x

【安全运营】大规模的威胁模型:如何从策略转向执行

Chinese, Simplified
SEO Title
Threat model at scale: How to go from policy to execution

每个组织都希望具备网络弹性。大多数团队使用横向软件开发生命周期(SDLC)思维模式(如安全要求,威胁建模,代码扫描程序等)自下而上地解决问题。不幸的是,尽管这些方法很有用,但它们并不能很好地扩展。

利益相关者不知道围绕安全要求要求什么,威胁建模是不一致的 - 取决于建模和代码扫描程序错过50%或更多安全问题的团队。但是有更好的方法。

专注于您的垂直管道 - 从标准和知名行业框架生成的安全策略到SDLC启动的过程。策略提供了一个指导SDLC的护栏,以便您建立安全性。

由于管道本质上是垂直的,因此在SDLC中完成的任何工作都会自动汇总到更高级别,从而使您可以近乎实时地了解应用程序组合的安全状况。

以下是如何以独立于平台的方式创建策略到执行管道。

解决政策与执行之间的差距


在一个专注于安全性的典型企业中,您通常会看到三组人:

  1. 安全团队,专注于应用程序和操作安全性,供应商风险管理,威胁监控和培训
  2. 风险和合规团队,专注于处理隐私,审计和策略创建的合规生命周期
  3. IT团队(包括开发和运营)专注于与敏捷,DevOps和混合基础架构管理相关的活动

The policy-to-procedure gap

图1.安全性与创建策略的风险和合规性团队以及必须执行这些策略的IT团队之间经常存在策略到程序的差距。

安全性以及风险和合规性团队根据ISO-27001等标准制定策略,并将这些策略交给IT团队,假设IT可以针对他们执行。

但大多数IT团队并不了解如何解释这种高级抽象政策。它们习惯于处理与缓存,身份和访问管理相关的过程。

因此,根本的挑战是将抽象的高级策略转换为IT团队可以执行的事项。这是政策与执行之间的差距。

使用集成流程实现策略到执行


每个团队都有自己的流程和工作流程。安全团队有自己的流程专注于持续的安全管理。同样,风险和合规团队拥有持续的风险和合规性管理工作流程,技术团队拥有DevOps管道。

Process disconnect between security, risk and compliance and technical teams

图2.安全性与风险和合规性团队(左)和技术团队(右)创建的流程之间经常存在脱节。

Integrating processes across groups

图3.在安全性,风险和合规性团队以及技术团队之间架起不同的流程需要创建对所有方面都有意义的通用标准。
面临的挑战是将每个不同的流程整合到对风险管理有意义的业务中。实现这一目标的方法是从生成安全标准的安全团队开始。

在安全标准中,您有几个子句。这些条款然后进入另外两个工作流程:

  1. 技术团队,其中安全控制由标准中的条款生成
  2. 风险和合规团队,根据风险来衡量这些条款,以确定哪些条款具有更高的优先级


当技术团队执行日常活动时,他们的工作结果就是确认政策是否得到满足。您可以通过将安全控件映射到预定义的应用程序体系结构来实现此证明。映射到体系结构而不是单个应用程序的原因是为了减少为每个应用程序复制一组接受的控件的开销。

集成工具


这一切都始于对业务风险的评估。通过该评估,您可以确定安全业务需求,从而进入使用建模工具捕获的体系结构或服务定义。

然后,此体系结构将进行威胁建模活动,其结果将进入与DevOps管道集成的业务安全需求存储库。在管道中,您将集成应用程序生命周期管理(ALM)工具,构建工具和静态/动态分析测试工具。构建成功后,工件将移动到包含配置文件,代码文件和脚本的存储库中。

在构建存储库中,您将部署执行到测试环境中,该测试环境使用功能和非功能测试工具来解决质量问题。如果发现错误,它将被推回到您的ALM,DevOps管道再次启动。如果一切都过去了,管道的下一个阶段将返回到存储库并部署到您的预生产和生产环境中,您可以在其中进行真正的用户测试。

但是如果有任何错误,它会在测试环境中重新测试。最后,如果在测试中确认了失败,则必须在DevOps管道开始时返回并启动它。

构建生产后,SecOps工具会监视生产环境。如果发现任何漏洞,它们将再次返回到您的DevOps管道中,并根据需要修改安全策略。这创建了一个完整的循环,从业务风险管理一直到您的DevOps管道,并带有持续改进的反馈循环。

[另请参阅:为什么以及如何使用Jenkins将管道实现为代码]

关注相关指标


考虑对业务最有意义的领域。在Info-Tech Research Group的研究中,我们发现了三个:

  1. 弹性:哪些指标会显示您可以在发生违规时快速恢复的业务?
  2. 风险和合规性:哪些指标会显示您符合标准或法规?
  3. 速度:哪些指标会显示您在保持安全的同时不会妨碍业务?

以下是一些需要考虑的指标:

  1. 是时候修补漏洞了
  2. 大多数代码区域已更改
  3. 部署频率
  4. 改变失败率
  5. 应用性能

一步一步


总之,您需要了解三件事。 首先,高层政策与执行之间存在根本差距。 其次,解决这一差距需要整合安全性,风险和技术工作流程。 第三,不要试图一次性完成这一切。 从最容易注入安全性的地方开始,然后从那里开始构建。

最终,您的目标是建立一种价值安全的文化,因为它降低了业务风险,并且不会妨碍其需求。 正如需要通过DevOps集成开发和运营活动一样,您现在需要集成安全和风险团队。

想知道更多? 来参加我的SecureGuild在线安全测试会议,我将从威胁建模的角度详细介绍如何创建垂直管道。 会议从5月20日到21日举行。不能成功吗? 活动结束后,注册人可以完全访问所有演示文稿。

原文:https://techbeacon.com/security/threat-model-scale-how-go-policy-execution

本文:

讨论:请加入知识星球或者小红圈【首席架构师圈】

Tags

Article
知识星球
 
微信公众号
 
视频号