本文来自微信公众号“GoUpSec”。
与应用安全相比,产品安全的“全域安全”方法变得越来越受欢迎。
无论是所谓的“安全左移”、“内生安全”还是“设计安全”,当今最具前瞻性思维的企业都明白,需要站在业务和产品的整个生命周期的高度考虑安全性问题,而不是仅仅局限于单个应用程序。为此,越来越多的企业正在通过产品安全团队和首席产品安全官(CPSO)来推动这一变革。
产品安全远远超出应用安全以软件测试为主的范畴,扩展到安全意识宣传、业务团队协作、设计思维、威胁建模、架构规划甚至企业风险管理领域。Appdome首席产品官ChrisRoeckl指出:“通过积极参与产品开发的每个阶段,产品安全团队能将安全要素嵌入到软件的设计、架构、编码、测试以及生产环境发布;这种主动方法是一种良性循环,可以最大限度地降低漏洞风险,并确保网络安全成为企业产品不可或缺的重要元素。”
如果方法得当,产品安全将成为CISO兑现DevSecOps倡导者多年来所作承诺的重要杠杆。
应用安全和产品安全有何不同?
虽然应用安全和产品安全都有一个共同的目标——帮助企业发布和维护安全的软件,但二者在实现这一目标中所扮演的角色是不同的。应用安全真正关注的是测试、验证和工具链,而产品安全则涵盖整个SDLC的业务规则,包括软件开发中薄弱的“人的因素”。
此外,虽然应用安全团队会深入研究并强化每个应用程序,但产品安全能从全局、端到端角度审视有助于确保产品的“全域安全”。换而言之,产品安全是应用安全的延伸。应用安全专注于保护单个软件应用程序的代码和功能,而产品安全则对产品进行整体审视,考虑的维度和场景(环境)更多,包括各组件之间的通信可能存在的潜在攻击媒介。
简而言之,产品安全需要考虑的环境要素包括大量应用程序、硬件组件和相关服务,以及所有这些要素部署在一起时的安全状况。
对于有些企业来说,产品安全可能更多关注的是外部客户,但也有企业认为后端财务或人力资源等内部系统和项目也属于产品安全保护的范围。无论哪种方式,产品安全的前景都更加广阔和全面,软件开发公司EPAMSystems的首席信息安全官SamRehman认为:“产品安全的范围更广,包括运营和技术控制、整体环境、客户身份以及检测和响应服务中潜在问题的机制。”
黑莓产品安全副总裁ChristineGadsby用一个形象的比喻来帮助理解应用安全和产品安全的区别:如果将应用程序比喻为蛋糕,那么应用安全就是在将一块蛋糕提供给某人之前的俺安全检查,以确保蛋糕看起来安全并且没有污染物。产品安全则是指改进面包店制作蛋糕的方式及其使用的工具,以确保每个蛋糕都是安全且味道鲜美的。“产品安全更多的是一种‘全局’方法——从原料到成品的整个烘焙过程的每一步都采取正确的行动和流程,以确保蛋糕的成分稳定,风味能够满足客户的要求。
产品安全正在迅速崛起
产品安全(人员)进入企业组织结构图的事实并不是对传统应用安全测试的否定。事实上,越来越多的企业技术负责人认识到应用程序并非在真空中运行,在应用安全之外,企业还需要一个产品安全团队来帮助观察各应用程序之间安全差距。产品安全团队的成员还充当安全宣贯者,帮助将安全基础知识灌输到开发流程和“软件工厂”中。
API安全测试公司StackHawk的联合创始人兼首席安全官ScottGerlach表示,产品安全的出现类似于DevOps运动早期引入的站点可靠性工程:“随着软件交付速度越来越快,从开始到交付的整个过程中都需要将可靠性融入到产品中。如今,应用安全团队在开发过程中与软件的交互通常很少,而产品安全团队则能参与到整个产品生命周期中,从产品启动到发布进行整合,可以实现更快、更安全的产品交付周期,让安全尽早融入产品。”
产品安全也不是应用安全的替代品。EPAM的Rehman认为,在协调良好的产品安全框架内,应用安全在保护软件安全方面将继续发挥重要作用:“产品安全依赖应用安全来减少和修复应用程序中的漏洞,以此为基础,其他产品安全措施才能确保高标准的产品安全。”
产品安全可以促进安全文化
产品安全在实施安全设计原则中发挥着关键作用。Rehman表示,产品安全团队全面参与产品或服务的设计阶段,这种参与延伸到产品策略和控制,而这些策略和控制会深入根植到到产品的架构和功能中。
帮助定义产品策略只是开始,因为产品安全是工程和开发、业务利益相关者和安全领导之间协作的催化剂。企业经常让产品安全团队充当变革推动者,在企业范围推动难以捉摸但又至关重要的安全文化。
黑莓产品安全副总裁ChristineGadsby表示:“产品安全团队可以帮助企业创建一种安全意识文化,让每个人都了解并通过定期交流最新安全知识、成功经验和挑战来提高员工日常工作中的安全意识。产品安全团队可以制定明确的指导方针和标准,提供资源来教育员工最佳安全实践,并与开发团队合作将安全性集成到软件开发生命周期中。”
虽然产品安全做了相当多的宣传和政策制订工作,但优秀的产品安全团队不满足于提(安全)要求,SynopsysIntegrityGroup副首席安全顾问JamieBoote表示,产品安全团队还应该帮助减少(安全与业务的)摩擦。
一种可能阻碍企业安全文化的摩擦是认知摩擦,即理解和解决安全问题所需的脑力劳动,产品安全团队可以通过提供培训、可重用的解决方案以及其他团队可以轻松适应和使用的安全设计组件来减少开发人员、架构师、工程师和其他利益相关者所经历的认知摩擦。”
谁来负责产品安全?
企业需要在产品安全团队中安排合适的人选并建立相应的汇报机制来推动变革。优秀的产品安全专业人员需要同时具备熟练的技术和软技能,以便推动其他团队的协作,不善言辞的技术大咖显然并非理想人选。同样,产品安全团队还需要一位对业务和工程都有深刻理解的负责人。Rehman表示:“为了推动有效的产品安全,企业必须任命一位同时具备扎实的产品知识和深厚的安全专业知识的人员。”
根据不同的企业需求和文化,产品安全团队的汇报对象会有很大差异。如果产品安全团队是围绕产品开发搭建的,那么他们可能会嵌入到工程或产品部门中。产品安全团队最常见的直接汇报渠道通常是CISO、CTO、CIO、副总裁或安全总监。但也有一些团队可能会根据监管或法律风险向法律或合规部门报告。
Rehman表示,“如果安全安全团队技术能出色且稳健,建议直接向CISO报告,确保产品安全工作与公司安全战略保持一致,并确保在所有产品和服务中始终如一地实施安全措施。”