根據(jù)Digital.ai的調(diào)查，2020年上半年，受新冠疫情刺激，全球企業(yè)敏捷化加速，55%的受訪者表示，他們的公司計劃在未來12-14個月內(nèi)增加對敏捷的使用。這比年初疫情尚未全球爆發(fā)前增加了13%。此外，33%的人表示，他們在過去90天內(nèi)增加或擴展了敏捷的采用率，以幫助管理分布式團隊。

[[339942]]

根據(jù)佐格比分析(Zogby Analytics)的最新報告，在疫情造成的停擺前后，讓大部分員工進行遠程辦公的企業(yè)數(shù)量從21%增長到70%，增加了兩倍以上。40%的受訪企業(yè)(為新冠疫情爆發(fā)前的兩倍)表示將讓大部分員工永久遠程辦公。

在疫情防控表現(xiàn)最好的國家之一中國，疫情爆發(fā)前僅有十分之一的企業(yè)讓半數(shù)以上員工進行遠程辦公(90%的受訪企業(yè)遠程辦公人員不足50%);疫情發(fā)生后，中國企業(yè)的這一數(shù)字增加到63%。

與此同時，伴隨著企業(yè)無邊界化和敏捷化，全球網(wǎng)絡釣魚攻擊增加了600%，勒索軟件攻擊增加了148%，F(xiàn)BI報告的網(wǎng)絡犯罪增加了300%。網(wǎng)絡犯罪分子在新冠病毒大流行期間正開足馬力，不斷升級攻擊技術(shù)和戰(zhàn)術(shù)，以每周拿下一家百年老店的速度肆虐全球。

為了跟上不斷增長的威脅級別并在遠程辦公的新常態(tài)中取得成果，許多企業(yè)正在采用敏捷方法。敏捷曾經(jīng)被認為是DevOps的地盤，但近年來，以DevSecOps為代表的“敏捷安全”正在成為敏捷的重要陣地。

敏捷是一種迭代的工作方式，鼓勵迅速釋放較小的價值，而不需要大型傳統(tǒng)項目的漫長導入時間。隨著環(huán)境變化以滿足不斷變化的業(yè)務需求，結(jié)果可以不斷得到快速改善。許多公司都從敏捷方法交付軟件中受益，敏捷化工作方式正在擴展到包括越來越多的安全團隊。

敏捷為網(wǎng)絡安全帶來了巨大的好處，因為安全團隊面臨著不斷發(fā)展變化的威脅，而攻擊者已經(jīng)具備了敏捷化的特質(zhì)，會快速調(diào)整方法以找到最佳的攻擊媒介。

當安全遇見敏捷：從團隊合作到價值流管理

Digital.ai的2020敏捷全球調(diào)查報告調(diào)查了1000多名全球IT和商務專業(yè)人士，60%的受訪者表示，敏捷不僅幫助加快了產(chǎn)品上市速度，而且提高了團隊生產(chǎn)力。

組織采用敏捷的主要推動力來自于希望加速向客戶交付價值以及能夠快速響應不斷變化的環(huán)境。調(diào)查發(fā)現(xiàn)，采用敏捷的第二大原因是增強了管理不斷變化的優(yōu)先級的能力，三分之二(63%)的受訪者將此作為主要動機。

這一關(guān)鍵優(yōu)勢使得敏捷在業(yè)務的許多領域得到采用，其中軟件開發(fā)和IT最受歡迎，分別占37%和26%。但是，值得注意的是，敏捷方法越來越多地用于運營、市場營銷、人力資源和銷售中。網(wǎng)絡安全也不例外，因為敏捷可以幫助安全團隊應對不斷發(fā)展的威脅。

事實上，敏捷的概念已經(jīng)存在了近20年，其理論框架和應用領域至今已經(jīng)歷了幾次重大的“迭代升級”。以下，我們回顧敏捷發(fā)展歷程，看看敏捷是如何與安全走到一起的：

敏捷始于2000年代后期的Scrum框架，該框架專注于團隊合作，問責制以及用于硬件和軟件開發(fā)的迭代版本。在2000年代初，它通過各種擴展框架進行了擴展，允許多個小型團隊在產(chǎn)品的各個單元進行有效的協(xié)作。如今，與傳統(tǒng)的面對面互動相比，團隊以多種方式進行協(xié)作，有71%的公司報告團隊在多個地區(qū)進行協(xié)作。

隨著公司開始從提高的開發(fā)效率中受益，他們意識到下一個瓶頸實際上是將新產(chǎn)品投入生產(chǎn)。這導致DevOps在2010年代中期的知名度上升，從而導致敏捷實踐和文化的擴展。為此，超過90%的受訪者現(xiàn)在高度重視DevOps，而75%的組織正在積極計劃和/或?qū)嵤┻@一領域的轉(zhuǎn)型。正在進行DevOps轉(zhuǎn)型的組織希望實現(xiàn)：更快的交付速度(70%)、提高的質(zhì)量(62%)和降低的風險(48%)。在日益數(shù)字化的世界中，至關(guān)重要的是盡快向消費者提供高質(zhì)量、有價值的軟件。

隨著DevOps開始解決運營瓶頸，組織開始看到其他領域的問題，并意識到他們需要關(guān)注整個端到端的價值流。價值流管理(VSM)通過提供一種通過人員，流程和技術(shù)的組合來衡量和改善組織內(nèi)工作流程的系統(tǒng)方法，有助于縮短實現(xiàn)價值的時間。

當前，80%的受訪者表示有興趣，正在計劃實施或正在實施VSM。端到端了解組織中的價值流向?qū)⑹构緦嶋H結(jié)果與交付聯(lián)系起來，從而大大改善了計劃和交付的價值視圖。

VSM的興起推動企業(yè)將安全性整合到DevOps流程中，而不是事后才想到創(chuàng)建DevSecOps。這種方法使組織能夠在開發(fā)過程中解決安全問題，減少周期時間，并在提高質(zhì)量和簡化工作流程的同時減少返工。此外，這還意味著安全團隊現(xiàn)在可以在DevOps這張桌子邊坐下來，確保整個應用程序開發(fā)生命周期的安全性。

安全敏捷化的挑戰(zhàn)

在談論安全的敏捷化之前，我們有必要先回顧一下《敏捷宣言》的十二條“天規(guī)”：

• 客戶是最重要的。
• 擁抱變化。
• 經(jīng)常發(fā)布有效的軟件版本，使客戶高興。
• 日常協(xié)調(diào)。
• 開發(fā)人員應積極面對挑戰(zhàn)。
• 鼓勵面對面的交流。
• 如果某個功能或產(chǎn)品運行良好，則可以評估進度。
• 保持團隊發(fā)布可用軟件的進度不變。
• 關(guān)注細節(jié)。
• 您應該以最快的方式完成所需的工作，而不是追求做得更多。
• 跨職能團隊才是最好的。
• 不斷獲取反饋。

我們不清楚有多少網(wǎng)絡安全企業(yè)致力于敏捷化，但可以確定的是，笑傲江湖多年的惡意軟件之王——Emotet背后的黑客團隊，是一個將《敏捷宣言》和敏捷價值觀奉為圭臬的敏捷組織。而且，Emotet絕不會是最后一個受益于敏捷化的網(wǎng)絡犯罪組織。

敏捷框架有如此多的優(yōu)點，為什么至今沒有成為主流企業(yè)方法呢?阻力主要來自企業(yè)內(nèi)部的的嚴重障礙。

當你想把一個場均1：0的足球隊改造成場均120分的籃球隊，其難度不亞于把狗腦子打出豬腦子。

調(diào)查顯示，超過40%的受訪者認為，企業(yè)整體上對變革的抵制，領導參與程度不足，團隊之間的做法不一致，企業(yè)文化與敏捷價值觀背道而馳。需要指出的是，超過五年來，這些一直是企業(yè)采用敏捷的最大障礙。

領導層必須了解使敏捷生態(tài)系統(tǒng)發(fā)揮作用的原則，并努力進行必要的組織變革才能享受“敏捷紅利”。但不幸的是具備敏捷思維的領導者可謂鳳毛麟角。

敏捷獲得成功還取決于實施行之有效的實踐和原則，這些實踐和原則是通過沉浸于這種工作方式的文化來執(zhí)行的。我們看到越來越多的管理層開始學習并擁有這些核心敏捷價值。很明顯，還有很多工作要做，這令人鼓舞，因為企業(yè)的成功取決于“運動”。

在應付全球疫情帶來的新挑戰(zhàn)的同時，面對功力勇猛精進的攻擊者，企業(yè)需要更快的反應速度。那些采用敏捷方法的企業(yè)能夠更好地應對不斷變化的狀況，同時保持產(chǎn)品質(zhì)量和安全性。

網(wǎng)絡安全當下的熱點依然是“見招拆招”的檢測與響應，未來，隨著人工智能與網(wǎng)絡安全技術(shù)的融合，“奇門遁甲”的分析與預測將成為下一個熱點。而敏捷化，則是網(wǎng)絡安全行業(yè)打贏這場戰(zhàn)爭的關(guān)鍵所在。

新冠疫情可以關(guān)閉面對面溝通的門，卻為我們打開了遠程分布式團隊乃至全球網(wǎng)絡安全人才的窗戶。2020年，面對一個高度不確定的十年，安全行業(yè)的敏捷化變革，已經(jīng)迎來最佳時機。甲方敏捷了，黑客敏捷了，你還愣著干啥?

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文