

知識(shí)庫(kù)主要是用于提升人員的安全能力和效率，例如，一般的產(chǎn)品經(jīng)理并不具備威脅建模的能力，需要提供威脅建模知識(shí)庫(kù)，知識(shí)庫(kù)會(huì)給出具體業(yè)務(wù)場(chǎng)景下的安全威脅和對(duì)應(yīng)的安全要求，幫助產(chǎn)品經(jīng)理快速準(zhǔn)確的完成威脅建模的工作。優(yōu)秀的知識(shí)庫(kù)都需要長(zhǎng)期積累，平時(shí)需要由安全部門(mén)維護(hù)更新，沉淀項(xiàng)目中積累的問(wèn)題，持續(xù)提升賦能效果。

四、安全運(yùn)營(yíng)，解決執(zhí)行力問(wèn)題

賦能可以解決能力和效率的問(wèn)題，但是不能解決執(zhí)行力的問(wèn)題，需要配合安全運(yùn)營(yíng)來(lái)監(jiān)督和改善體系的運(yùn)轉(zhuǎn)效果。根據(jù)實(shí)際情況，需要綜合考慮選擇合適的運(yùn)營(yíng)方式，這里提供一些運(yùn)營(yíng)維度作為參考。

單個(gè)項(xiàng)目運(yùn)營(yíng)卡點(diǎn)：

• 檢查各環(huán)節(jié)輸出物，例如：安全需求表、設(shè)計(jì)方案、安全測(cè)試報(bào)告…
• 漏洞檢測(cè)與修復(fù)情況，例如：代碼安全檢測(cè)報(bào)告、IAST安全測(cè)試報(bào)告、滲透測(cè)試報(bào)告，未修復(fù)漏洞與緩解方案…

全局安全運(yùn)營(yíng)：

• 全局漏洞統(tǒng)計(jì)：漏洞類(lèi)型、漏洞數(shù)量、漏洞誤報(bào)率、漏洞修復(fù)率…
• 知識(shí)庫(kù)沉淀：自定義漏洞檢測(cè)規(guī)則、知識(shí)庫(kù)更新報(bào)告…

個(gè)人績(jī)效考核：

• 項(xiàng)目經(jīng)理：項(xiàng)目評(píng)級(jí)合理性
• 產(chǎn)品經(jīng)理：安全需求的全面性與合理性
• 開(kāi)發(fā)人員：漏洞自查發(fā)現(xiàn)率、漏洞密度、漏洞修復(fù)時(shí)效……
• 測(cè)試人員：黑盒測(cè)試URL覆蓋度、漏洞測(cè)試發(fā)現(xiàn)率、安全功能測(cè)試準(zhǔn)確性

這里要強(qiáng)調(diào)一點(diǎn)，設(shè)立個(gè)人績(jī)效指標(biāo)不僅僅是為了考核相關(guān)人員安全工作的完成度，同時(shí)也是個(gè)人績(jī)效的體現(xiàn)，要在項(xiàng)目復(fù)盤(pán)和年度考評(píng)中考慮增加這方面的權(quán)重。增加人員積極性的同時(shí)，也為公司留住安全開(kāi)發(fā)領(lǐng)域的寶貴人才。

五、關(guān)鍵突破點(diǎn)，高層支持

除了上述要點(diǎn)，安全開(kāi)發(fā)體系要想很好的推進(jìn)，最重要是要獲得IT高層領(lǐng)導(dǎo)的認(rèn)可，這樣才能獲取足夠的行政資源，推動(dòng)以下事項(xiàng)：

• 購(gòu)買(mǎi)專(zhuān)業(yè)咨詢(xún)服務(wù)，獲取專(zhuān)業(yè)體系建設(shè)建議和成熟知識(shí)庫(kù)
• 協(xié)調(diào)督促各個(gè)部門(mén)參與，完成管理體系和文化上的遷移
• 增加各崗位安全開(kāi)發(fā)部分的人力績(jī)效預(yù)算
• 采購(gòu)安全工具

如果開(kāi)始不能獲取高層的最大支持，建議先從容易落地且有能看到成果的環(huán)節(jié)開(kāi)始建設(shè)，例如IAST測(cè)試，用事實(shí)成果爭(zhēng)取高層的支持。

六、寫(xiě)在最后

安全開(kāi)發(fā)體系的建設(shè)，通過(guò)賦能和運(yùn)營(yíng)的結(jié)合，并在高層支持下，幫助安全部門(mén)在人力不足、項(xiàng)目快速擴(kuò)張等諸多不利的環(huán)境下，建設(shè)起安全開(kāi)發(fā)的管理體系，幫助安全部門(mén)改變被動(dòng)現(xiàn)狀，獲得應(yīng)有的地位，發(fā)揮應(yīng)有的作用，避免因?yàn)榘踩珕?wèn)題造成企業(yè)核心業(yè)務(wù)馬失前蹄。

安全牛評(píng)

2020年新冠疫情給互聯(lián)網(wǎng)行業(yè)提供了一個(gè)展示信息技術(shù)肌肉的機(jī)會(huì)，但遺憾的是行業(yè)領(lǐng)導(dǎo)者們?cè)诋a(chǎn)品安全問(wèn)題上紛紛“撲街”，從智能硬件、視頻會(huì)議、社交通訊到網(wǎng)盤(pán)業(yè)務(wù)，一系列重大安全違規(guī)事件不絕于耳，不但嚴(yán)重威脅用戶(hù)的隱私與數(shù)據(jù)安全，同時(shí)也給企業(yè)的品牌、業(yè)務(wù)和市值帶來(lái)巨大傷害。

從網(wǎng)絡(luò)安全經(jīng)濟(jì)學(xué)的角度來(lái)看，產(chǎn)品安全問(wèn)題并非“產(chǎn)品”問(wèn)題，冰山以下是一個(gè)全局問(wèn)題——如何安全地敏捷化和數(shù)字化，如何打通應(yīng)用安全、數(shù)據(jù)安全/隱私保護(hù)的經(jīng)絡(luò)，把Sec塞進(jìn)DevOps不會(huì)比把大象塞進(jìn)冰箱更輕松，打造全局化和敏捷化的安全能力，絕不是企業(yè)安全團(tuán)隊(duì)能獨(dú)自完成的，這應(yīng)該是企業(yè)所有人，尤其是CEO的責(zé)任。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文