富创造力的首席信息安全官员和首席信息官员如何创新和转变其安全计划

这篇文章的一个版本出现在 Devops.com；它已重新命名和更新以包括新信息。

尽管首席信息安全官和首席信息官在软件安全方面承担最大责任的地位并不令人羡慕，尤其是在发生令人尴尬的公司数据泄露的情况下，但他们也获得了越来越重要的难得机会：他们是新的创新者，他们可以通过正确的方法产生巨大的影响力。地球上的每个组织，无论是公共组织还是商业组织，都在努力在快速数字化的世界中保留（并获得）其市场空间。客户期望过去和未来的产品都能获得无缝的在线体验，“数字优先” 的业务方法已成为强制性的。毕竟，如果这些期望得不到满足，几乎可以肯定会有竞争对手准备抓住机会。

那么，这对现代首席信息安全官或首席信息官意味着什么呢？当然，这意味着他们正在雇用开发人员团队，每人创建一行又一行代码，形成他们的数字产品或服务。网络安全虽然多年来一直是主要考虑因素，但随着越来越多的业务运营在网络上进行并在攻击者的视线下进行，网络安全是一个越来越大的风险因素。漏洞的影响是巨大的，但选择退出数字化不是一种选择。

富有创造力的首席信息安全官和首席信息官处于最佳地位，可以与他们的AppSec和开发团队一起继续开辟我们的数字未来之路。毫无疑问，它们将塑造在线商业、政府和公共服务的长期创新，但他们肩负着平衡快速上市速度目标和高软件质量的重大责任 和 减轻安全风险。

迄今为止，很难实现这种平衡。这导致开发团队往往支离破碎，他们普遍将重点放在提供特性和功能上，而没有考虑他们可能在如此迅速地产生的代码中造成的漏洞。AppSec专家不断修复同样的错误，而相对简单的后门被打开所带来的漏洞威胁隐约可见。

如果要确保我们的数据安全，首席信息安全官和首席信息官需要在团队合作方式上发挥创意，并从上至下营造积极安全和共同责任的文化。看看他们面临的灾难性后果 万豪酒店 由于他们在2018年的违规行为：GDPR被处以超过1.23亿美元的罚款，超过5亿条记录被盗，安全声誉破灭。这场灾难在很大程度上是由不安全的编码做法直接造成的， 早在 2014 年就在喜达屋服务器上发现了 SQL 注入漏洞，万豪于2016年收购了这家公司。从应用程序安全的角度来看，他们随后对该软件的使用显然不受控制。这使恶意攻击者有多年时间访问和获取数据，而其他漏洞，例如弱密码，随着时间的推移，留下了更多漏洞可供利用。

首席信息官和首席信息安全官需要非常仔细地考虑他们自己的软件安全环境的状况。普通开发人员的安全意识如何？AppSec 和开发团队的合作情况如何？没有 “魔杖” 的解决办法，但是文化、培训和支持是可以改进的。开发小组 能够 从组织中的第一线数据泄露风险转变为在恶意代码投入生产之前将其阻止的安全超级英雄。

安全编码健康检查：你有生命支持吗？

你自己的开发团队适合哪里？我创建了这份安全编码清单，以帮助首席信息官和首席信息安全官确定他们的开发团队是否真正有能力成为安全编码倡导者，通过更快、更好、更安全的代码来帮助创新（或者说你是否需要彻底改革安全计划）：

1。你的其他高管的支持程度如何？他们是否知道传统的网络安全已经不够了？

在软件的未来，使用过时的安全措施保护网络层根本不够好（而且，让我们面对现实吧，无论如何都很少成功），即使是对付半专业的黑客也是如此。在众多一致的报告中, 威瑞森的 “2017年数据泄露调查报告”“指出，当今惊人的35％的数据泄露是由网络应用程序漏洞造成的。

Web 应用程序安全与网络安全同样重要；忽视这一点，不为AppSec措施制定预算和灌输基本的保护层，可能会使您真正面临漏洞。

2。你向左移动的距离够远吗？你这样做的还够早吗？

当前的应用程序安全方法使用大量工具，侧重于在软件开发生命周期 (SDLC) 中从右向左移动。从定义和设计上讲，这承认了该过程存在缺陷，并支持了检测和反应结果。安全团队正在搜索和检测已经编写的代码中的漏洞，做出反应以修复已提交的代码，而不是确保其在编写时没有错误。根据国家标准与技术研究所（NIST），它是 检测和修复已提交代码中的漏洞的成本要高出 30 倍 而不是防止它们是在 IDE 中编写的。这甚至没有考虑到生产延迟、双重处理以及一遍又一遍地修复同样众所周知的安全问题所花费的时间。

真正强大的安全文化坚持 开始 左，激励开发人员群体中的安全倡导者，同时为开发团队提供正确的工具和培训，让他们以安全的编程思维成长和行动。他们注重持续的自我发展，发挥他们解决问题的能力，这样他们就可以成为组织中的第一道防线，从一开始就防止常见漏洞的发生。

3.你是在努力培养实用的安全技能，还是只是在提供单向知识？

绝大多数安全培训解决方案（在线和CBT）都侧重于知识积累，而不是与工作直接相关的实用技能。为了让开发人员蓬勃发展并参与编写安全代码，他们需要定期获得情境式的动手学习，以积极鼓励他们在真实环境中继续培训和发展技能。他们需要通过真实的代码示例来了解最近发现的漏洞，并能够使用自己的首选语言和框架工作。这种学习经历可以有效地帮助他们了解如何定位、识别和修复他们在工作过程中正在积极开发的代码中的已知漏洞。

尽管那里有许多知识渊博的教师，而且有关修复安全漏洞的信息也很多，但翻阅教科书或观看数小时的视频无法吸引许多富有创造力、能解决问题的开发人员的注意力，如果源源不断的数据泄露可以作为任何迹象的话，在防止漏洞输入代码方面基本上仍然无效。

4。您是否在用实时指标来衡量自己的安全编码技能？

确保开发团队建立安全第一思维模式的关键步骤是收集和审查证据。这不应该是一个假设或猜谜游戏：开发者要么具有安全意识，要么不是。

Metrics 旨在向开发人员及其组织证明他们的辛勤工作正在得到回报，他们的个人安全编码技能正在提高。你无法改善你无法衡量的东西。应该进行相关的评估，这些评估应有助于实时确定开发团队的进度，并对他们的安全编码优势和劣势进行基准测试，以实现持续改进。

对于组织来说，安全培训常常成为一项 “开箱即用” 的活动，并不着重确保这种培训的有效性、参与度甚至保留。

5。您的外包供应商是否使用强大的安全编码技术？

许多组织决定将开发工作外包给第三方机构。无论他们存在于海上还是海上，他们的一般安全编码能力和实践对他们的客户来说都是相对神秘的。在最好的情况下，组织获得的与安全有关的唯一保证形式是合同中要求交付物 “安全” 的声明。很少有公司采取措施来预先验证这些开发公司的技能，因此有可能交付的软件可以按简要说明运行，但是在没有遵循健全的安全编码实践的情况下构建的。更糟糕的是，如果采购公司不知道应用程序中存在任何固有的安全漏洞，就有可能将易受攻击的软件泄露出去。

最常见的情况是，任何漏洞都会被专门的安全专家（难以找到且成本高昂的个人）发现，你面临着上线日期的延迟，还可能就谁需要为修复这些安全漏洞付出代价进行合同讨论。但是，如果你事先聪明，评估准备构建下一个应用程序的开发人员的应用程序安全技能，则可以节省大量潜在的延迟、挫折感和现金。

6。您的开发人员知道最常被利用的安全漏洞吗？

超过85％的被利用的Web应用程序漏洞仅归因于10个已知漏洞” OWASP 前 10 名。您的应用程序安全培训至少必须涵盖这些漏洞类型，此外还必须涵盖更多漏洞类型。开发人员面临的培训挑战必须定期修订和更新，新的编码框架或新的漏洞类型都会面临新的挑战。

使用现实世界中的安全编码场景进行精确训练应该是标准；模糊的常识根本无效。（想知道这些安全编码场景会是什么样子吗？看看我们的 程序员征服安全 博客系列；每篇文章中都有可玩的挑战）。

7。你有内部安全卫士吗？

每个以开发人员为主的组织都应该投资一位安全倡导者，他将负责维护开发团队内部的高安全标准。他们的目的是成为任何有安全问题的人的支持联系点，并成为遵循安全最佳实践的主要倡导者。

他们是安全文化拼图的重要组成部分；优秀的安全卫士可以保持强化训练的势头，确保团队所有成员都有所需的东西，并继续倡导支持。

8。您是否投资了让开发人员更轻松地进行安全编码的工具？

如果你的组织是实行敏捷开发的组织，或者确实面临着公司构建的应用程序的频繁更新，那么自动化部分安全措施是跟上疯狂工作节奏和数量的唯一方法之一。

SDLC的每个阶段都有可用作顾问、质量守门人或检测工具的工具。此外，一些工具会对代码进行自动测试，模拟软件投入生产后企图进行黑客攻击。它们都有自己的一系列优点和挑战，没有人能提供一揽子的，百分之百保证应用程序中不存在安全威胁。您可以采用的首要预防措施是，越早发现漏洞，在对业务影响最小的情况下进行补救的速度越快、成本越低。

具有前瞻性思维的首席信息安全官的下一步

那么，您的组织在上述清单上的表现如何？

尽管首席信息安全官和首席信息官基本上被迫积极建立其企业DevOps和DecSecOps能力，但这并不意味着没有时间考虑和实施正确的工具和跨团队培训。安全编码技能将成为 “创新的武器”，“不是阻碍” 创新的武器，而放弃它们可能意味着对公司声誉和数据的绝对破坏。这些技能代表了关键能力，也是减少漏洞和降低风险的便宜得多的长期解决方案。

才华横溢、富有创新精神的首席信息安全官有能力自上而下协调健康的安全文化；确保您的员工拥有有效执行安全最佳实践所需的条件。

Pieter Danhieux 是一位安全专家，也是该公司的联合创始人 安全代码勇士。