随着云计算和企业数字化转型的加速发展,应用安全领域的性质发生了很大的变化。比如目前,安全界存在着这样一种声音:即便应用安全还没死,它的日子也是屈指可数了!
必须承认这种说法过于夸张,不要担心,作为一名应用程序安全工程师,您所做的工作实际上将变得比以往任何时候都更重要,这一点将很快反映在您的预算上。应用安全永远不会消失,但它将不得不进行成功转型。
作为企业安全的一个子集,应用安全已经存在了超过15年的时间。自21世纪初以来,应用安全专家已经为评估网站和销售应用程序渗透测试做出了突出成绩。但是如今,越来越多的此类专家正在将其头衔从“应用安全工程师”改为“产品安全工程师”。这一变化不仅仅是一种语义的转变,它还反映了企业安全性质的真正变化。为了进一步了解其重要性,接下来将为大家分析两大行业趋势——向云迁移以及企业数字化转型为其带来的影响。
移至云端
云,DevOps(开发运维)和敏捷开发的迅速崛起,使得安全团队越来越难以跟上技术发展的步伐。由于应用程序是使用as-a-service(即服务)平台,基础架构和功能产品(如亚马逊网络服务AWS、Pivotal和Lambda)构建的,传统的基于网络和主机的安全模型现在由第三方提供商掌握。这种抽象缩小了安全边界,并迫使传统的企业安全专家更新其技能。
与此同时,我们也看到了DevOps安全专家的兴起。过去,应用程序安全团队主要负责代码的安全性,并运行静态和动态分析工具来帮助开发团队审核其输出。现在,这些技术正在重塑为更加以开发者为中心的模型,主要由开发人员和运营团队负责分析、保护和修复自己的代码和部署。如此一来,可谓是减轻了已经负载过重的应用安全团队的工作量,并将安全所有权置于其所属的位置——即一开始构建应用程序的团队手中。此外,将应用程序安全性集成到持续集成/交付管道中,还可以实时地进行安全验证,这一直是应用程序安全专家的梦想。
数字化转型
另一个起到重要影响作用的行业趋势是,企业业务开始从传统模式向数字化方向转型。各类企业正在将数字技术整合到其产品、服务以及运营等所有领域之中,以支持实现价值的新方式。
随着产品开始大规模的在线移动,安全专家的领域也随之迅速扩大。应用程序不再仅限于内部重点支持系统——它们现在已经成为企业组织的命脉,也是其最重要的收入来源。专注于保护少数Web应用程序已经远远不够了;应用安全工程师现在不仅必须保障整个产品线的安全性,还需要保护业务本身。
产品安全重要性日显
由此看来,从“应用程序安全工程师”变成“产品安全工程师”不仅仅是职位头衔的转变,同时也意味着安全思考方式发生了转变。云、DevOps、敏捷开发以及它们所实现的数字化转型已经使传统的“以应用程序为中心”的安全性视角变得过时。应用安全已经不再只是关于保护少数业务线应用程序的问题。
应用安全工程师现在需要负责为客户创造价值的产品的安全性,并推动竞争差异化和推进企业战略。
如今的风险成本已经达到了前所未有的高度。受损的内部生产力应用程序可能会造成暂时服务中断或延迟操作,但是客户手中受损的核心产品或服务则可能会对业务本身造成毁灭性的打击。
这种区别可能看起来很微妙,但您可以通过下述问题得到验证:询问一下您的企业主管,他曾有多少个夜晚因担心公司应用程序的完整性而失眠,对此,他们可能会回应你一个茫然的眼神。那么现在,问一个同样的有关公司产品完整性的问题,再看看他们的反应。
安全工程师正在逐渐接受这种“以产品为中心”的新的角色概念。希望这种转变能够帮助应用安全专家意识到他们工作日益增长的重要性,并帮助他们获取更多的预算、资源和工具,以确保为其业务提供支持的产品的安全性,以及推动新型数字经济业务发展。