不懂软件开发,做不好网络安全(三)

admin 2024年11月5日10:35:57评论7 views字数 4103阅读13分40秒阅读模式
不懂软件开发,做不好网络安全(三)

在与数百家(也可能早过了千家)方企业接触后,我们发现企业的信息安全治理水平,直接取决于安全团队人员的技术专业度,而非运营经验值。所谓的技术,并非指渗透和挖洞的能力,而是指软件开发、IT 架构、网络拓扑相关的知识和经验。

站在乙方的角度来看,技术薄弱的安全人员,通常面临着较大的沟通障碍和成本,因为他们难以理解和区分不同安全技术和产品之间的差异。更难以理解自身企业的 IT 和技术现状,无法做出有效且大胆的决策,通常容易被大品牌厂商引导或者选择尽量不作为以此求稳。最终在各方妥协和博弈之下,做出花大钱,成效较差的短期决策。而这些决策,往往在下一任上任之时,予以推翻。

相反,拥有较强技术背景的安全团队,非常明确知道自己想要什么,不会被厂商引导,相对不在意厂商在“付费安全排行榜”中的名次。在企业内部面对业务团队的挑战时,通常也能占有主动权,做出正向的决策,既帮助企业省钱,也帮助企业打下长治久安的基础。

09

未来的安全栈
随着安全团队变得更加技术化,他们开始认识到没有任何供应商能够将“安全”作为一项功能来承诺。传统上,大多数商业安全工具将基础层抽象化,并以警报和报告的形式提供高层次的视图,总结已发生的情况。希望获得安全基础设施基础层和事件级别数据可视性的组织被迫使用开源工具或从头开始构建工具。
随着 DevSecOps 方法要求对安全基础层有可见性,未来的安全栈将与我们今天在所谓的网络安全市场地图中看到的截然不同。首先,我们将看到越来越多的中立解决方案,这些解决方案可供从业者用来审查系统,获得环境的全面可见性,并构建符合其需求的安全覆盖。这些工具将透明地工作,其工作内容将容易测试和验证。重要的是,我们将看到商业和开源解决方案的混合,这些解决方案可以协同工作,以解决组织的安全用例。在安全的核心将是流程和安全专业人员——而不是“产品”,因为工具只是工具;关键在于如何使用它们以及用于什么目的。
在过去的几年里,我们开始看到越来越多的安全领导者拒绝盲目信任供应商:这是我在 LimaCharlie 领导产品时所推广的方法,也是其他新一代解决方案如 SOC Prime、Panther、Prelude 以及最近的 Interpres 等所采纳的方法。
下图列出了今天采取基于证据、工程化方法进行安全工作的公司和开源工具。这不是一个详尽的列表(还有很多符合上述标准的优秀工具),也不是传统的“市场地图”。
不懂软件开发,做不好网络安全(三)
10
缩小安全人才缺口
保护企业免受恶意行为者侵害的安全团队压力大、人手不足、未得到充分重视且薪酬较低。现实情况是,外部的黑客团体在吸引技术高深的人才方面比任何公司都更有优势。他们提供免税的高薪,远超任何企业的薪酬水平。他们提供良好的工作生活平衡、黑客攻击的刺激感和成就感。大多数黑客团体是 100% 匿名的。无需累积无价值的证书,每隔几年支付几百美元来保持证书的“有效性”,也无需应对招聘人员、人力资源、基本合规培训、职场政治、法律、合规、薪资管理和苛刻的上司。
如果这听起来像是我在为敌对方做广告——这绝对不是我的意图。事实上,这些情况对于有经验的安全专业人士来说并不新鲜。我只是想说明,为了聘用优秀人才,企业需要做得更好。
提出我有一系列快速且简单的解决方案是不道德且不真实的,因此我们作为一个行业需要共同努力来寻找这些解决方案。我们可以从取消对初级职位的“5 年经验”要求开始,逐步推进,消除偏见并改进我们的招聘流程。
11

让软件工程师来做安全工作
随着安全领域的各个方面都变得“代码化”,一个很少被讨论的网络安全人才来源可能是软件工程。有些人认为,教授工程师安全知识可能比教授安全专业人士软件工程更容易。虽然我不是最合适的人来判断这一说法是否正确,但我见过足够多的软件工程师转型为安全从业人员,这证明了这条路径是切实可行的。
挑战在于让软件工程毕业生知道网络安全是一个可行的职业路径,为他们提供适当的培训(在计算机科学课程中增加深入的网络安全课程),并设计有意义的职业路径,帮助他们在网络安全领域找到自己的位置。这引发了一个关于薪酬的问题:对于许多刚毕业的软件工程专业的学生来说,如果他们可以在软件行业找到第一份工作,薪酬比他们在安全领域能获得的高出 20-40%(如果他们甚至能获得面试机会的话),那么让软件工程师从事安全工作的想法就会瓦解。
12

培养下一代安全工程师
关于网络安全领域的人才短缺,已经有很多讨论,很容易注意到一大批新进入者声称能够解决这个问题。从为期 6 周的网络安全训练营到在线课程,再到新的大学学位——每个人都在争夺“教育未来安全人才”这块蛋糕。有人可能会认为,只要让更多高中生和准备转行的成年人对安全产生兴趣并报名参加这些项目,3-5 年后问题就能解决。但我认为问题远比这复杂得多。
如果你观察大多数教育项目的课程设置,你会发现它们往往忽略了工程成分。我没有花足够的时间来编撰数据,所以我的观察主要基于轶事,但以下是我所看到的情况:
大多数训练营时间太短、内容太浅,以至于认为它们能为毕业生提供任何深入的行业知识是不合理的。我遇到过很多优秀的安全专业人士,他们曾参加过训练营。然而,他们之所以变得优秀,并不是因为参加了训练营,而是因为他们在此之外所做的努力。我并不是说这些短期沉浸式课程完全没有价值。为了说明我的观点,我鼓励你思考为什么有那么多 4-8 周的前端开发训练营,而 4-8 周的后端开发培训却很少见。原因很简单,后端开发类似于安全,需要对深层次的技术理论和概念有扎实的理解,并且能够在没有视觉反馈的情况下处理这些概念并将其实现为代码。我可以明确地说,在相同的时间内教人们创建一个简单网站和教他们这些深层次的技术是不可能的。
许多大学项目,尤其是硕士级别的项目,更多地关注政策写作,而不是实用技能的培养。即使那些更深入和实用的项目,也往往是整个大学教育的一部分 —— 太陈旧、太理论化、太肤浅。安全每天都在进化,新的漏洞、新的攻击向量和新技术层出不穷。大学项目需要经过漫长的审批、严格的学术评审和评估,以至于项目批准时,所涉及的内容已经是六个月前甚至更久的新闻。有一些优秀的教师和讲师正在努力跟上行业发展,教授学生有用、实用和最新的技能。我们应该对他们表示深深的感激,但必须指出,这些人并不是在教育系统的框架内工作,而是绕过其限制,为学生和社会做好事。
网络安全认证并不能反映市场所需的技能和经验。我无意贬低人们为此付出的努力,也不认为这些认证毫无价值。我的意思是,除了极少数例外,这些认证主要教授理论概念,让人觉得自己知道应该如何进行安全工作,但并没有提供实际操作的真正技能。当攻击者深入代码,寻找绕过控制、利用漏洞和窃取数据的方法时,我们似乎真的认为可以通过教人们如何编写政策和进行多项选择题考试来阻止他们。试想一下,如果一个心脏外科医生只持有“心脏证书”而从未做过手术,你会让他为你做手术吗?
所有这一切都在说明当今最优秀的安全专业人士并不是来自大学,未来的领先人才也不会主要来自大学。成为安全工程领域的顶尖专业人士的人,通常来自渗透测试、军事、NSA 和其他具有强大进攻成分的政府机构的实际工作经验。他们来自那些认真对待安全的云原生企业的成熟安全团队。他们是自学成才的,通过计算机、CTF(夺旗竞赛)和 Open SOC、Black Hat、DefCon 等事件不断学习和提升。
为了塑造安全的未来并缩小人才缺口,我们不能坐等足够多的有动力的个人自己找到方法来学习所需的技能,以保护我们的人民、企业和国家。希望不是策略,6 周的训练营也不是。我们需要建立系统和机构来弥合技术网络安全的缺口。安全是困难的,教授安全也同样困难,但这是必须做的。合规和政策写作很重要,但仅靠这些不足以帮助我们防御网络攻击,这些攻击者极具天赋、技术高超、动机强烈且薪酬丰厚。
虽然我们需要找到方法让软件工程师进入网络安全领域,但也需要让深度专业化的安全专业人士掌握工程技能。虽然并非每个事件响应、数字取证和终端安全从业者都会成为工程师,但大多数人从了解软件开发的基本知识并熟练掌握 Python 等语言中受益匪浅。采用工程化的方法进行安全运营,将使我们能够自动化事件响应的手动部分,并持续构建可扩展的方式来保护组织的边界,同时花费更多时间主动构建防御措施。为此,网络安全教育必须开始包括软件工程课程,就像软件工程和计算机科学学位应该教授安全基础知识一样。
13

结语
确实没有一劳永逸的解决方案可以解决我们所有的安全问题,培养更多的安全工程师也无法做到这一点。然而,采用工程化的方法来处理安全问题可以帮助我们在软件产品的初期就内置安全性,加速行业的成熟,并使我们的安全运营在未来更具前瞻性。
人才短缺无疑将是一个障碍。然而,仅仅因为我们缺乏所需的资源,我们不能也不应该放弃一个可行的解决方案来应对这一难题。我们也必须改变我们的招聘实践,重新评估用于识别未来安全领导者的标准。我们得到的结果取决于我们优化的目标。每一天,攻击者都在花费无数小时学习新技术、逆向工程我们构建的软件,并寻找代码中的漏洞。如果我们查看安全职位的招聘启事,很容易得出结论,我们希望通过多项选择题测试和获得认证来阻止对手,而这些技能与理解代码如何工作及如何防御所需的能力完全不同。
我坚信,工程化的方法应用于网络安全是不可避免的。我们已经开始看到这一趋势的增长迹象,并且这一趋势只会加速发展。问题是我们能够多快建立起支持其发展的基础设施?历史告诉我们,整体的网络安全实践总是滞后于在 DefCon、Black Hat 等会议上提出的最新和最伟大的理念数年。我们拭目以待,看看接下来会有哪些改变行业的事件。

原文链接:

https://ventureinsecurity.net/p/the-rise-of-security-engineering

往期回顾:

[1] 不懂软件开发,做不好网络安全(一)

[2] 不懂软件开发,做不好网络安全(二)

[3] 小企业搞安全,重点是增加把控力获取安全感

[4] 大企业搞安全,重点得是开放场景下的数据安全风险

原文始发于微信公众号(兰花豆说网络安全):不懂软件开发,做不好网络安全(三)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月5日10:35:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   不懂软件开发,做不好网络安全(三)https://cn-sec.com/archives/3357060.html

发表评论

匿名网友 填写信息