在采訪中，Veracode的首席安全傳播官Chris Wysopal探討了CISO如何用財務(wù)指標(biāo)量化應(yīng)用風(fēng)險的策略。

Wysopal概述了持續(xù)風(fēng)險管理實踐和穩(wěn)健策略的必要性，以管理第三方軟件依賴關(guān)系，確保在整個軟件開發(fā)生命周期中，安全始終都是首要考慮因素。

CISO如何以財務(wù)指標(biāo)量化應(yīng)用風(fēng)險，以確保高層利益相關(guān)者了解潛在影響?

CISO以財務(wù)指標(biāo)闡述應(yīng)用風(fēng)險的一種方式是，將安全改進(jìn)工作與可衡量的成果(如成本節(jié)約和風(fēng)險暴露減少)聯(lián)系起來，這意味著量化安全事件可能造成的財務(wù)損失，并展示預(yù)防措施如何降低這些成本。

CISO需要為團(tuán)隊配備能夠幫助他們在短期和長期內(nèi)保護(hù)業(yè)務(wù)的工具。我們與Forrester共同進(jìn)行的一項研究發(fā)現(xiàn)，實施應(yīng)用安全措施可以為一般企業(yè)節(jié)省數(shù)百萬美元的違規(guī)成本。

通過明確的成本效益分析，CISO可以展示自動化安全投資如何降低昂貴事件的風(fēng)險，并縮短產(chǎn)品上市時間，這種方法提供了直接的財務(wù)效益和清晰的ROI，并使安全策略與高層利益相關(guān)者對于業(yè)務(wù)增長和效率的優(yōu)先事項保持一致。

鑒于對第三方軟件和開源組件的依賴日益增加，企業(yè)應(yīng)如何管理和監(jiān)控與外部應(yīng)用依賴相關(guān)的風(fēng)險?

管理與第三方和開源依賴相關(guān)的風(fēng)險需要對軟件供應(yīng)鏈安全采取強(qiáng)健、分層的方法。軟件組成分析(SCA)等工具在軟件開發(fā)生命周期(SDLC)早期持續(xù)掃描代碼以識別漏洞方面發(fā)揮著關(guān)鍵作用——生成全面的軟件材料清單(SBOM)，并提供自動化風(fēng)險評估和補(bǔ)救指導(dǎo)。

此外，高度自動化的SDLC能夠?qū)崿F(xiàn)快速更新，從而在新漏洞出現(xiàn)時最大限度地減少暴露。開發(fā)人員教育也至關(guān)重要;它使團(tuán)隊能夠編寫安全的代碼并驗證第三方組件的安全性。

有效整合這些工具，并結(jié)合開發(fā)人員教育，可以顯著限制對供應(yīng)鏈威脅的暴露，降低財務(wù)和聲譽風(fēng)險，并保護(hù)企業(yè)的軟件生態(tài)系統(tǒng)。

在不引入瓶頸的情況下，將風(fēng)險管理實踐融入DevSecOps工作流的最佳策略是什么?

為了將風(fēng)險管理無縫融入軟件開發(fā)工作流，企業(yè)必須從一開始就在整個SDLC中嵌入安全。采用這種“左移策略”鼓勵團(tuán)隊盡早并經(jīng)常進(jìn)行安全檢查，確保早期發(fā)現(xiàn)漏洞，并最大限度地減少在開發(fā)過程后期發(fā)現(xiàn)問題的可能性。我們發(fā)現(xiàn)，將自動化集成到安全工作流中可以將開發(fā)人員的工作效率提高多達(dá)80%，使團(tuán)隊能夠?qū)①Y源重新分配給創(chuàng)新。

諸如自動化動態(tài)分析測試等策略，可以在保持開發(fā)速度的同時加速漏洞修復(fù)。此外，在團(tuán)隊中(從開發(fā)人員到高管)培養(yǎng)安全意識文化，確保代碼保護(hù)成為集體責(zé)任，從而在不造成不必要延誤的情況下更快地交付安全應(yīng)用程序。

CISO應(yīng)使用哪些策略來確保應(yīng)用風(fēng)險管理保持為一個動態(tài)、持續(xù)的過程，而不是定期評估?

為了保持應(yīng)用風(fēng)險管理的動態(tài)性和持續(xù)性，CISO將安全融入軟件開發(fā)的每個階段。企業(yè)不應(yīng)依賴定期評估，而應(yīng)實施實時風(fēng)險分析、持續(xù)監(jiān)控和反饋機(jī)制，使團(tuán)隊能夠在漏洞出現(xiàn)時及時應(yīng)對，而不是等待計劃好的評估。融入自動化也可以在簡化這一過程中發(fā)揮關(guān)鍵作用，使已識別風(fēng)險的修復(fù)更快。

在此基礎(chǔ)上，通過培訓(xùn)和明確溝通，在整個企業(yè)內(nèi)樹立安全第一的思維模式，確保風(fēng)險管理能夠適應(yīng)新威脅，同時支持創(chuàng)新和合規(guī)。

企業(yè)如何評估其應(yīng)用風(fēng)險管理計劃的成熟度，以及他們可以使用哪些指標(biāo)來衡量隨時間推移的風(fēng)險降低情況?

評估應(yīng)用風(fēng)險管理計劃的成熟度，首先要根據(jù)應(yīng)用安全(AppSec)成熟度的四個既定階段(反應(yīng)型、基礎(chǔ)型、擴(kuò)展型和高級型)對流程進(jìn)行基準(zhǔn)測試，這個框架的每個階段都提供了一個指南，用于確定每個企業(yè)在將安全融入其SDLC方面的所處位置。隨時間衡量風(fēng)險降低的關(guān)鍵指標(biāo)包括漏洞趨勢、修復(fù)速度和遵守安全標(biāo)準(zhǔn)的情況。

漏洞趨勢尤其具有啟發(fā)性;監(jiān)測開發(fā)過程中發(fā)現(xiàn)的漏洞數(shù)量與生產(chǎn)環(huán)境中發(fā)現(xiàn)的漏洞數(shù)量進(jìn)行對比，可以提供有價值的見解。修復(fù)時間(修復(fù)已識別漏洞的平均時間)以及安全債務(wù)(衡量每個階段未解決漏洞的累積)也是重要指標(biāo)。

明確關(guān)注這些指標(biāo)，結(jié)合定期審查、高管支持和開發(fā)人員參與，可以創(chuàng)建一個持續(xù)改進(jìn)周期，這不僅讓企業(yè)了解其當(dāng)前狀態(tài)，還通過確保AppSec計劃不斷發(fā)展以應(yīng)對新出現(xiàn)的威脅，來增強(qiáng)企業(yè)的整體安全態(tài)勢。