探索使用安全评估获得的可观测性
可观测性对于安全监视和评估也至关重要,可以促进安全事件的检测和响应。 安全可观测性包括监视表明存在潜在威胁的异常模式、识别软件和底层基础结构中的漏洞,以及审核受监视环境中的活动。 示例场景中的组织受到多种安全漏洞的影响,这些漏洞本来可以通过应用安全可观测性原则来预防,或者其影响至少会得到减轻。 本单元介绍应用这些原则的一些更常见方法。
如何应用安全可观测性原则?
安全技术是 DevSecOps 策略的一部分,可以分为两大类,具体取决于它们是专注于防止违规,还是充当假定的违规方法的一部分。 DevOps 规划、开发和交付阶段主要侧重于使用威胁模型、安全开发生命周期、代码评审、静态应用程序安全测试 (SAST)、动态应用程序安全测试 (DAST) 和软件组合分析 (SCA) 等技术来防止违规。 在操作阶段,通常结合违规防护和假设违规技术,包括 战争游戏演习、现场渗透测试、安全监视 和 安全评估。
战争游戏练习 是两支称为 红色 和 蓝色的团队负责评估给定环境的安全性的事件。 红队扮演攻击者的角色。 它试图模拟现实世界的攻击,以找出安全漏洞并通过它们来展示漏洞被利用后可能会造成的影响。 蓝队扮演防守者的角色。 其目标是检测红队的攻击并对攻击做出响应。
实时站点渗透测试 由授权的安全专业人员执行,他们积极尝试利用目标环境中的漏洞。 目标是在这些漏洞被实际利用之前识别、评估和修复这些漏洞。
安全监视和安全评估是 DevOps 安全可观测性的组成部分,共同有助于持续和主动识别、分析和响应与安全相关的事件和漏洞。 安全监视很大程度上遵循与适用于性能监视的方法相同的方法,收集实时遥测数据(例如指标、日志和跟踪),以跟踪工作负荷的整体安全性。 安全评估依靠该遥测数据来评估组织的信息系统、应用程序和基础结构的安全性,以便识别漏洞、评估风险并提供修复建议。
通常为了实现安全信息和事件管理(SIEM)功能,会使用专用解决方案,例如云托管的Microsoft Sentinel。 Microsoft Sentinel 结合了来自各种源的遥测数据,自动将它们关联起来,并使用人工智能和机器学习来寻找模式。
你还可以利用 Microsoft DevOps 平台(例如 GitHub 或 Azure DevOps)的内置功能。 具体而言,GitHub 提供了许多实现安全监视和评估的工具,例如 GitHub Advanced Security。
其 Dependabot 会自动扫描存储库托管的软件是否有任何外部依赖项,并根据 GitHub 的顾问数据库搜索已知漏洞。 如果发现此类漏洞,Dependabot 会自动生成拉取请求,便于将其升级到无漏洞版本。
GitHub Advanced Security 结合了多种安全特性和功能,可增强软件交付工作流,其中包括代码扫描、机密扫描和依赖项评审。 例如,安全代码扫描会扫描存储库托管的源代码,检测安全漏洞和编程错误。
它与 GitHub Actions 集成,便于进行自动且连续的代码分析,这是 CI/CD 工作流的一部分。