根据Digital.ai的调查,2020年上半年,受新冠疫情刺激,全球企业敏捷化加速,55%的受访者表示,他们的公司计划在未来12-14个月内增加对敏捷的使用。这比年初疫情尚未全球爆发前增加了13%。此外,33%的人表示,他们在过去90天内增加或扩展了敏捷的采用率,以帮助管理分布式团队。
根据佐格比分析(Zogby Analytics)的最新报告,在疫情造成的停摆前后,让大部分员工进行远程办公的企业数量从21%增长到70%,增加了两倍以上。40%的受访企业(为新冠疫情爆发前的两倍)表示将让大部分员工永久远程办公。
在疫情防控表现最好的国家之一中国,疫情爆发前仅有十分之一的企业让半数以上员工进行远程办公(90%的受访企业远程办公人员不足50%);疫情发生后,中国企业的这一数字增加到63%。
与此同时,伴随着企业无边界化和敏捷化,全球网络钓鱼攻击增加了600%,勒索软件攻击增加了148%,FBI报告的网络犯罪增加了300%。网络犯罪分子在新冠病毒大流行期间正开足马力,不断升级攻击技术和战术,以每周拿下一家百年老店的速度肆虐全球。
为了跟上不断增长的威胁级别并在远程办公的新常态中取得成果,许多企业正在采用敏捷方法。敏捷曾经被认为是DevOps的地盘,但近年来,以DevSecOps为代表的“敏捷安全”正在成为敏捷的重要阵地。
敏捷是一种迭代的工作方式,鼓励迅速释放较小的价值,而不需要大型传统项目的漫长导入时间。随着环境变化以满足不断变化的业务需求,结果可以不断得到快速改善。许多公司都从敏捷方法交付软件中受益,敏捷化工作方式正在扩展到包括越来越多的安全团队。
敏捷为网络安全带来了巨大的好处,因为安全团队面临着不断发展变化的威胁,而攻击者已经具备了敏捷化的特质,会快速调整方法以找到最佳的攻击媒介。
当安全遇见敏捷:从团队合作到价值流管理
Digital.ai的2020敏捷全球调查报告调查了1000多名全球IT和商务专业人士,60%的受访者表示,敏捷不仅帮助加快了产品上市速度,而且提高了团队生产力。
组织采用敏捷的主要推动力来自于希望加速向客户交付价值以及能够快速响应不断变化的环境。调查发现,采用敏捷的第二大原因是增强了管理不断变化的优先级的能力,三分之二(63%)的受访者将此作为主要动机。
这一关键优势使得敏捷在业务的许多领域得到采用,其中软件开发和IT最受欢迎,分别占37%和26%。但是,值得注意的是,敏捷方法越来越多地用于运营、市场营销、人力资源和销售中。网络安全也不例外,因为敏捷可以帮助安全团队应对不断发展的威胁。
事实上,敏捷的概念已经存在了近20年,其理论框架和应用领域至今已经历了几次重大的“迭代升级”。以下,我们回顾敏捷发展历程,看看敏捷是如何与安全走到一起的:
敏捷始于2000年代后期的Scrum框架,该框架专注于团队合作,问责制以及用于硬件和软件开发的迭代版本。在2000年代初,它通过各种扩展框架进行了扩展,允许多个小型团队在产品的各个单元进行有效的协作。如今,与传统的面对面互动相比,团队以多种方式进行协作,有71%的公司报告团队在多个地区进行协作。
随着公司开始从提高的开发效率中受益,他们意识到下一个瓶颈实际上是将新产品投入生产。这导致DevOps在2010年代中期的知名度上升,从而导致敏捷实践和文化的扩展。为此,超过90%的受访者现在高度重视DevOps,而75%的组织正在积极计划和/或实施这一领域的转型。正在进行DevOps转型的组织希望实现:更快的交付速度(70%)、提高的质量(62%)和降低的风险(48%)。在日益数字化的世界中,至关重要的是尽快向消费者提供高质量、有价值的软件。
随着DevOps开始解决运营瓶颈,组织开始看到其他领域的问题,并意识到他们需要关注整个端到端的价值流。价值流管理(VSM)通过提供一种通过人员,流程和技术的组合来衡量和改善组织内工作流程的系统方法,有助于缩短实现价值的时间。
当前,80%的受访者表示有兴趣,正在计划实施或正在实施VSM。端到端了解组织中的价值流向将使公司将实际结果与交付联系起来,从而大大改善了计划和交付的价值视图。
VSM的兴起推动企业将安全性整合到DevOps流程中,而不是事后才想到创建DevSecOps。这种方法使组织能够在开发过程中解决安全问题,减少周期时间,并在提高质量和简化工作流程的同时减少返工。此外,这还意味着安全团队现在可以在DevOps这张桌子边坐下来,确保整个应用程序开发生命周期的安全性。
安全敏捷化的挑战
在谈论安全的敏捷化之前,我们有必要先回顾一下《敏捷宣言》的十二条“天规”:
- 客户是最重要的。
- 拥抱变化。
- 经常发布有效的软件版本,使客户高兴。
- 日常协调。
- 开发人员应积极面对挑战。
- 鼓励面对面的交流。
- 如果某个功能或产品运行良好,则可以评估进度。
- 保持团队发布可用软件的进度不变。
- 关注细节。
- 您应该以最快的方式完成所需的工作,而不是追求做得更多。
- 跨职能团队才是最好的。
- 不断获取反馈。
我们不清楚有多少网络安全企业致力于敏捷化,但可以确定的是,笑傲江湖多年的恶意软件之王——Emotet背后的黑客团队,是一个将《敏捷宣言》和敏捷价值观奉为圭臬的敏捷组织。而且,Emotet绝不会是最后一个受益于敏捷化的网络犯罪组织。
敏捷框架有如此多的优点,为什么至今没有成为主流企业方法呢?阻力主要来自企业内部的的严重障碍。
当你想把一个场均1:0的足球队改造成场均120分的篮球队,其难度不亚于把狗脑子打出猪脑子。
调查显示,超过40%的受访者认为,企业整体上对变革的抵制,领导参与程度不足,团队之间的做法不一致,企业文化与敏捷价值观背道而驰。需要指出的是,超过五年来,这些一直是企业采用敏捷的最大障碍。
领导层必须了解使敏捷生态系统发挥作用的原则,并努力进行必要的组织变革才能享受“敏捷红利”。但不幸的是具备敏捷思维的领导者可谓凤毛麟角。
敏捷获得成功还取决于实施行之有效的实践和原则,这些实践和原则是通过沉浸于这种工作方式的文化来执行的。我们看到越来越多的管理层开始学习并拥有这些核心敏捷价值。很明显,还有很多工作要做,这令人鼓舞,因为企业的成功取决于“运动”。
在应付全球疫情带来的新挑战的同时,面对功力勇猛精进的攻击者,企业需要更快的反应速度。那些采用敏捷方法的企业能够更好地应对不断变化的状况,同时保持产品质量和安全性。
网络安全当下的热点依然是“见招拆招”的检测与响应,未来,随着人工智能与网络安全技术的融合,“奇门遁甲”的分析与预测将成为下一个热点。而敏捷化,则是网络安全行业打赢这场战争的关键所在。
新冠疫情可以关闭面对面沟通的门,却为我们打开了远程分布式团队乃至全球网络安全人才的窗户。2020年,面对一个高度不确定的十年,安全行业的敏捷化变革,已经迎来最佳时机。甲方敏捷了,黑客敏捷了,你还愣着干啥?
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】