作为网络安全行业风向标的RSAC大会于美国时间2月24日至28日在旧金山如期召开。据统计，此次盛会参会人数预计达5万多人，参展商共529家（统计截止2月18日），大会包含研讨会、创新沙盒、主题演讲、课堂等多种不同类型的活动。

基于参会人员的关注热度，RSAC发布了《RSAC 2020趋势报告》，其中DevSecOps相关内容再次成为大家关注的焦点之一。随着DevSecOps的发展日臻成熟，可为开发运维、风险管理、安全合规等团队搭建桥梁，让彼此真正联系起来。

DevOps管道威胁模型

DevOps自2012年出现以来展现出了巨大的发展潜力。DevOps对于靠速度取胜的客户有很大的帮助作用。真正帮助开发、运维团队了解关键功能的开发状况如何，哪些方面容易出现问题，如何在这些方面有针对性地采取控制措施。这个管道模型的目的就是要清楚地了解开发人员的流程以及他们在这个过程中，每个节点上的所思所想。

 那么SecOps真的来自于DevOps管道吗？通过下图，可以看出安全（sec）是DevOps的内在要求。下图是基于DevOps工具链构建的威胁模型。

_{图1 DevOps管道模型}

DevOps威胁建模的意义在于通过人物画像，你就可以了解存在哪些种类的攻击者，并且针对其目标和动机，采取有效的网络完全控制措施。通过上图DevOps威胁建模，我们可以了解不少信息：

存在攻击者，比如图中APT和内鬼（Insider）。

了解攻击者的目的，比如APT组织要窃取凭据。

开发人员疏忽导致风险漏洞。

红色标记表示主要攻击目标，也就是攻击者要攻击的主要资产。

蓝色表示次要目标，是攻击者要攻陷的次要资产，以便实现其主要目标。

DevSecOps管道落地实践

在具体实践中，DevSecOps该如何落地实践呢？这不是一个人的事情，需要多个部门的合作，需要将安全嵌入到DevOps管道中去。

 例如，首先了解黑客在想什么，这也是很好的一个切入点。可以让团队中的某些成员担任攻击者的角色。这样开发团队就可以了解威胁攻击者会带来怎样的危害，以及他们要做什么？可以针对性地采取有效控制措施。其次，有条件的组织机构，可以进行网络安全有关的培训，这会对公司有很大的帮助作用。

 当然为了确保整个管道的安全，DevSecOps落地有以下四个方面需要重点注意。

1、构建黑客人物画像

正如上文所说，DevOps威胁建模前提是了解黑客人物画像，确定其目标和动机。因为通常会有很多种类型的攻击者，不管黑客采用哪种类型攻击方案肯定都要绕过我们的检测手段。如果能够研究一下最常见的攻击者的动机和目标，这样就能知道黑客会利用我们的哪些漏洞。

下图展示的是一个黑客人物画像示例。了解一下她的动机是什么，最让她头痛的难点在哪儿？这样我们就可以有的放矢。

_{图2  人物画像示例}

动机：要知道她要攻击什么，他在寻找什么？她会利用什么漏洞？

难点：如果我们知道哪些地方能够困住她，就可以在这些地方采取有效的控制措施，将这些控制措施整合到整个系统建设中来，加强系统在这些控制点上的优势，就可以在一定程度上阻止攻击者实现其目标。

2、了解黑客攻击模式

上面了解了攻击者的人物画像，下面我们看一下攻击者的攻击模式。从任何攻击模式中，都能够看到KillChain的影子和印记。如下图所示，通过不断地监测（recon），攻击者可能伪装成合法用户，然后获得连接（connection），从而进行漏洞利用。

_{图3  攻击者的攻击模型示例}

上图所示的攻击模式是很普通很常见的一种攻击模式，企业组织需要根据自身的特定情况，总结概括所在行业经常面临的特定攻击模式，从而制定缓解特定风险的措施。但是，无需花费大量的时间和精力去解决每一种风险，只需要重点解决所面临的特定风险。

3、方法比工具更重要

目前，很多公司在落地DecSecOps项目时，为预防出现bug，都会集成大量安全工具，可以开展动态和静态分析、漏洞奖励（bug bounty）、渗透测试、运行时检测、安全包装库、模糊测试等等。关键在于，清晰地知道每种工具的使用场景。在修复漏洞时，要从这么多工具中进行选择，确实太让人头痛了。但重要的是，不管你用哪种工具，每种方法都有自己的优势和弊端。所以，每种方法是好是坏，对于解决的不同问题而言，不能一概而论。

_{图4  工具箱中的安全工具}

因此，最重要的不是要提高工具的效能，而是要选择正确的方法来解决问题。而且，选择忽略哪些问题，对这些问题暂且不管，也是很重要的一个选择。最后，正确的方法是根据漏洞的类型和复杂程度而定的。

4、漏洞管理是防护基础

漏洞管理是了解当前的安全现状以及未来工作是否有效的关键所在。在DevSecOps的发展过程中，要重点关注以下几个方面：

尽量减少开发人员和安全人员之间的摩擦

同一个系统中的所有漏洞都按照常规bug来追踪

通过相同的工作流程处理所有漏洞（漏洞报告奖励、渗透测试、工具、内部测试）

写在最后

DevSecOps的成功实践离不开团队之间的协同合作，尤其是对于安全团队。DevSecOps是由开发、安全、运维三驾马车组成的，最需要做出改变就是安全人员。安全人员要改变过去审核者的心态，应该将自己变成开发人员和业务人员合作伙伴。如果安全人员总是高高在上站在审核者的位置上，粗暴指出业务系统存在问题或者指导运维人员如何修改配置，那么DevSecOps落地实践就是一句空话。