根據(jù)Digital.ai的調(diào)查，2020年上半年，受新冠疫情刺激，全球企業(yè)敏捷化加速，55%的受訪者表示，他們的公司計(jì)劃在未來12-14個(gè)月內(nèi)增加對敏捷的使用。這比年初疫情尚未全球爆發(fā)前增加了13%。此外，33%的人表示，他們在過去90天內(nèi)增加或擴(kuò)展了敏捷的采用率，以幫助管理分布式團(tuán)隊(duì)。

[[339942]]

根據(jù)佐格比分析(Zogby Analytics)的最新報(bào)告，在疫情造成的停擺前后，讓大部分員工進(jìn)行遠(yuǎn)程辦公的企業(yè)數(shù)量從21%增長到70%，增加了兩倍以上。40%的受訪企業(yè)(為新冠疫情爆發(fā)前的兩倍)表示將讓大部分員工永久遠(yuǎn)程辦公。

在疫情防控表現(xiàn)最好的國家之一中國，疫情爆發(fā)前僅有十分之一的企業(yè)讓半數(shù)以上員工進(jìn)行遠(yuǎn)程辦公(90%的受訪企業(yè)遠(yuǎn)程辦公人員不足50%);疫情發(fā)生后，中國企業(yè)的這一數(shù)字增加到63%。

與此同時(shí)，伴隨著企業(yè)無邊界化和敏捷化，全球網(wǎng)絡(luò)釣魚攻擊增加了600%，勒索軟件攻擊增加了148%，F(xiàn)BI報(bào)告的網(wǎng)絡(luò)犯罪增加了300%。網(wǎng)絡(luò)犯罪分子在新冠病毒大流行期間正開足馬力，不斷升級攻擊技術(shù)和戰(zhàn)術(shù)，以每周拿下一家百年老店的速度肆虐全球。

為了跟上不斷增長的威脅級別并在遠(yuǎn)程辦公的新常態(tài)中取得成果，許多企業(yè)正在采用敏捷方法。敏捷曾經(jīng)被認(rèn)為是DevOps的地盤，但近年來，以DevSecOps為代表的“敏捷安全”正在成為敏捷的重要陣地。

敏捷是一種迭代的工作方式，鼓勵(lì)迅速釋放較小的價(jià)值，而不需要大型傳統(tǒng)項(xiàng)目的漫長導(dǎo)入時(shí)間。隨著環(huán)境變化以滿足不斷變化的業(yè)務(wù)需求，結(jié)果可以不斷得到快速改善。許多公司都從敏捷方法交付軟件中受益，敏捷化工作方式正在擴(kuò)展到包括越來越多的安全團(tuán)隊(duì)。

敏捷為網(wǎng)絡(luò)安全帶來了巨大的好處，因?yàn)榘踩珗F(tuán)隊(duì)面臨著不斷發(fā)展變化的威脅，而攻擊者已經(jīng)具備了敏捷化的特質(zhì)，會快速調(diào)整方法以找到最佳的攻擊媒介。

當(dāng)安全遇見敏捷：從團(tuán)隊(duì)合作到價(jià)值流管理

Digital.ai的2020敏捷全球調(diào)查報(bào)告調(diào)查了1000多名全球IT和商務(wù)專業(yè)人士，60%的受訪者表示，敏捷不僅幫助加快了產(chǎn)品上市速度，而且提高了團(tuán)隊(duì)生產(chǎn)力。

組織采用敏捷的主要推動力來自于希望加速向客戶交付價(jià)值以及能夠快速響應(yīng)不斷變化的環(huán)境。調(diào)查發(fā)現(xiàn)，采用敏捷的第二大原因是增強(qiáng)了管理不斷變化的優(yōu)先級的能力，三分之二(63%)的受訪者將此作為主要?jiǎng)訖C(jī)。

這一關(guān)鍵優(yōu)勢使得敏捷在業(yè)務(wù)的許多領(lǐng)域得到采用，其中軟件開發(fā)和IT最受歡迎，分別占37%和26%。但是，值得注意的是，敏捷方法越來越多地用于運(yùn)營、市場營銷、人力資源和銷售中。網(wǎng)絡(luò)安全也不例外，因?yàn)槊艚菘梢詭椭踩珗F(tuán)隊(duì)?wèi)?yīng)對不斷發(fā)展的威脅。

事實(shí)上，敏捷的概念已經(jīng)存在了近20年，其理論框架和應(yīng)用領(lǐng)域至今已經(jīng)歷了幾次重大的“迭代升級”。以下，我們回顧敏捷發(fā)展歷程，看看敏捷是如何與安全走到一起的：

敏捷始于2000年代后期的Scrum框架，該框架專注于團(tuán)隊(duì)合作，問責(zé)制以及用于硬件和軟件開發(fā)的迭代版本。在2000年代初，它通過各種擴(kuò)展框架進(jìn)行了擴(kuò)展，允許多個(gè)小型團(tuán)隊(duì)在產(chǎn)品的各個(gè)單元進(jìn)行有效的協(xié)作。如今，與傳統(tǒng)的面對面互動相比，團(tuán)隊(duì)以多種方式進(jìn)行協(xié)作，有71%的公司報(bào)告團(tuán)隊(duì)在多個(gè)地區(qū)進(jìn)行協(xié)作。

隨著公司開始從提高的開發(fā)效率中受益，他們意識到下一個(gè)瓶頸實(shí)際上是將新產(chǎn)品投入生產(chǎn)。這導(dǎo)致DevOps在2010年代中期的知名度上升，從而導(dǎo)致敏捷實(shí)踐和文化的擴(kuò)展。為此，超過90%的受訪者現(xiàn)在高度重視DevOps，而75%的組織正在積極計(jì)劃和/或?qū)嵤┻@一領(lǐng)域的轉(zhuǎn)型。正在進(jìn)行DevOps轉(zhuǎn)型的組織希望實(shí)現(xiàn)：更快的交付速度(70%)、提高的質(zhì)量(62%)和降低的風(fēng)險(xiǎn)(48%)。在日益數(shù)字化的世界中，至關(guān)重要的是盡快向消費(fèi)者提供高質(zhì)量、有價(jià)值的軟件。

隨著DevOps開始解決運(yùn)營瓶頸，組織開始看到其他領(lǐng)域的問題，并意識到他們需要關(guān)注整個(gè)端到端的價(jià)值流。價(jià)值流管理(VSM)通過提供一種通過人員，流程和技術(shù)的組合來衡量和改善組織內(nèi)工作流程的系統(tǒng)方法，有助于縮短實(shí)現(xiàn)價(jià)值的時(shí)間。

當(dāng)前，80%的受訪者表示有興趣，正在計(jì)劃實(shí)施或正在實(shí)施VSM。端到端了解組織中的價(jià)值流向?qū)⑹构緦?shí)際結(jié)果與交付聯(lián)系起來，從而大大改善了計(jì)劃和交付的價(jià)值視圖。

VSM的興起推動企業(yè)將安全性整合到DevOps流程中，而不是事后才想到創(chuàng)建DevSecOps。這種方法使組織能夠在開發(fā)過程中解決安全問題，減少周期時(shí)間，并在提高質(zhì)量和簡化工作流程的同時(shí)減少返工。此外，這還意味著安全團(tuán)隊(duì)現(xiàn)在可以在DevOps這張桌子邊坐下來，確保整個(gè)應(yīng)用程序開發(fā)生命周期的安全性。

安全敏捷化的挑戰(zhàn)

在談?wù)摪踩拿艚莼?，我們有必要先回顧一下《敏捷宣言》的十二條“天規(guī)”：

• 客戶是最重要的。
• 擁抱變化。
• 經(jīng)常發(fā)布有效的軟件版本，使客戶高興。
• 日常協(xié)調(diào)。
• 開發(fā)人員應(yīng)積極面對挑戰(zhàn)。
• 鼓勵(lì)面對面的交流。
• 如果某個(gè)功能或產(chǎn)品運(yùn)行良好，則可以評估進(jìn)度。
• 保持團(tuán)隊(duì)發(fā)布可用軟件的進(jìn)度不變。
• 關(guān)注細(xì)節(jié)。
• 您應(yīng)該以最快的方式完成所需的工作，而不是追求做得更多。
• 跨職能團(tuán)隊(duì)才是最好的。
• 不斷獲取反饋。

我們不清楚有多少網(wǎng)絡(luò)安全企業(yè)致力于敏捷化，但可以確定的是，笑傲江湖多年的惡意軟件之王——Emotet背后的黑客團(tuán)隊(duì)，是一個(gè)將《敏捷宣言》和敏捷價(jià)值觀奉為圭臬的敏捷組織。而且，Emotet絕不會是最后一個(gè)受益于敏捷化的網(wǎng)絡(luò)犯罪組織。

敏捷框架有如此多的優(yōu)點(diǎn)，為什么至今沒有成為主流企業(yè)方法呢?阻力主要來自企業(yè)內(nèi)部的的嚴(yán)重障礙。

當(dāng)你想把一個(gè)場均1：0的足球隊(duì)改造成場均120分的籃球隊(duì)，其難度不亞于把狗腦子打出豬腦子。

調(diào)查顯示，超過40%的受訪者認(rèn)為，企業(yè)整體上對變革的抵制，領(lǐng)導(dǎo)參與程度不足，團(tuán)隊(duì)之間的做法不一致，企業(yè)文化與敏捷價(jià)值觀背道而馳。需要指出的是，超過五年來，這些一直是企業(yè)采用敏捷的最大障礙。

領(lǐng)導(dǎo)層必須了解使敏捷生態(tài)系統(tǒng)發(fā)揮作用的原則，并努力進(jìn)行必要的組織變革才能享受“敏捷紅利”。但不幸的是具備敏捷思維的領(lǐng)導(dǎo)者可謂鳳毛麟角。

敏捷獲得成功還取決于實(shí)施行之有效的實(shí)踐和原則，這些實(shí)踐和原則是通過沉浸于這種工作方式的文化來執(zhí)行的。我們看到越來越多的管理層開始學(xué)習(xí)并擁有這些核心敏捷價(jià)值。很明顯，還有很多工作要做，這令人鼓舞，因?yàn)槠髽I(yè)的成功取決于“運(yùn)動”。

在應(yīng)付全球疫情帶來的新挑戰(zhàn)的同時(shí)，面對功力勇猛精進(jìn)的攻擊者，企業(yè)需要更快的反應(yīng)速度。那些采用敏捷方法的企業(yè)能夠更好地應(yīng)對不斷變化的狀況，同時(shí)保持產(chǎn)品質(zhì)量和安全性。

網(wǎng)絡(luò)安全當(dāng)下的熱點(diǎn)依然是“見招拆招”的檢測與響應(yīng)，未來，隨著人工智能與網(wǎng)絡(luò)安全技術(shù)的融合，“奇門遁甲”的分析與預(yù)測將成為下一個(gè)熱點(diǎn)。而敏捷化，則是網(wǎng)絡(luò)安全行業(yè)打贏這場戰(zhàn)爭的關(guān)鍵所在。

新冠疫情可以關(guān)閉面對面溝通的門，卻為我們打開了遠(yuǎn)程分布式團(tuán)隊(duì)乃至全球網(wǎng)絡(luò)安全人才的窗戶。2020年，面對一個(gè)高度不確定的十年，安全行業(yè)的敏捷化變革，已經(jīng)迎來最佳時(shí)機(jī)。甲方敏捷了，黑客敏捷了，你還愣著干啥?

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文