RSAC 2019 | DevSecOps实施中的文化融合与能力构建
DevSecOps作为安全领域中逐渐步入成熟期的技术体系,本质上承继了安全开发生命周期(SDL)安全关口左移的理念,DevSecOps总结起来就是:能力集成,持续学习,文化融合。其中“融合”这一理念也体现在了今年RSAC DevSecOps day的主题上-“DevOps Connect”,通过CI/CD(持续集成/持续交付)并有效度量,实现效率提升。
DevSecOps作为安全领域中逐渐步入成熟期的技术体系,本质上承继了安全开发生命周期(SDL)安全关口左移的理念,DevSecOps总结起来就是:能力集成,持续学习,文化融合。其中“融合”这一理念也体现在了今年RSAC DevSecOps day的主题上-“DevOps Connect”,通过CI/CD(持续集成/持续交付)并有效度量,实现效率提升。
历年听来,RSAC主题演讲的选题大都颇费心思,在信息泛滥的今天,内容即使干货满满,也仍要让题目足够新鲜有趣,对听众产生启发并长远思考。本次大会开幕日的前三个主题演讲分别是
在2019 RSAC上,笔者发现了云安全方面有一些变化的趋势,与大家分享。分两部分,第一部分是第一天的CSA(Cloud Security Alliance)高峰论坛,第二部分是展会和session的见闻。
随着云大物移的发展,应用的形态与需求正在经历变革,笔者认为接下来应用安全的趋势在于一技一道, 技术发展持续的围绕API理念创新, 方案、产品及服务的设计理论继续逐步迈向DevOPS,接下来行文一篇,愚做以解析。
在2019年的RSA大会上,来自Freddy Dezeure公司的CEO Freddy Dezeure和MITRE组织的网络威胁情报首席战略官Rich Struse在《ATT&CK in Practice A Primer to Improve Your Cyber Defense》中介绍了如何利用ATT&CK模型开始建立和提升自己的防御体系;来自Carbon Black公司的高级威胁研究员Jared Myers在《How to Evolve Threat Hunting by Using the MITRE ATT&CK Framework》中介绍了如何用ATT&CK模型进行威胁捕获。
本届RSA出现少有的中国面孔,来自中国阿里安全的高级算法工程师Tao Zhou在RSA会议上以“互联网巨头公司在安全数据分析中面临的挑战”作为引子展开了如何在海量大数据背景下运用统计学习方法进行入侵检测的演讲,给出了很多建设性的看法。
2019年3月4日,每年一度的RSA信息安全大会在北美如期举行,各界网络安全专业人士齐聚旧金山,其“better”主题词更展示出信息安全领域不断提升自我能力,寻求最优解决方案的美好愿望。今年的议题仍旧涵盖范围广泛,在众多议题当中,机器学习及AI在信息安全领域的应用仍然作为一个热门专题,广受关注。其中在“利用机器学习提升安全预判的准确性”的相关议题中,微软的资深专家Bugra Karabey分享的如何把机器学习作为分析工具在安全攻击分析中的应用切中目前机器学习在安全分析中主要发展方向,他们提出的一个场景“如何使用主成分分析聚类识别安全事件模式”引起我们的关注。
本届RSA大会“合规与风险治理”专题中大部分聚焦于网络安全风险的量化以及相关的实践案例,如Palo Alto Networks公司的Rich Howard 演讲《Superforecasting II: Risk Assessment Prognostication in the 21st century》,阐述了如何将半定量的风险评估转变为更深入的准确量化风险评估;《Math is Hard: Compliance to Continuous Risk Management》中分享构建量化风险管理的整个流程;另外在《NIST Cybersecurity Framework and PCI DSS》中介绍了PCI-DSS标准在CSF框架中的实践情况,指出标准至CSF的复杂映射关系的问题。
3.4日下午举行了RSAC创新沙盒决赛,最终比赛TOP2是Axonius和Duality,获得2019最有创新力的创业公司是Axonius。
Arkose Labs的欺诈防御方法技术已经应该到多个产品中,帮助用户解决网络欺诈难题,避免每年上百万的经济损失。该公司的产品的第一点技术创新在于人机识别技术,第二点技术创新是动态识别,Arkose Labs更注重的是在线提供一种不影响用户体验的服务,这从用户使用角度来说是一个很好的方法。
随着技术不断更新换代,软件开发生命周期逐渐缩短,在这个特殊阶段,DevOps应运而生成为了开发和运营的新组合模式。一方面通过自动化流程可使得软件构建、测试、发布变得更加快捷可靠,另一方面也减去了很多重复性的工作,降低了时间成本。与此同时,软件安全问题也同时得到了重视,那么如何将安全有效融入DevOps环境中成为了目前很多厂商难以解决的问题。 ShiftLeft将SAST、IAST、RASP融入其产品中,利用CPG技术让漏洞检测的检出率和误报率均得到了有效提升并且从漏洞检测、静态防护、运行时防护、自定制查询漏洞等多方面对软件开发生命周期进行安全防护从而实现了DevSecOps的落地,给大部分用户带来了收益。
国外安全研究员@elad_shamir在2019年一月底发表了一篇名为”Wagging the Dog: Abusing Resource-Based Constrained Delegation to Attack Active Directory”的文章,不同于以往利用无约束委派以及传统约束委派攻击,首次提出并详细介绍利用基于资源的约束委派进行活动目录攻击的方式。文中详细解释了该攻击发现过程,对协议的分析以及攻击原理,并给出不同场景下基于此攻击进行的远程代码执行,本地权限提升等操作。