BSIMM8升級——BSIMM9有什麼新的改變?
在幾個月前,我們報道了描述性安全模型BSIMM8(https://mp.weixin.qq.com/s/4ae4gMDfk6uST6xiC5_ucw)。如今,BSIMM已經從第八版升級到了第九版BSIMM9。BSIMM的模型是隨觀測資料不斷進行升級改變的,那這次的升級有了哪些變化,又有哪些新的發現呢?
總覽
為了確保時效性,BSIMM9剔除了時間超過42個月的評估結果。因此,目前的BSIMM9是由來自120家企業的320次評估構成。120家企業總共來自八個不同的垂直行業:金融服務業、獨立軟體供應商、技術行業、醫療保健行業、雲端計算行業、物聯網行業、保險行業以及零售行業——其中,零售行業是BSIMM9當中新加入的垂直行業。
BSIMM9總共有116項評估活動,相比BSIMM8新增了三項活動。
發現
1. 雲端計算轉型:BSIMM9中新增了三項新活動,而這三項新活動是基於企業正在向雲端軟體轉型。從之前的觀察結果發現,獨立軟體供應商、物聯網公司以及雲端計算公司中觀察到的的活動開始趨同,表明通用雲架構需要類似的軟體安全方法。
2. 零售業:電子商務的轉型依然在大範圍進行中。為了維持線上業務的發展,零售業也需要開始注重安全性。因此,在BSIMM9中,專門新增了零售業的垂直行業。
3. 群體增長:相比BSIMM8,BSIMM9所涵蓋的開發人員數量增長了43%,其評估的軟體安全從業人員數量增長了65%。
4. SSG(軟體安全小組):SSG負責實施和推動軟體安全工作的內部工作小組。BSIMM9資料池中的120家企業一致認為,他們的軟體安全計劃的成功主要依賴於SSG。SSG的平均規模為13.3人,平均佔開發團隊之間的比例為1.33%。
新增活動
根據以上的四個發現,BSIMM9增加了以下三個評估活動以及安全牛分別的解讀:
1. 對容器和虛擬化環境使用編排功能:BSIMM9的檔案中提到“編排流程可以利用內建的和附加的安全控制元件來確保每個已部署的容器和虛擬機器都滿足預先規定的安全要求。集中設定安全性行為有助於在需求出現時進行快速更改”。
編排與自動響應是未來安全發展的一個趨勢。僅僅靠人力來處理複雜的工作顯然低效並且容易出錯。對於企業而言,需要更高效、更規範的安全基線,來保證系統的安全要求以及面臨異常時的處理能力。
2. 通過運營材料列表來增強應用管理:企業需要為所有生產軟體製作一份清單,載明其元件、依賴關係、配置、外部服務等,這也有助於企業保護其所有內容。隨著攻擊者和攻擊的演變,隨著合規性要求的變化,隨著待修補專案的數量變得非常龐大,企業需要能夠敏捷地做出反應。瞭解正在執行的軟體中的所有元件,無論它們是處於私有資料中心、處於雲端還是作為實體產品,都將能夠在異常發生時及時做出響應。 這一點上強調了企業需要對自己的生產資產有一個明確的認知與追蹤。傳統意義上,企業可能只關注於實體資產的情況,而虛擬資產可能由於難以清點以及變化較快等原因,被企業所忽視。但是,虛擬資產作為生產資產中的重要部分,也恰恰隱藏了大量的安全隱患。企業如果無法知曉自己資產的情況,就很容易無法迅速應對威脅或者無法對事件進行追溯問責。
3. 確保雲安全基礎能力:企業必須有人來保證雲部署也滿足了基本要求。在日益“由軟體定義”的世界中,企業至少必須明確地實施安全性功能和控制元件(其中有一些可能是內建的),其程度應當與電纜和物理硬體建設的安全性程度不相上下。
雲端的效果越來越大,那麼對於雲端的安全要求自然也會更高。對於雲安全而言,一大問題就是雲安全的責任方——是企業自身還是雲服務提供商?但是對於企業自身而言,顯然不該對雲安全完全撒手不管,確保雲安全的基礎能力是企業的責任。
對於企業而言,實施安全防護是一種情況,但是瞭解自己的安全防護的狀態也很重要。僅僅是靠制定規則顯然是不足的,企業需要了解自己在安全開發中所在的位置,並且同樣根據大環境的變化來斟酌自己的安全體系是否需要變化。在這個情況下,企業需要帶有描述性,同時又會根據分析結果不斷變化的安全模型。
BSIMM9的報告可以從以下地址下載:https://www.bsimm.com/zh-cn/download.html