很明顯，安全團(tuán)隊(duì)發(fā)現(xiàn)效率難以把握，但為什么呢?根據(jù)安全從業(yè)者的說(shuō)法，罪魁禍?zhǔn)资撬麄兊墓ぞ呒c他們所處的不斷變化的環(huán)境之間的脫節(jié)。PBS Systems公司的一位IT負(fù)責(zé)人評(píng)論說(shuō)：“這些工具是動(dòng)態(tài)的;但不像威脅本身那樣動(dòng)態(tài)。”

VISA的另一位安全主管表示：“安全團(tuán)隊(duì)需要保護(hù)如此多的新環(huán)境，包括多云、無(wú)服務(wù)器和內(nèi)部部署，這將極大地增加漏洞、補(bǔ)丁和更新量。有了這么多數(shù)據(jù)和噪音，很難像現(xiàn)在這樣高效，所以你有同樣的投資，但你沒有那么有效。

就Kubernetes而言，團(tuán)隊(duì)必須從“偏離設(shè)計(jì)標(biāo)準(zhǔn)”的Kubernetes環(huán)境中從頭開始學(xué)習(xí)安全性，并且他們還不能“預(yù)測(cè)攻擊者可能的所有行為方式”。

噪音已成為整個(gè)云原生安全的普遍問題

作為一家風(fēng)投支持的初創(chuàng)公司的CEO，我一直在密切關(guān)注人才和風(fēng)投資金的去向。今年反復(fù)出現(xiàn)的一個(gè)主題是，在解決方案中投入早期種子資金，以減少云原生安全方面的噪音，提高安全團(tuán)隊(duì)的整體效率。

“向左轉(zhuǎn)移安全”本應(yīng)將部分負(fù)擔(dān)從安全從業(yè)者轉(zhuǎn)移到開發(fā)上，但這也降低了安全在不同環(huán)境中的可見性。

Kubernetes具有自我修復(fù)特性，可以在中斷或用戶定義的健康檢查失敗時(shí)自動(dòng)啟動(dòng)或重新啟動(dòng)容器。但在Kubernetes的案例中，與安全相關(guān)的專業(yè)知識(shí)已經(jīng)轉(zhuǎn)移到了工程領(lǐng)域，創(chuàng)造了一個(gè)罕見的、既不可能找到也不可能聘用到的、對(duì)Kubernetes內(nèi)外都很了解的安全人員。

攻擊者現(xiàn)在使用的是與藍(lán)隊(duì)相同的快速移動(dòng)、彈性強(qiáng)的基礎(chǔ)設(shè)施工具，而機(jī)器人的速度正在超過自動(dòng)防御。

‘熱詞炒作’已經(jīng)成為一個(gè)團(tuán)隊(duì)必須應(yīng)對(duì)的問題，導(dǎo)致安全團(tuán)隊(duì)浪費(fèi)時(shí)間在不同的方向上奔波。

總之，云原生應(yīng)用程序開發(fā)(使用容器、微服務(wù)、Kubernetes和遷移到云)給安全團(tuán)隊(duì)造成了名副其實(shí)的困境。

CNAPP示例

云本地應(yīng)用保護(hù)平臺(tái)(CNAPP)是當(dāng)今云原生安全領(lǐng)域最時(shí)髦的術(shù)語(yǔ)。CNAPP的吸引力在于工具整合：使用一個(gè)平臺(tái)來(lái)整合新應(yīng)用程序開發(fā)生命周期中的圖像掃描、CSPM、運(yùn)行時(shí)和所有安全功能。大多數(shù)供應(yīng)商都聲稱自己是CNAPP，Gartner已經(jīng)發(fā)表了幾篇論文，對(duì)這個(gè)主題提出了初步假設(shè)。

聽起來(lái)很棒，對(duì)吧?是的，如果真的能節(jié)省一些時(shí)間和提高效率的話。最近的Scarleteel攻擊表明，攻擊者從Kubernetes中一個(gè)易受攻擊的Web應(yīng)用程序轉(zhuǎn)移到云中Kubernetes托管的環(huán)境，再到云本身，最終試圖竊取AWS密鑰并危害云賬戶。

CNAPP用戶將在單獨(dú)的屏幕和區(qū)域中顯示攻擊步驟，不會(huì)將它們相互關(guān)聯(lián)，也不會(huì)顯示任何接近攻擊者顯示的跨多個(gè)環(huán)境的流動(dòng)性。

這只是安全團(tuán)隊(duì)可能會(huì)說(shuō)“我們的工具不會(huì)變化到外部環(huán)境中”的一個(gè)例子。

今天，云原生安全是對(duì)安全團(tuán)隊(duì)效率和生產(chǎn)力的削弱。但是，作為一項(xiàng)頂級(jí)的工程計(jì)劃，向K8的遷移不會(huì)很快停止。那么，云原生安全如何才能不再成為將安全團(tuán)隊(duì)的工作效率推向錯(cuò)誤方向的因素呢?

從業(yè)者為供應(yīng)商提供了一些建議：

1.給我一個(gè)真實(shí)的信號(hào)，而不是噪音

• 我需要從變形到環(huán)境中的工具中獲得有意義的見解——可以在一個(gè)屏幕上效仿上面的Scarleteel例子。
• 我的SIEM就像你在云方面的洞察力一樣好。

2.和我一起設(shè)計(jì)你的產(chǎn)品：如果我覺得我的投入正在轉(zhuǎn)化為價(jià)值，我會(huì)給你時(shí)間

• 你如何推銷你的解決方案和你賣什么一樣重要，停止推動(dòng)你的議程，傾聽并填補(bǔ)你解決方案中的空白。

3.請(qǐng)?jiān)试S我把它關(guān)掉

• “我最近買了一個(gè)運(yùn)行時(shí)解決方案，他們一直在向我顯示警報(bào)，但他們沒有考慮到的是，我知道這些警報(bào)是什么，我對(duì)它們沒有意見。我從事的是風(fēng)險(xiǎn)管理業(yè)務(wù)，而不是‘包治百病’。

4.幫助我在整個(gè)企業(yè)中創(chuàng)建影響力和伙伴關(guān)系的新模式

• 如果我的主要利益相關(guān)者是工程學(xué)，那么你的工具需要展示工程學(xué)關(guān)心的東西。

結(jié)論

盡管困難重重，但最具前瞻性的安全團(tuán)隊(duì)發(fā)現(xiàn)，保護(hù)新環(huán)境帶來(lái)的挑戰(zhàn)是一項(xiàng)令人興奮和有益的努力。團(tuán)隊(duì)正在整個(gè)企業(yè)中創(chuàng)建新的影響力和合作模式來(lái)應(yīng)對(duì)，但只有時(shí)間才能證明云原生安全是否會(huì)跟隨他們的腳步，與這些安全團(tuán)隊(duì)建立真正的合作關(guān)系。