網(wǎng)絡安全不是快速解決方案或一次性解決方案。為了有效，它需要直接內(nèi)置到應用程序開發(fā)，測試和發(fā)布管道中。

隨著企業(yè)采用DevOps實踐來快速發(fā)布應用程序，安全性正成為其開發(fā)人員必須確保的關鍵成果之一。這是因為釋放代碼的速度越快，釋放代碼漏洞的速度就越快。

這勢在必行，需要一系列越來越被稱為“ DevSecOps ”的實踐，這是指在持續(xù)集成/連續(xù)部署 或CI / CD工作流程中提供“安全性作為代碼”的方法。為了有效，必須在應用程序開發(fā)，信息技術運營和安全團隊中共同采用DevSecOps。

本周在 舊金山舉行的 RSA大會上，安全社區(qū)的40,000多名成員參加了會議，目的是加深他們的技能，了解創(chuàng)新方法并與DevSecOps和其他網(wǎng)絡安全最佳做法保持同步。如今已是第28年，該活動已逐漸轉向關注人工智能和機器學習，以將強大的IT安全性集成到混合和多云操作中。

從RSA大會上的許多公告中可以看出，人工智能和機器學習現(xiàn)在是DevSecOps的重要組成部分。如果沒有AI驅動的DevSecOps，云專業(yè)人員很難在云中安全地部署和管理微服務，容器和無服務器應用程序，這將變得非常困難。

這些數(shù)據(jù)驅動算法是在整個應用程序生命周期中自動化預防，檢測和補救安全問題的基本組件。這些控件是API消耗型安全性，24×7主動安全性監(jiān)視，連續(xù)漏洞利用測試，閉環(huán)網(wǎng)絡自愈，共享威脅情報和合規(guī)性操作的基礎。

從RSA安全會議上CUBE的專家訪談中，以下是關于多云時代DevSecOps要求的一些最有趣的評論：

全面的威脅建模和風險緩解

網(wǎng)絡安全威脅現(xiàn)在發(fā)生在混合環(huán)境和其他多云環(huán)境中，在這些環(huán)境中，“邊界”一直移至邊緣設備和應用程序中的數(shù)據(jù)。

對于網(wǎng)絡安全專業(yè)人員來說，實施DevSecOps要求他們以“零信任安全”范式進行持續(xù)的威脅建模和風險緩解。正如我在最近的SiliconANGLE文章中所討論的那樣，此方法也稱為“外圍安全性”，將每次訪問嘗試都視為來自遠程不受信任的一方。

跨多云全面實施零信任安全性需要對信任，身份，權限，端點，設備和移動性管理基礎架構進行投資。它還需要AI，使所有這些基礎架構都能夠跨所有受管設備和內(nèi)容實時自適應地調(diào)整身份驗證技術，訪問權限和其他控件，無論它們在何處漫游。

持續(xù)的安全自動化

自動化是解決網(wǎng)絡安全人員短缺的重要工具。面對人員和技能短缺，要確保強大的安全性，就需要AI驅動的所有網(wǎng)絡安全流程自動化。至少，您應該將動態(tài)應用程序安全性測試嵌入到軟件開發(fā)生命周期中。這應該包括使用機器學習來增強夜間代碼構建的例行測試。它還應包括掃描已提交的代碼更改以查找已知的安全漏洞，例如 Open Web Application Security Project的最常見漏洞列表中的漏洞。

網(wǎng)絡安全實施要求越來越主動地檢測，搶占和消除分布式應用程序中可能發(fā)生的漏洞和問題。

在DevSecOps工作流程中，這要求開發(fā)人員擁有工具來幫助他們在編寫代碼時識別漏洞并確定優(yōu)先級。自動化工具必須預測目標生產(chǎn)環(huán)境中代碼的可能行為，而不是簡單地掃描構建以查找過去看到的已知問題的特征。工具必須通過將安全規(guī)則嵌入其常規(guī)CI / CD工作流程中來識別和補救潛在漏洞。

在CUBE上接受采訪的其他發(fā)言人包括Optiv Security Inc.首席執(zhí)行官Dan Burns;羅素·瓊斯(Russell L.Jones)，信息系統(tǒng)安全認證專家，德勤(Deloitte)網(wǎng)絡風險服務合伙人;Eles Costante，F(xiàn)orescout的安全研究員;Haworth Inc.的高級信息安全分析師兼NA隱私官Joe Cardamone;Splunk Inc.首席執(zhí)行官Doug Merritt;ServiceNow Inc.安全和風險業(yè)務部門副總裁兼總經(jīng)理Sean Convery;Booz Allen Hamilton的高級副總裁Brad Medairy;賽門鐵克公司(Symantec Corp.)以及Forrester Research Inc.網(wǎng)絡安全主管Chase Cunningham。