DevOps 需要 DevSec

安全 DevOps 比看起来更容易的五种方法

保护企业安全的需求早已不是新闻，但在 2015 年，我们见证了对更好地解决开发环境本身安全问题的日益增长的重视。这个概念被命名为“DevSec”，它强调了这样一个事实：尽管公司多年来在传统的软件安全工具上花费了大量资金，但“内部威胁”仍然存在，而开发环境可能是所有环境中风险最高的领域之一。其后果不仅仅是黑客攻击、病毒和数据泄露：软件盗窃，换句话说就是为了经济利益窃取代码和其他资产，正日益成为一个令人担忧的问题。

软件开发环境出了名的难以用传统的安全工具进行监控，因此很难追踪安全漏洞或黑客攻击的发生者、地点或方式。虽然大多数事件可能是意外发生的，但内部员工滥用其特权访问进行恶意获利的行为仍然是一个非常真实的威胁。

这并非危言耸听的猜测：虽然没有人公开谈论问题的规模，但在行业内确实有一些已知的案例。例如，在 2014 年，一家全球最大的芯片制造商遭受了严重的知识产权盗窃，其源代码被窃。该公司花费了一年时间试图找出问题的根源，直到应用了行为分析工具，才证明了一些不法员工是罪魁祸首。

这——希望——只是一个极端例子，很难量化软件知识产权盗窃造成的全球成本，但根据卡巴斯基实验室的数据，2014 年，五分之一的制造企业报告了知识产权损失。在英国，Detica 的一份报告估计，知识产权盗窃给英国企业造成的损失超过 90 亿英镑。

DevOps 带来 DevSec

DevSec 引起关注的另一个驱动因素是 DevOps 的指数级增长。尽管这种方法有很多好处——尤其是开发和运维团队之间更好的协作可以将产品更快地推向市场——但也有担忧，即需要确保缩短的发布周期时间并不意味着安全性的降低。

无论是否涉及 DevOps，由于许多软件项目中参与者的数量庞大且多样，开发人员安全风险会加剧，使得追踪谁、在何处、如何进行操作变得越来越困难。即使是传统的安全工具，如旨在缓解“内部威胁”的特权管理访问，也难以真正了解软件开发部门正在发生什么。代码存储库通常是孤立的，虽然开发人员可能是一个团队的一部分，但他们在工作方式上常常与组织的其他部分隔离开来。

好消息是，针对 IP 威胁检测出现了一种新的解决方案，该方案通过关注贡献者如何在软件和硬件团队之间与代码和资产进行交互来解决问题。其基础是行为分析，这是目前安全防护领域最热门的领域之一。

它的工作原理是采用一种截然不同的方法来解决问题。让我们回到前面提到的全球芯片制造商遭受 IP 盗窃的例子。该公司知道软件工程师窃取了大量高价值数据，但他们无法证明案件或检测到已知嫌疑人的活动，尽管他们花了一百多万英镑与一家大型咨询服务公司合作。

使用 Helix Threat Detection 中的独特算法技术，可以对 Perforce Helix 版本控制引擎 的历史日志数据进行行为分析。这涉及到将 20,000 名软件开发者执行的 91 亿次“事件”转化为有用且可操作的数据。结果是，在不到两周的时间里，就找到了针对两名嫌疑人的确凿证据，同时还发现了另外 11 名未知开发者，他们每天复制多达 500,000 个文件。

行为分析的巧妙之处在于，它不仅能发现异常活动，还能利用其他因素来计算实际风险，从而防止公司被难以解释的安全“噪音”淹没。例如，行为分析可能会发现一名软件开发者在不寻常的时间工作，或者签出但未签回大量代码，或者访问与其角色无关的文件类型。

需要提出的五个问题

当然，任何技术的好坏都取决于其应用。在与客户和合作伙伴的合作中，以下是制定更佳的“DevSec”策略时需要提出的五个“最佳实践”问题。

1. 您最重要的 IP 资产在哪里？是什么？- 了解这些 IP 存在于何处以及正在使用哪些工具来管理 IP。许多公司在这方面都很困难，因为 IP 存在于不同的系统中会使获得单一视图变得困难。
2. 谁应该拥有访问权限？- 传统的特权管理工具有其作用，但其他工具也内置了访问控制。 版本控制工具 通常包含控制谁可以访问存储库中哪些资产的功能，这些资产可能包括源代码、CAD 图纸、支持文档、图像文件等。
3. 您是否使用了多因素认证或持续认证？- 这是基本的良好“内务管理”安全实践，虽然这些传统方法并非 100% 成功，但在尽可能多的方面设置障碍是有意义的，特别是当员工可能远程或在移动中访问资产时。
4. 能否加密静态数据和传输中的数据？- 同样，这也不是什么新鲜事，但尽可能多地加固各个方面是有意义的。
5. 是否持续监控对软件 IP 的访问？- 在行为分析工具的支持下，在安全的 SCM 存储库中实施详细的审计日志是一项良好的实践。

保护开发人员环境需要持续的警惕、采用严谨的流程和使用正确的工具。此外，符合当前“坏人总会得逞”的时代思潮，在识别内部风险方面投入的精力，应该与保护外部边界的精力相当。