安全建设到底要不要上SDL(安全开发流程)?

admin 2022年4月7日22:21:08评论153 views字数 3378阅读11分15秒阅读模式

对大多数公司来说,网络安全方面的建设在最开始的时候,是一个被动的过程。公司往往在经历漏洞报告、入侵等安全事件之后,才会对安全加以关注,然后执行修复、应急响应。这些安全事件倒逼着公司加强对安全的关注和投入。


接下来,我们拿人生病这个简单的场景,与网络安全体系建设进行类比,看看安全事件是如何让公司开始重视网络安全体系建设的。



第一阶段,自行买药


当我们有点轻微发烧流鼻涕的时候,往往自己到药店买点感冒药,多喝温开水,也许过几天就好了。


同样,当我们的业务网站或产品初次被入侵或被报告漏洞的时候,首先就是开发人员紧急加班,好像是修复了。过了一段时间,又被入侵了,如此重复几次,团队的安全意识从几乎没有,到有了一点认识,开始意识到网络安全的重要性。但是,开发人员也不清楚如何才能防住,只能发现一个问题,就尝试解决一个问题,也不知道解决问题的方式对不对,暂时是堵住了。


这一阶段,开发人员自行解决已发现的安全问题,解决措施往往是药不对症,好像是解决了但又经常被绕过。



第二阶段,求助医生


当我们自行买来的药吃了几天还不见好,就不得不去医院看医生了。


如果产品团队自己搞不定了,一般能够想到的是请外部的安全服务公司来做个渗透测试,根据渗透测试的结果和改进建议,对业务网站或产品进行改进。


这个阶段,团队(或公司)还没有意识到要招聘专职的网络安全人员,建设自己的安全体系。渗透测试服务往往是一次性的,随着业务或产品的升级,新的漏洞会不断的被发现。近来,也出现了在线的安全监测服务,效率上也有很大的提高。



第三阶段,私人医生


先富起来的人群往往需要更高层的医疗服务,私人医生就是这样的一对一私人定制健康服务。


这一阶段,公司开始有意识的招聘专职的网络安全人员。

这时的网络安全人员,就类似公司里的私人医生。安全人员可以帮产品提出一些安全方面的改进建议,可以对线上或新上线的业务执行扫描或渗透测试,从而提前识别部分高危漏洞并提醒开发团队改进;可以部署一些针对性的防御措施(部署WAF、实施安全配置)及安全运维等;可以协助执行安全应急响应。


但这时还没有体系化的概念,网络安全人员的工作主要靠经验,没有依据和指导。漏洞还是会频繁的出现,随着业务量的增长,网络安全人员慢慢会应接不暇,这时对网络安全人员的需求加大,公司就会继续增加招聘专职的网络安全人员,形成专职的网络安全小组。



第四阶段,医务团队和医疗体系


过去皇宫里有太医院,现在也有针对权贵的医疗团队或专属医院。


当公司的网络安全小组总是执行一些简单重复的工作的时候,就要考虑体系化的建设事宜了:

  • 主要例行工作尽可能的工具化、自动化;

  • 针对主要业务的安全管控要形成策略文件;

  • 针对常见的高危漏洞,要从设计、开发、测试、部署等环节,输出标准和规范;

  • 针对漏洞报告或安全事件,总结过去的经验,固化为处置流程;

  • 开始采购外部的系统化的安全解决方案,以构建立体的安全防御体系;

  • 开始自己造轮子,解决外部解决方案无法满足的安全需求,或者构建自己独有的安全防御体系。


这一阶段,总体还是事后防御(对症下药,药就是我们的安全防御手段),而缺少事前的安全质量控制。


只要是事后防御为主,你就会发现,同样的安全问题或低级漏洞会反复出现,安全人员在迷茫中,会感觉到无奈、力不从心或有力无处使,日常工作就是为了应对这些漏洞,疲于奔命,很难有闲暇下来喝茶的功夫。



第五阶段,医务团队和保健体系


过去针对权贵,食品有特供渠道和食品安全检测手段,皇帝在用膳或用药之前,会有太监先行品尝,没有问题后皇帝才能食用。对帝皇而言,这些都是从源头保障食品安全的做法,从而不对自己的健康造成危害。还有很多皇子、亲王从小练武或者经常带兵打仗,体质得到很好的锻炼,从而也很少生病。


这一阶段,讲的是如何才能不生病的问题,而不是生病后怎么治的问题。

从医学上讲,科学膳食搭配、适当的体育锻炼、定期的体检,对保障身体健康大有裨益。


对应到网络安全体系,那就是为什么一定要等到发现漏洞后才去改进呢?

其实,我们也可以做好事前的功课,提前消除漏洞(或风险),保障业务或产品的安全。


让业务或产品不生病(入侵等安全事件)的科学,就是网络安全领域的保健体系,也就是我们经常听说的SDL(Security Development Lifecycle,安全开发生命周期,安全开发流程)。


不过,通常也只有大型企业才具备实施SDL的条件。

安全建设到底要不要上SDL(安全开发流程)?
关于SDL的基本概念和含义,可关注本微信公众号:网络安全生命周期,然后查看历史消息从源头解决安全问题的SDL简介),或者复制如下地址在浏览器中打开:

http://mp.weixin.qq.com/s?__biz=MzAwOTc3NzMwMQ==&mid=403823639&idx=1&sn=074611216868da5fee545d0bb4d05f0a#rd

(暂时还没有发链接的权限,只好贴出完整的链接地址了,见谅~)


从源头开始规避大部分漏洞,才能将主要的问题和风险消除在萌芽状态,这就要靠组织和流程来保障;将安全要素融入项目管理流程,启用安全开发流程,关键项目阶段要添加相应的安全任务。这些任务如果未完成,则意味着本阶段的安全问题/风险没有解决,带给下一阶段,并最终带入生产环境。通过流程保障,不将问题、风险、缺陷带给下一阶段。


SDL通过规范的项目管理过程和关键安全任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品在全生命周期过程中的安全性。其核心理念就是将安全集成到应用开发的每一个阶段。


安全开发流程最大的价值,就是用标准和流程的确定性,来降低开发过程中的不确定性。


保健做好了,人就会少生病或者不生病,从而减少医生的工作量。


事前的安全保障做好了,减少了事后出现漏洞或入侵事件的机会,安全人员也可以放心的喝喝茶,聊聊安全治理的话题,而不是每天重复的跟低级漏洞打交道。



第六阶段,安全体系的不断完善


在解决了基本的业务安全痛点和需求之际,往往还伴随着更多的安全需求,比如参与政府和军队的保密项目,需要有资质等市场准入的需求,这就要求公司在网络安全体系建设方面接受第三方的考核,通过认证。参与国际竞争,有些客户需要参与竞标的公司具备通用的第三方安全认证(如CC认证或ISO 27001认证)。如果实美国上市公司,审计公司会要求SOX审计,安全在其中占据重要的位置。


在接受认证或审计的过程中,也会发现自身安全体系不足的方面,就会不断的加以改进,让网路安全体系更加适应业务的发展需要,为业务保驾护航。


当我们的安全体系做的比较完善的时候,通常会被业界当做安全体系建设的标杆或榜样,这时我们的团队就具备对外服务的能力了,无论是主动或者是被动,来自外界的呼声或者来自管理层的决策,可能会把安全团队推向前台,与业界共同探讨安全体系建设的实践经验,公司也可以把这个当做拓展业务的牵引力,通过对外咨询服务促进其它跟安全有关的产品或解决方案的销售。



中小公司如何快速进入安全体系的保健阶段?


大多数中小公司,一般停留在上面的第三(有安全人员)或第四阶段(安全体系化建设),如何快速跨越这个阶段,实现安全体系建设或安全能力方面的大幅提升呢?


笔者(U2)有感于推行SDL(安全开发生命周期,安全流程)的高成本与复杂性,有意将这个过程简化,希望能够帮助一些中小型公司在建设网络安全体系的时候,把成本降下来,把效率提上去。


笔者提供了一个在线的项目管理流程,嵌入了安全自检等关键任务,自动提醒项目组根据在线Checklist的提示,执行安全任务并选择执行结果。


这是一个旨在强化安全为主要目的的在线项目管理系统(SDL SaaS应用),源于安全开发周期方法论和国际/国内巨头公司的项目管理实践,从源头开始进行安全控制,通过规范的项目管理过程和KCP任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品在全生命周期过程中的安全性。


SDL SaaS访问地址: 

http://saas.janusec.com  

或者 

https://saas.janusec.com


体验时不需要注册,在登录处点击Demo即可自动填入体验账号和口令。




长按并在弹出菜单中选择"识别图中二维码"关注微信公众号: 网络安全生命周期 ,共同探讨网络安全体系建设~

安全建设到底要不要上SDL(安全开发流程)?


原文始发于微信公众号(数据安全架构与治理):安全建设到底要不要上SDL(安全开发流程)?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日22:21:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全建设到底要不要上SDL(安全开发流程)?http://cn-sec.com/archives/884080.html

发表评论

匿名网友 填写信息