首頁 職人分享
資安專家訪談秀 DevSecOps與資安的實踐心法
2024/3/1 作家:專案經理雜誌
2612
文/林家瑋(Ray Lin)、鄭惠如(RuRu Cheng)、陳澤森(Sam Chan), CISSP, CCSP, CSSLP

在數位化轉型及「資安即國安」的概念框架下,資安已不再僅是附屬功能,而成為企業轉型的核心要素。資安專家Sam,擁有CISSP、CCSP和CSSLP……等資格認證,他深入分析台灣企業如何將DevOps轉變為DevSecOps,且對這一轉變過程中的實踐和觀點提供專業的見解,並分享一般台灣企業從DevOps轉化為DevSecOps當中的實踐與看法。

資安的真正工作及其包含的意義
在企業招聘中,證照常被視為衡量標準。然而,Sam強調,資安的真諦遠超過證照,更重要的是洞察問題本質並提出確實可行的解決策略。坊間很多人認為有CISSP等證照的人在企業內就可以有效地保證資安落地,可是事實往往是差強人意。Sam認為,真正的「資安專家」不應單單是下命令的角色,更應是領導團隊進行深度安全討論、整合流程評估風險,同時落實技術防禦策略與方案的核心人物。以此為前題,資安人員的工作不僅僅受限於單一部門的功能,更為重要的是實現跨部門及功能討論,以達到企業永續(Business Continuity)的目標。

DevSecOps的協同方案及其基礎
傳統的DevOps建立在敏捷(Agile)開發之上,其核心在於快速打造最小可行產品模型為基礎,講求的是以快速及最低可行性建立產品模型。然而,相關的快速迭代及越來越短的開發週期卻會使「資安」基礎視為一項拖慢整個流程的工序。Sam強調,DevSecOps的原意並不是要拖慢開發進度或導入一堆不求實際的需求,而是從工程師在速度型開發中,找出產品核心價值再加以技術保護。坊間有許多不同的方法,例如:軟體構成組合分析(Software Composition Analysis, SCA)、靜態安全測試(Static Application Security Testing, SAST)及動態安全測試(Dynamic Application Security Testing, DAST)均是希望找出工程師有做好代碼層的保護,從而使產品能進行另一層次的加值。

在推行DevSecOps的過程中,Sam強調有效溝通是推行所有事情的根本。他表示企業資安落地的落差,不一定源於資安人員的能力問題,有時候更是資安人員長時間對於技術的執行及理解,變成在企業內部不知不覺會忽略把話通俗地說出來。Sam建議如果資安人員有時間,除了技術及理論基礎外,更應學習如何通俗地表達複雜的問題。

DevSecOps的推動
DevSecOps現階段正處於百家爭鳴的狀態。現在在市面上對於DevSecOps的實踐,基本上並沒有一套特定的標準;取而代之的是不同的顧問公司,都在最大化爭取其背後的商業價值。然而,Sam分享到,導入DevSecOps在不同的場境中,要考慮的不僅僅是工具及流程,更應考慮DevSecOps對於企業的價值及對產品的優勢。在產品資安層面,DevSecOps可以快速把資安的合規(Compliance)整合到產品開發流程之內。有關的快速整合及調整,正是DevSecOps的核心價值所在。

Sam在訪談中亦分享到,DevSecOps最大的價值其實不僅是產品成熟及速度,更是對產品流程「自動化」最好的實踐場所。透過不同工具自動生成相對應的報告及報表,能有效減輕企業在資安方面的負擔,同時相關的報告經過專業資安人員的分析彙總,再調整產品生命週期及資安需求,可以循序漸進地達至"Security by Design"的理想。

對台灣資安發展的看法
Sam其實並不是本土的台灣人,而是一位從香港來台灣的資安專家,現已定居於台灣,對於資安發展的前景,他認為台灣有走在正確的路上,從政府開始由上而下努力推行資安建置,喊出「資安即國安」的口號正體現了社會對資安的重視。然而,Sam亦提到,台灣雖有在正確的方向,但步伐仍有待加速。不管在立法或技術上,台灣的資安只有在初步的階段。他強調,未來的四到五年間,台灣社會對於資安的需求將會有一波爆炸性增長。在爆炸增長的同時,Sam亦呼籲不同的社群可以努力為資安普及化進行努力。

資安的價值及重要性
資安的價值不僅是為了保護,在DevSecOps的導入及產品層面,資安可以很有效地從單純保護的角度推廣到產品的加值上。Sam指出,以他的經驗,把資安轉化為產品的特性能有效加高產品的門檻,從而提升產品的競爭力。

在產品資安層面,Sam指出其實產品資安與「錢」是息息相關的。在他的經驗中,如果跟客戶談及產品可以幫忙降低損失的風險,客戶也會樂於多付比同類產品的5%到10%去購買更安全的產品。除此以外,Sam亦分享他在香港不同SOC(Security Operation Center,資訊安全監控中心,簡稱SOC)工作時,如果跟客戶能有共同的在意點,例如:談及「錢」,那麼技術及流程問題都會變得有效及快速的解決。在整個訪談中,Sam更強調溝通和價值一致性對資安人員也是一個很好的修行方向。

對於證照的迷思:證照不是終點,是專業成長的起點
想踏入資安領域發展,首先得掌握基礎知識、考取相關證照,這不僅證明了在某個領域達到基本標準,也是個人發展的重要步驟。但對於資安證照,資安人員不應視為一個終點,更應視為「有好好向著某一方向努力而拿到的勳章」。Sam指出,以他的個人經歷,儘管考到了證照,可是在日常工作卻不能把相關的理論和方法用出來,那麼拿到的都是空談和沒有實質的意義。

同時,證照所涉及的理論和方法實踐也相當重要。他指出,很多企業對於人員在證照上的努力並沒有一些實質的肯定,同時人員對於理論實踐程度亦有所落差。他鼓勵資安人員除了把技術磨練好以外,亦思考證照內容於企業內的應用場景,同時如何使用相關的理論和技巧以降低損失,並使企業產品價值再上一層樓。

在現今科技日新月異的世代中,企業需要拋開以往「資安是一個花錢很凶,沒有實質貢獻」的印象,轉而視資安為一種策略性投資的手段,以減低企業的可能損失。同時,Sam亦寄予資安人員,認為資安人員應放下身段,參與並了解不同部門對於技術的看法。只有在多溝通及交流了解的情況下,資安才能有效落地,從而體現資安的商業價值。

希望透過這次的訪談,能夠幫助更多人了解資安的真正意義,並將其融入到日常工作中。

2024雙獎新標竿

本期《專案經理》雜誌, 深入報導年專案管理大獎與全球十大敏捷CEO大獎的風采,透過表彰得獎者(單位)的成功經驗,讓讀者從中萃取知識...
2024雙獎新標竿
專案經理雜誌
《專案經理》雜誌是華人最有影響力專案管理雜誌,宗旨為擴大專案管理應用傳播。
邀您一同為深耕專案管理努力,您的參與,相信能為您的產品/服務,擴展商機, 無形中,也為專案經理雜誌的永續經營注入契機。
您可能也喜歡這些文章