在采訪中，Veracode的首席安全傳播官Chris Wysopal探討了CISO如何用財(cái)務(wù)指標(biāo)量化應(yīng)用風(fēng)險(xiǎn)的策略。

Wysopal概述了持續(xù)風(fēng)險(xiǎn)管理實(shí)踐和穩(wěn)健策略的必要性，以管理第三方軟件依賴關(guān)系，確保在整個(gè)軟件開發(fā)生命周期中，安全始終都是首要考慮因素。

CISO如何以財(cái)務(wù)指標(biāo)量化應(yīng)用風(fēng)險(xiǎn)，以確保高層利益相關(guān)者了解潛在影響?

CISO以財(cái)務(wù)指標(biāo)闡述應(yīng)用風(fēng)險(xiǎn)的一種方式是，將安全改進(jìn)工作與可衡量的成果(如成本節(jié)約和風(fēng)險(xiǎn)暴露減少)聯(lián)系起來(lái)，這意味著量化安全事件可能造成的財(cái)務(wù)損失，并展示預(yù)防措施如何降低這些成本。

CISO需要為團(tuán)隊(duì)配備能夠幫助他們?cè)诙唐诤烷L(zhǎng)期內(nèi)保護(hù)業(yè)務(wù)的工具。我們與Forrester共同進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，實(shí)施應(yīng)用安全措施可以為一般企業(yè)節(jié)省數(shù)百萬(wàn)美元的違規(guī)成本。

通過(guò)明確的成本效益分析，CISO可以展示自動(dòng)化安全投資如何降低昂貴事件的風(fēng)險(xiǎn)，并縮短產(chǎn)品上市時(shí)間，這種方法提供了直接的財(cái)務(wù)效益和清晰的ROI，并使安全策略與高層利益相關(guān)者對(duì)于業(yè)務(wù)增長(zhǎng)和效率的優(yōu)先事項(xiàng)保持一致。

鑒于對(duì)第三方軟件和開源組件的依賴日益增加，企業(yè)應(yīng)如何管理和監(jiān)控與外部應(yīng)用依賴相關(guān)的風(fēng)險(xiǎn)?

管理與第三方和開源依賴相關(guān)的風(fēng)險(xiǎn)需要對(duì)軟件供應(yīng)鏈安全采取強(qiáng)健、分層的方法。軟件組成分析(SCA)等工具在軟件開發(fā)生命周期(SDLC)早期持續(xù)掃描代碼以識(shí)別漏洞方面發(fā)揮著關(guān)鍵作用——生成全面的軟件材料清單(SBOM)，并提供自動(dòng)化風(fēng)險(xiǎn)評(píng)估和補(bǔ)救指導(dǎo)。

此外，高度自動(dòng)化的SDLC能夠?qū)崿F(xiàn)快速更新，從而在新漏洞出現(xiàn)時(shí)最大限度地減少暴露。開發(fā)人員教育也至關(guān)重要;它使團(tuán)隊(duì)能夠編寫安全的代碼并驗(yàn)證第三方組件的安全性。

有效整合這些工具，并結(jié)合開發(fā)人員教育，可以顯著限制對(duì)供應(yīng)鏈威脅的暴露，降低財(cái)務(wù)和聲譽(yù)風(fēng)險(xiǎn)，并保護(hù)企業(yè)的軟件生態(tài)系統(tǒng)。

在不引入瓶頸的情況下，將風(fēng)險(xiǎn)管理實(shí)踐融入DevSecOps工作流的最佳策略是什么?

為了將風(fēng)險(xiǎn)管理無(wú)縫融入軟件開發(fā)工作流，企業(yè)必須從一開始就在整個(gè)SDLC中嵌入安全。采用這種“左移策略”鼓勵(lì)團(tuán)隊(duì)盡早并經(jīng)常進(jìn)行安全檢查，確保早期發(fā)現(xiàn)漏洞，并最大限度地減少在開發(fā)過(guò)程后期發(fā)現(xiàn)問(wèn)題的可能性。我們發(fā)現(xiàn)，將自動(dòng)化集成到安全工作流中可以將開發(fā)人員的工作效率提高多達(dá)80%，使團(tuán)隊(duì)能夠?qū)①Y源重新分配給創(chuàng)新。

諸如自動(dòng)化動(dòng)態(tài)分析測(cè)試等策略，可以在保持開發(fā)速度的同時(shí)加速漏洞修復(fù)。此外，在團(tuán)隊(duì)中(從開發(fā)人員到高管)培養(yǎng)安全意識(shí)文化，確保代碼保護(hù)成為集體責(zé)任，從而在不造成不必要延誤的情況下更快地交付安全應(yīng)用程序。

CISO應(yīng)使用哪些策略來(lái)確保應(yīng)用風(fēng)險(xiǎn)管理保持為一個(gè)動(dòng)態(tài)、持續(xù)的過(guò)程，而不是定期評(píng)估?

為了保持應(yīng)用風(fēng)險(xiǎn)管理的動(dòng)態(tài)性和持續(xù)性，CISO將安全融入軟件開發(fā)的每個(gè)階段。企業(yè)不應(yīng)依賴定期評(píng)估，而應(yīng)實(shí)施實(shí)時(shí)風(fēng)險(xiǎn)分析、持續(xù)監(jiān)控和反饋機(jī)制，使團(tuán)隊(duì)能夠在漏洞出現(xiàn)時(shí)及時(shí)應(yīng)對(duì)，而不是等待計(jì)劃好的評(píng)估。融入自動(dòng)化也可以在簡(jiǎn)化這一過(guò)程中發(fā)揮關(guān)鍵作用，使已識(shí)別風(fēng)險(xiǎn)的修復(fù)更快。

在此基礎(chǔ)上，通過(guò)培訓(xùn)和明確溝通，在整個(gè)企業(yè)內(nèi)樹立安全第一的思維模式，確保風(fēng)險(xiǎn)管理能夠適應(yīng)新威脅，同時(shí)支持創(chuàng)新和合規(guī)。

企業(yè)如何評(píng)估其應(yīng)用風(fēng)險(xiǎn)管理計(jì)劃的成熟度，以及他們可以使用哪些指標(biāo)來(lái)衡量隨時(shí)間推移的風(fēng)險(xiǎn)降低情況?

評(píng)估應(yīng)用風(fēng)險(xiǎn)管理計(jì)劃的成熟度，首先要根據(jù)應(yīng)用安全(AppSec)成熟度的四個(gè)既定階段(反應(yīng)型、基礎(chǔ)型、擴(kuò)展型和高級(jí)型)對(duì)流程進(jìn)行基準(zhǔn)測(cè)試，這個(gè)框架的每個(gè)階段都提供了一個(gè)指南，用于確定每個(gè)企業(yè)在將安全融入其SDLC方面的所處位置。隨時(shí)間衡量風(fēng)險(xiǎn)降低的關(guān)鍵指標(biāo)包括漏洞趨勢(shì)、修復(fù)速度和遵守安全標(biāo)準(zhǔn)的情況。

漏洞趨勢(shì)尤其具有啟發(fā)性;監(jiān)測(cè)開發(fā)過(guò)程中發(fā)現(xiàn)的漏洞數(shù)量與生產(chǎn)環(huán)境中發(fā)現(xiàn)的漏洞數(shù)量進(jìn)行對(duì)比，可以提供有價(jià)值的見解。修復(fù)時(shí)間(修復(fù)已識(shí)別漏洞的平均時(shí)間)以及安全債務(wù)(衡量每個(gè)階段未解決漏洞的累積)也是重要指標(biāo)。

明確關(guān)注這些指標(biāo)，結(jié)合定期審查、高管支持和開發(fā)人員參與，可以創(chuàng)建一個(gè)持續(xù)改進(jìn)周期，這不僅讓企業(yè)了解其當(dāng)前狀態(tài)，還通過(guò)確保AppSec計(jì)劃不斷發(fā)展以應(yīng)對(duì)新出現(xiàn)的威脅，來(lái)增強(qiáng)企業(yè)的整體安全態(tài)勢(shì)。