写在前面
我2012年大学毕业之后的第一份工作就是应用安全相关的工作,主要负责运营推修安全漏洞,包括维护一些漏洞扫描器的检测策略等工作。
那个时候负责应用安全的团队还不叫应用安全,我记得叫产品安全方向。
但是印象中,应用安全基本上是2010年左右前后国内大甲方建安全体系的时候就是个标配团队了,也就是说大家都会设置应用安全这么个团队。
这背后其实也说明应用安全对于企业来说的重要性,毕竟所有的互联网相关业务都必须要通过软件应用来承载,来对外提供服务,所以应用安全风险对于业务的连续性、数据安全保障方面都是非常关键的。
既然应用安全的重要性这么显而易见,那是不是企业内部的应用安全部门都很吃香,地位很高,工作非常好开展?
我只能说理想很丰满,现实很骨感。
实际上在企业里开展应用安全的工作还是会遇到很多挑战的。
今天我想结合我过去的一些经验以及和行业大佬们交流的一些心得来总结一下主要有哪些方面的关键问题。
我想主要聊聊三大方面:
- 1. 如何说清楚应用安全之于公司的价值?过去很多时候,应用安全负责人去给公司管理者汇报的时候,老板们会说你们不就是天天发现一堆漏洞,然后修漏洞吗?感觉漏洞是修不完的,你们每次来汇报都是说修漏洞,听不太懂。
- 2. 应用安全运营都会遇到哪些痛点?业务部门不配合修漏洞,质疑修漏洞的价值,发现推修的漏洞是误报,然后疯狂diss,还有就是修漏洞的成本太高,躺平,等等。
- 3. 如何构建一个有效且可持续的应用安全体系?每年做规划的时候都在挠头要做一些什么新东西?有没有可能有一个有效且可持续的应用安全体系框架,能够说服管理者这是一个有远见且节奏又很清晰的治理体系,能够在这个框架之上每年合理的规划工作内容和范围,然后逐步开展建设。
这三大方面的问题我先谈谈我的核心观点,然后我也邀请了某跨境电商独角兽应用安全负责人罗棋琛大佬来一场直播深度的探讨一下这些问题。
罗棋琛有着全球化业务视野下的应用安全体系建设的丰富经验,在应用安全建设方面有着自己独到的理解和实践。
之前跟他也聊过几次,每次都有一些新的认知和收获,大家也可以期待一下我们4月12日晚19:30的直播节目。
如何说清楚应用安全之于公司的价值
因为应用安全的工作本身还是比较偏技术,而且是安全左移的性质,也就是说属于前置发现一些业务相关的软件应用存在的安全缺陷,自然是不太好说清楚对于公司的业务价值的。
而越往上的公司管理层,越关心你做的事情到底对公司的业务产生什么价值,公司肯定是希望所有的团队都把工作重心围绕核心业务的目标来开展。
所以我们其实牢牢抓住这一个核心原则,围绕公司的核心业务去挖掘他们的风险场景,并且非常重要的是把风险场景对于业务可能产生的影响用业务负责人能听懂的语言说清楚。
对于应用安全团队来说,擅长的是挖掘各种应用安全漏洞、缺陷及关联的威胁场景,而业务关心的无非是数据泄露、业务黑灰产、业务连续性风险、业务合规风险等等。
中间核心的关键是盘点清楚每个组织(部门/事业部等)有多少业务系统及对应的应用。
应用安全运营都会遇到的那些痛点
应用安全运营工作过程中所有的冲突都是来自于安全需要业务部门花时间去配合安全的工作。
这个时候核心的冲突在于三个关键点及解法:
- 1. 业务部门的同学(主要是研发同学)对于完成这些工作的价值认同。这个价值认同是两个方面的:一个方面是他自己本身对于安全价值的认同;另外一方面是从工作目标和职责的角度上来看,安全工作是否被纳入了自己的工作目标,这意味着他是不是在打黑工。所以这里本质上最关键的问题其实还是上面提到的第一个问题,就是要开始这项工作之前,应该和业务部门的管理者和研发工程师拉齐应用安全工作所带来的价值,在这个事情的基础上,将安全工作的目标纳入到业务部门的目标中去。就像安全厂商的产品要卖给企业,前提是让企业认可安全产品的价值,最后还得签订合同(相比来说就是需要业务方将安全治理的目标纳入业务部门的目标中去)。
- 2. 业务部门的研发同学对于完成这些工作的付出的成本认同。毕竟业务部门的研发同学,按时完成业务的正常开发迭代任务上线,才是工作的重中之重。而安全问题的修复本身对于研发来说,一个是安全并不是他们熟悉和擅长的技术领域,意味着处理成本特别高。另外一个就是大量的安全缺陷的处置对研发正常的迭代任务来说是巨大的负担,尤其是在当下企业降本增效的大背景下。所以,在提出安全工作要求的同时,仍然要非常考虑研发真正解决问题的成本是不是降低到能够被接受的范围内。通常最好的方式是直接给出修复操作,研发只需要确认一下操作的可行性,然后进行操作即可。如果做不到,那么就应该给出明确且具体可执行的处置方案,研发同学能够轻易被理解的处置方案,应该带有非常清晰的操作步骤。并且需要前置考虑并评估可能给业务所带来的副作用(比如程序的兼容性风险,或者是对性能的损耗等等)
- 3. 业务部门的同学对于安全给出的漏洞/缺陷/攻击场景的数据结果准确性的认同。很多时候因为企业应用系统的数量太多,而安全团队的人员是有限的,那么必须要利用工具来做一些安全漏洞/缺陷的检测。但是受限于一些检测技术的成熟度(比如白盒漏洞检测技术),会出现检测结果的误报率比较高,从而让研发同学慢慢开始丧失对安全同学的信任。这样的问题只能安全部门通过投入资源去优化检测策略或者努力降低漏洞修复的成本,以尽可能的消除误报所带来的负面影响。
如何构建一个有效且可持续的应用安全体系
因为企业的应用系统是在不断的迭代和新增的,所以应用安全一定是一个需要持续建设和迭代的工作,那么设计一个有效且可持续的应用安全体系就至关重要。
这个体系必须要回答三个核心问题:
- 1. 这个体系的逻辑必须严谨和闭环,必须要能够说清楚这套体系是能够覆盖企业所有的业务应用系统资产的安全风险;
- 2. 这个体系必须要能够按照对于公司的风险重要程度来拆解成合理的阶段性实施目标;
- 3. 这个体系必须有一套持续可量化评价的逻辑来追踪整个治理过程;
过去一个非常大的难点和痛点,是很难说清楚应用安全的全集(分母)到底是什么,以及有一套什么样的路径去对整个全集的风险进行覆盖,基本上是想到哪就干到哪,哪里痛就治哪里。
久而久之,企业的管理者会认为应用安全的负责人是缺乏对全局的掌控的,突然有一天出了一个安全事件是在之前的视野之外的,就很容易被追责,同时导致安全负责人不被信任。
而我认为解决这些问题的关键,一定是在于我们需要把企业的应用资产盘点清楚,并且把每一类应用资产的威胁场景也都说清楚。
然后根据资产和威胁的严重程度,开始划分优先级进行治理。
而 资产X威胁场景 就是整个应用安全治理的分母之所在,那么如何才能把企业的资产和对应的威胁场景说清楚呢?
这是我们聚焦到的终极核心问题,留一点悬念大家来一起思考吧,这是我过去2年一直在思考的问题。我想我很快会给出答案。
一场直播来深入探讨做好应用安全工作的一些关键
行业需要不断地交流和碰撞来获取更多的信息输入,从而一起来推动行业的进步。
4月12日晚19:30,我邀请了某跨境电商独角兽应用安全负责人罗棋琛大佬来一场直播深度的探讨做好应用安全工作的一些关键问题及最佳实践。
罗棋琛是资深网络安全专家,拥有全球化业务的应用安全体系建设经验,同时过去10年实战深耕研发安全体系,技术融合 SDL/DevSecOps/AI驱动应用安全及攻防实战等。
现任某跨境电商独角兽应用安全负责人,主导SDL全流程落地及应用安全架构落地,打造覆盖需求设计-代码审计-渗透测试-上线的自动化安全屏障。擅长推动业务与技术团队共建纵深防御体系,在安全防护与业务增长、用户体验、研发效能间实现平衡。
