资深安全顾问董永乐老师为某金融公司做了题为《从运维安全到可度量的安全运营》的分享。
通过两个实际案例的分享,覆盖了从SDL出发走向DevSecOps;安全运营中心建设与运行实践这两个主题。
董永乐讲师
资深安全顾问
安全漏洞挖掘是DevSecOps之路的亮点和生机
依靠年复一年地开展安全漏洞挖掘活动,在全公司范围内普及了“安全攻防的动态平衡”、“安全运营持续优化”等理念,并且巧妙地“不评价,只评比”成功地实现自上而下对应用开发安全管理工作的重视。
应用开发部门不但已经把SDL基本无缝地嵌入开发过程,而且已经着手消化SDL,将现有应用开发安全管理系统的各项功能特性转移到统一开发管理平台和项目管理平台。
安全运营中心建设与运行实践致力于“整体安全能力提升”
案例中与SOC项目相伴的一系列项目。有针对制造业特有的工控网络的安全能力提升,也有针对泛IT系统的安全能力提升。
虽然各有特色,但总归还是统一到安全运营这个范畴,持续优化检测、响应、预防等环节。
项目实现了从SIEM到SOC的一个转变。这个转变的关键点在于SOC的配套组织、流程、工具。
Q&A
针对以下两个学员们关注的问题,讲师也给予了回答。
Q1:相关岗位在DevSecOps中作为什么角色参与,发挥的重要作用,为各岗位带来的收益?
Q2:在安全运营中的,相关岗位需要提供哪些重要信息作为输入,并从输出中获得哪些信息,有助于安全运维工作开展?
A:各岗位需要建立“共同的安全语言”。从角色和作用这两点来说,可以参考DevSecOps模型。
图:DevSecOps模型
开发和运维岗位的职责不但包含上图中内圈的各项职责,同时也要兼顾外圈的各项对应的安全职责。
而安全岗位不但要提要求,还需要给开发和运维岗位提供安全专业支持。
互动环节
分享最后,安全部门的负责人还提出一个关于目前法律、法规、标准如何融合的问题。
讲师建议从“融标”入手,在体系层面可以基于某个基础性的统一框架,把相应需要符合的法律、法规、标准映射、补充完善,再考虑对应的落地措施。