信息行业可以从黑客那里借鉴的

信息行业可以从黑客那里借鉴的

作者兼高级首席工程师 Kelly Shortridge 认为,攻击者具有使他们具有韧性的优势。以下是 IT 可以采取的应对措施。

Kelly Shortridge 在 Black Hat 大会上发言/照片,由 Loraine Lawson 提供

黑客拥有哪些技能,您的 IT 部门可能没有这么充足?根据《Security Chaos Engineering: Sustaining Resilience in Software and Systems》一书的作者,以及担任 Fastly 首席技术官(CTO 办公室)高级首席工程师的 Kelly Shortridge 的说法,答案是韧性。

本月,Shortridge 在 Black Hat 大会上谈到了 IT 安全专业人员可以从攻击者那里学到的东西。具体来说,她指出:

  • 击者拥有更快的操作节奏;
  • 击者设计、开发和操作机制,以胜过IT;
  • 击者研究系统中的互联和交互;
  • 击者拥有更具体和可行的成功指标。

她在演讲中表示:“所有这些都反映了韧性的基础:即准备、从不利事件中恢复并适应的能力。”

她探讨了如何将韧性应用于 IT 团队,以抵御黑客的攻击并在面对攻击时提高 IT 自身的韧性。在这篇文章中,我们将看看 Shortridge 提出的两个建议:

  1. 利用基础设施即代码(Infrastructure as Code,IaC);
  2. 通过持续集成/持续开发(Continuous Integration/Continuous Development,CI/CD)流水线自动化安全。

使用 IaC 以更快的速度工作

Shortridge 表示,面对逆境,攻击者会迅速调整策略,快速演化他们的方法。她认为,IT 安全可以通过采用现代软件工程方法来加快自己的操作节奏。例如,开发人员和 IT 应该使用配置即代码,她定义为通过标记声明配置而不是手动过程的实践。同样,IT 安全应该利用基础设施即代码(IaC),即通过声明性规范来创建和管理基础设施。

她说:“IaC 的实践,您可以将其视为使用与源代码相同的过程,但不是生成相同的应用程序二进制文件,而是每次生成相同的环境;这会创建更可靠和可预测的服务。”她补充道:“组织已经在使用 IaC 生成审计跟踪,这绝对仍然支持安全,因为它使过程更可重复,这意味着减少了错误。”

IaC 还能在添加“新内容”时删除“旧内容”,她说。“您可以将其视为知道如何撤消旧配置的所有部分。”它提供了更快的事件响应,因为它允许您在检测到攻击或有攻击指示时自动重新部署基础设施。

她还提到了 IaC 的另一个好处:它可以减少配置错误。“我们喜欢的防御者,国家安全局,已经强调了配置错误作为最令人担忧的云漏洞,因为攻击者容易利用它们,而且它们也非常普遍。”她说:“韧性革命的关键部分是接受失败是不可避免的,错误和配置错误也是不可避免的。但是我们可以从失败中恢复,可以优雅地适应它。”她说,IaC 通过纠正配置错误并在不可避免的失败发生时减小影响来在这两个方面提供帮助。她还表示,它有助于更快地打补丁和部署安全变更或修复。“我认为 Equifax 事件的真正教训是,打补丁的过程必须可用,否则拖延是一种合理的行为。” Shortridge 说:“因此,IaC 对此有所帮助,它减少了发布补丁和修复的阻力。它还分散了这个过程,促进了组织之间更松散的耦合,支持自助安全,这在过去一年中非常流行。”

她还说,IaC 还可用于减小环境漂移,因为 IaC 允许您根据需要返回到先前的部署。

CI/CD 和不变量强制执行对防御来说是“游戏改变者”

IT 可以通过专注于持续集成和持续交付/持续部署来自动化安全检查。CI/CD 允许 IT 更快地前进并跟踪其所做的事情,甚至可以返回到先前的状态,而这是攻击者无法做到的。

Shortridge 说:“使用自动化,CI/CD 流水线确保这些活动以最小的人工干预定期发生。因此,我认为我们应该真正欣赏 CI/CD,不仅是为了避免手动部署的繁琐和错误,我自己也有过这种经历,而且还是一种使软件交付更具可重复性、可预测性和一致性的工具。”

她还表示,CI/CD 能够强制执行不变量。不变量是程序或系统执行期间必须保持为真的条件或属性。不变量可用于帮助确保程序或系统的正确性,但也可用于简化程序或系统的设计和实施。

不变量允许 IT 在每次构建、部署和交付软件时都以相同的方式实现其所需的属性。

她说:“至关重要的是,我们可以强制执行安全不变量,我认为这对防御来说是一个改变游戏规则的因素。”她说:“例如,我们可以强制执行不变量,比如数据库服务器只能与其复制对等方和一小部分核心服务进行出站网络连接。或者服务必须通过 TLS 进行通信并验证远程证书。或者只有我们的 CI/CD 系统构建的镜像才能在生产 Kubernetes 环境或集群上运行。……因此,不变量很重要,但我认为速度因素更为关键,它使我们更具优势。”

她补充说,自动化的 CI/CD 流水线意味着可以在几小时内测试并推送补丁到生产环境,而不是几天。这不仅使公司能够更快地构建和交付软件,还允许 IT 更快地修复漏洞和安全问题。她还补充说,CI/CD 还允许根据需要回滚,这在发生事件时可能是一个救命稻草。这篇文章是两篇系列文章中的第一篇。请在星期五回来查看第二篇!

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注