<
>

2019年新闻稿

2019年1月25日

Devops的CISO视图

Cyber Ark. ,全球领导者 特权访问安全性今天发出了一份新的研究报告,“CISO视图:保护Devops和云环境中的特权访问。“根据全球1000个Cisos小组的直接经验,该报告为安全团队提供建议,以帮助有效地评估风险,驱动开发人员协作,并确定保护DevOps进程的步骤,同时保持开发人员速度。

该报告是一部分  CISO视图  行业倡议和高管在采用Devops方法和工具的领先组织的贡献,包括美国运通公司,美国财务集团,亚洲开发银行,卡尔森Wagonlit Travel,Cibc,Gic Private Limited,ING银行,洛克希德马丁,NTT通讯,橙色商业服务,Pearson,罗克韦尔自动化和星巴克。由Cyber​​ Ark赞助,该倡议将领先的Cisos汇集在一起​​,用于对等信息共享,以帮助安全团队构建有效  网络安全  programs.

虽然安全策略应该解决  特权访问  和无担保机密和凭证的风险,他们也应该与之密切对齐  德沃斯  文化和方法,以避免对开发人员速度产生负面影响和减慢新服务的释放。尽管如此,73%的组织为2018年调查 Cyber​​ Ark全球高级威胁景观报告 没有策略来解决Devops的特权访问安全性。

该报告总结了基于参与CISOS的现实世界经验的五项重要建议,包括:

  1. 将安全团队转变为Devops Partners  - 确保安全从业者和开发人员具有正确的技能,使开发人员可以轻松做正确的事项,鼓励协作并在安全性中采用敏捷Devops方法。

  2. 确定保护Devops工具和基础设施的优先级  - 设置和强制执行工具选择和配置的策略,控制对DevOps工具的访问权限,可确保最不特权和保护和监控基础架构。

  3. 建立确保凭证和秘密的企业要求  - 授权秘密的集中管理,扩展审计和监视功能,消除工具和应用程序的凭据,并开发可重用的代码模块。

  4. 适应应用程序测试的过程  - 集成代码的自动化测试,强迫开发人员使用“破解”方法来修复安全问题,并考虑BUG赏金程序。

  5. 评估Devops安全计划的结果 – Test  秘密管理  解决方案部署,衡量和促进改进和教育审计师。

“这份CISO查看报告捕获了牢固地拥有Devops工作流程的高级管理人员的经验和建议, Marianne Budnik,CMO,Cyber​​ Ark。 “对于开展数字转型计划的组织来说,在新工具和技术跨越安全和风险姿势,从未如此重要。在了解组织和业务挑战方面,安全团队可以更有效地推动跨执行,安全和开发人员团队的富有成效的讨论。“

本报告是CISO View Report系列中的第三次,该系列是与独立研究公司罗宾逊洞察力开发的,依赖于CISO View专家组,安全社区和其他行业专家成员的CISO View小组贡献的见解和指导。