新思科技BSIMM会帮助我们找到软件安全中的银弹吗?

如果我们持续关注2021年的软件安全领域,我们会在其中发现一系列的变化:云计算应用程序和运营环境以及开源正越来越受到网络攻击者的关注;而开发人员一直在使用新的基础设施即代码环境来构建应用程序,这在安全性方面留下了重大漏洞。为了在软件开发过程中提高安全性,安全团队必须在建立整体安全观的同时,还要在开发团队中调整自己的发展方向以增强协作。

但安全团队解决了这些问题就足够了吗?答案可能依然是否定的,原因在于越来越多的软件安全问题还在路上。曾经,软件的问题集中在设计层,布鲁克斯博士将问题归结为:没有银弹。而现在,软件安全领域同样需要一颗“银弹”。

BSIMM的故事

软件开发的银弹在于寻找到在业务需求和计算机技术中的一个平衡点,而软件安全则要复杂得多,因为它始终处于动态变化之中。因此,带领我们寻找软件安全“银弹”的路一定也是动态的,这样就不妨让我们来听听BSIMM的故事。

  新思科技软件质量与安全部门高级安全架构师杨国梁

  2008年,新思科技公司访谈了9家比较有代表性、安全做得好的大公司,其中就包括了谷歌、微软这样的公司。然后,以它们为蓝本,构建了一个安全性的模型。

新思科技软件质量与安全部门高级安全架构师杨国梁这样介绍了BSIMM的缘起:“从2008年的第一版起,BSIMM报告就完整地考虑了整个软件安全计划的方方面面,创建了以企业实际活动为基础的描述性模型,本质上是一个基于纯粹的科学观测的结果,而不是像其他的一些模型是基于专家经验的。值得注意的是,这个模型定期收集数据以保持数据新鲜度,我们会移除超过42个月没有评估的公司的评估数据。”

十多年过去,新思科技公司一直坚持在做这件事,所以这个模型不断得到丰富。到了今天,BSIMM已经进化到第12个版本,参与评估的企业也增加到了分布于各个行业的128家。新思科技还为BSIMM创建了一个社区,分享每年的最新发现。BSIMM是公开免费的报告,越来越多软件安全领域的先行者采用了BSIMM报告,做为改进自己软件安全的标尺。

杨国梁强调:“很多安全团队可能会问BSIMM如何帮助他们达成安全相关的目标,包括保证供应链上下游的安全目标、向监管机构展示等行为。那么我要说,针对这些问题,BSIMM是一个能够很好为企业安全领域背书的评估模型。”

眼下,数字化转型已成为多数企业的必答题,同时各类与信息安全相关的法律法规也不断出台,而BSIMM12不仅便于我们观察软件安全领域先进公司的安全策略,也能让我们找出与行业安全水平的差距,从而做出相应的改善。因此对于准备启动软件安全计划的企业来说,它完全可以被当做安全计划的基础。

 我们面临的共同挑战

在每一版的BSIMM中,都会通过对于软件安全领域的洞察,列举出软件安全活动的新兴趋势。在BSIMM 12中同样给出了类似的趋势,这些趋势的实质就是大多数安全团队当前所面临的共同挑战。

影响广泛的勒索软件和软件供应链中断促使软件安全日益受到关注

2021年5月,在美国最大的成品油管道运营商Colonial Pipeline遭到勒索软件网络攻击而暂停运营后,美国政府随即宣布进入紧急状态。一时间,“勒索软件”和“供应链攻击”同时成为两个热词,影响广泛的勒索软件和软件供应链中断促使软件安全日益受到关注。在BSIMM12版本里面,可以看到很多企业对此已采取了一系列行动。

企业正在学习如何将风险转化为数据

在企业内部,数据可视化在几年前就已开始成为一种趋势。而针对安全领域,人们也开始把面临的安全风险转化为一些数据的方式来呈现。杨国梁对此表示:“这个趋势非常重要,因为风险可视化将有助于安全团队从内部获得资源,让自己的工作成果得到证明。”

 增强的云安全功能

云计算技术本身正在发生重大变化,这使得云转型变得非常流行。而无论是在公有云还是在私有云之上,针对云本身的安全功能正在持续获得补强,云容器编排、容器安全管理等能力都顺应这个趋势,不断增强。

安全团队正在为DevOps实践提供资源、人员和知识

在这个趋势影响之下,安全团队不再只是做传统的集中管控、合规管理工作,而是在开发团队、DevOps团队被赋予新的角色,所以安全团队必须开始给DevOps团队提供技术支撑、知识输出、资源,甚至出借一些人员来帮助 DevOps团队更好地在第一时间和工程层面解决安全问题。

针对这些趋势,杨国梁表示:“BSIMM的评估报告确实更像是一把标尺,可以衡量使用者的安全活动和行业平均安全活动的差异。应对这些安全趋势,一些先行公司已采取了大量行动,使用者可以在制定新安全计划中参考这些数据。同时我必须强调一个趋势,这就是软件物料清单的关注度正在提升。以往大家比较熟悉BOM物料清单,现在供应链攻击让Software BOM(SBOM)概念,在软件行业中变得极其重要。软件厂商必须要对供应商提供的代码进行盘点和相应的安全管理。”

数据显示,在BSIMM 12中,针对“通过运营物料清单增强应用库存盘点”的活动增长了367%,软件行业从整体上来看已经在这一领域进入了一个新的发展阶段。事实上,应对这些趋势,安全团队正面临更多挑战,从拥抱数字化转型及云技术、接受DevSecOps、为工程团队及AppSec团队搭建桥梁,到向“无处不移”转变、实现大规模工作的可视性和管理供应链风险,安全管理团队确实正在面临更多挑战,并且这些挑战还会随技术的变化而愈来愈多。挑战面前,安全管理团队也就越发需要BSIMM这样的标尺和睛雨表。

杨国梁表示:“在今年完成对Code Dx的收购之后,新思科技已经完成了一个比较完整的安全服务拼图,从安全测试、安全计划到各个环节的工具,我们都有完全的覆盖,并且在调用这些工具的时候,我们有相应的Intelligent Orchestration平台,能够把从流程导向的一些传统安全活动,逐渐转变为从风险导向的活动。我们提供完整的安全解决方案。与用户的安全团队一起接受这些挑战。”

BSIMM的口径

在严峻的软件安全形势面前,BSIMM这样的标尺无疑是用户所需要的,但什么样的用户最适合它呢?杨国梁对此做了进一步的解释。

他说:“BSIMM评估不挑行业,从参与评估的企业来看,各个行业的企业都可以从中受益。BSIMM12里面一共有122个安全活动,但如果我们从得分情况去分析,会发现很多主流企业在某项的得分并不高,这实际上就表明并不是所有的企业都是奔着满分去的,某些安全活动对这些企业非常有价值和意义,而另一些活动是某些企业所不需要的。开展BSIMM评估,需要的先决条件,是要有一个专职的安全团队来评估生产过程中的安全模型。中小企业开展评估有困难,更多是受限于专职安全评估团队。”

实际上,虽然大量欧美企业参与到BSIMM评估中,但由于从全球范围来看,企业都会面临同样的安全威胁,所以BSIMM对于国内企业一样有价值。

以开源软件的使用为例,由于开源已被列入了十四五规划,成为一个国家战略方向,所以各类应用软件中将更多包含开源组件。对此,杨国梁认为:“在BSIMM12中,维护所有软件资产的当前视图已变成了一项流行的活动。从维护软件资产视图的角度来考虑,开源和第三方组件构成了用户的产品,所以一定要把它们纳入到整个供应链体系中进行治理,这样就可以避开其中的私有权限风险、安全漏洞。”

如此看来,BSIMM显然带领我们在寻找软件安全银弹的旅途中,又进了一大步。

via 比特财经
分享到QQ 分享到微信 分享到微博

0 条评论

友情链接