安全工程是一个快速发展的领域，对业务的各个方面都有巨大的影响 数万亿美元 利害关系. 在这个问我任何问题的Q中&A, Toptal安全工程师Gökay pek为世界各地的软件开发人员解答问题, 涵盖主要的法规遵循框架, 顶级云和AWS安全检查, 以及 DevSecOps 在云端.

在他职业生涯的早期, Gökay became one of Turkey’s first Certified Ethical Hackers; he later built Turkey’s first DevSecOps continuous integration and continuous delivery (CI/CD) pipeline. 他是Prime Threat的创始人兼首席执行官, 这是一家帮助企业进行GDPR合规和风险管理的网络安全咨询公司, 并带来了15年的IT安全经验.

编者注:为了清晰和简洁，一些问题和答案经过了编辑.

开发运维和安全工程入门

安全工程师是做什么的? 你每天都在做什么样的工作?

—M.D.，美国西雅图

A 安全工程师 保护组织的数字资产和数据免受网络威胁. 他们评估风险, 设计和实施安全措施, 并执行政策和程序，确保资讯科技资源的完整性和保密性. 安全工程师定期进行审计, 管理漏洞, 并应对安全事件, 努力防止违规并减轻其影响.

我的日常工作很大程度上取决于我在做什么样的项目. 如果这是一个信息安全项目, 我通常分析策略, 检查流程, 调整它们以适应各自公司的动态, 写文档. 如果这是一个网络安全项目, 我通常做渗透测试, 控制规则和配置, 实施或改进保障措施. 我喜欢作为虚拟首席信息安全官(vCISO)与公司合作，因为我喜欢制定战略并指导团队如何实施这些战略.

你能告诉我们更多关于如何成为一名安全工程师吗? 你是怎么进入这个行业的?

—S.S.美国明尼阿波利斯市

在攻读计算机工程学士学位期间, 我成为了土耳其首批获得认证的道德黑客之一. 这自然促使我成为一名安全专业人员. 在我的职业生涯中, 我一直专注于基本面, 尤其是Linux, 网络, 和C. 我还花时间培训和指导他人, 随着时间的推移，它发展了我的专业网络，并进一步提高了我的技能.

成为一名安全工程师, 你可能想在计算机科学方面接受高等教育, 信息技术, 或网络安全. 你也可以考虑在这些领域寻找实习机会. 开发编程语言的基础技术专长需要时间, 操作系统, 以及网络概念. 熟悉网络安全和DevOps基础知识, 包括加密, 访问控制, 安全协议. 超越技术技能, 有效的沟通和解决问题的能力是在这个领域取得成功的关键.

W你建议人们走哪条路 DevOps 和云基础设施来扩展他们的领域知识 网络安全和DevSecOps? 你有什么书或课程可以推荐吗?

—W.Y.加拿大温哥华

如果你是初学者，你可以从追求一个 另一 or OSCP课程但你需要的不仅仅是证书来磨练你的专业技能. 书 网络安全要点 查尔斯·J. Brooks等人. 能否提供网络安全基础知识的全面介绍. 具有DevOps和云基础设施背景的人应该关注云安全，并可能从阅读中受益 云安全与隐私 作者:蒂姆·马瑟、苏布拉·库马拉斯瓦米和沙希德·拉蒂夫. 在此基础上，您可以通过阅读进一步探索DevOps安全集成 DevOpsSec 吉姆·伯德和 确保DevOps by Julien Vehent; both books provide insight into this area.

什么是DevSecOps 没错，刚开始使用它的组织如何顺利地合并 安全导入DevOps? 对于那些白手起家的人来说，建立以安全为中心的文化的最佳方式是什么?

—K.S.加拿大蒙特利尔

在我看来, DevSecOps代表了企业目前可以投资的最关键的转型. 自动化是一个管理员:它消除了错误的风险, 并且独立于人性的消极方面而行动. 例行公事可能是一种负担, 而且手工操作有太多出错或粗心的机会. 重复同样的任务会使我们效率低下，使我们失去注意力和兴趣. 作为人类，我们需要挑战和新的体验. 谁想从一个模板部署相同的机器, 一遍又一遍地重复同样的规则, 或者阅读源代码，直到时间结束? 我想没人知道.

DevSecOps将IT的三个关键元素混合在一起:开发、安全和IT运营. 把这些巨大的话题聚集在一起是很有挑战性的, 把它们作为一个有凝聚力的单位来管理就更难了. 我已经实现或参与了许多不同的CI/CD管道, 我亲眼看到，当你消除了手工操作的负担后，操作是如何立即变得更有效率的.

Establishing a security culture is hard; in fact, 我想说，从内部培养几乎是不可能的. 可能会遇到员工的抵制，因为他们可能已经习惯了自己的方式, 你需要有人指引你，照亮你的道路. 大多数时候，这意味着你需要咨询师介入.

企业的安全考虑和最佳实践

主要法规遵循框架之间的主要区别是什么? 有没有特别适合特定行业的?

—K.S.加拿大蒙特利尔

框架和标准在应用于实体或资产时是相同的, 但它们因行业而异. 可以这样想:防火墙就是防火墙——不管你把它放在哪里. 如果您根据实体的属性来评估实体，那么它们在每个框架中的行为都是相同的. 但是, 目的 实体或资产的价值将因行业而异. 例如, 网络服务器可以为银行公司处理金融数据, 但它将处理医疗机构的个人身份信息(PII):同一实体, 不同的部门, 不同的结果.

ISO 27001 最常见的安全标准是什么. 大多数标准和框架都建立在ISO 27001的基础上, 所以这是最好的起点, 不管是哪个行业. 把它应用到你的日常工作中是理解它的最简单方法.

你会推荐哪些基本的安全检查来测试一个web应用程序?

—K.G.， Łódź，波兰

前十名的名单 开放Web应用程序安全项目 (OWASP) is a must for web application security; I recommend it to everyone. 它是一个标准化的、对开发人员友好的资源集合，可以帮助组织识别, 优先考虑, 并减轻web应用程序中最关键的安全漏洞. 它也会定期更新.

有这么多不同的AWS产品, 关于AWS安全最佳实践，团队应该从哪里开始? 最需要保护的关键服务是什么?

—K.S.加拿大蒙特利尔

这个问题的答案很大程度上取决于你使用的是什么服务. AWS is a vast world; there are so many different tools and services at every level of the tech stack. 身份和访问管理(我), web应用防火墙(WAF), VPC (virtual private cloud), 云Trail, S3桶安全性, 基础设施即代码(IaC)工具都是很好的起点, 适用于大多数大规模运营的AWS用户. 您可能希望了解一些用于数据安全和自动化的其他工具, 取决于您的具体用例. 我建议你咨询一下 AWS专家 确定您的需求.

网络安全的未来

你能概括一下技术进步的影响吗 生成的人工智能 关于你的工作?

—J.B.奥地利维也纳

我创造道路，生成式人工智能走这条路. 我告诉它创建独特的文档集，以符合公司的特定框架. 我要求它检查代码，看看它是否容易受到任何攻击，或者确定配置文件是否可能导致网络安全攻击.

生成式人工智能感觉像是这个领域的一个全新前沿. 我每天都用它. 当我需要快速学习如何使用新工具和技术时，它特别有帮助.

在基于云的环境中实现零信任架构(ZTA)时面临哪些挑战?

—O.T.，伊斯坦布尔，土耳其

零信任 摆出“永不信任”的原则, 始终把验证转化为行动, 作为对更传统的“隐性信任”方法的回应,在这种情况下，用户和他们的设备在经过验证并连接到允许的网络后，被认为是值得信赖的. ZTA是关于权限管理的:它旨在防止恶意行为者通过网络横向移动，到达他们没有明确授予访问权限的敏感材料.

然而, ZTA是一个经常被误解的话题，因为安全供应商越来越多地重新营销他们的产品，以利用这个术语的新颖性, 即使它可能不相关或不适用. 它们通常描述任何防火墙、端点保护平台或访问管理工具(如 我)，但这在技术上是不正确的. Merely applying a security product to a network is a much different experience than maintaining a culture of security within that network; no individual product can replace the ongoing work required to put ZTA into practice.

在实现ZTA之前, 你必须考虑所有相关的利益相关者, 股东, 供应商, 并认真考虑连接关系. 与我们在企业软件中使用的环境相比，云意味着一个更灵活、更自由的环境. 让它成为现实, 公司需要一丝不苟地确定真正需要保护的东西. 保护机密信息不仅是一种道德义务，对商业也有好处. 通过保护你的经济引擎，你可以建立信任并保持竞争优势.

你认为漏洞利用将如何继续发展? 最初我们是二元注射, web开发, SQL注入, 和HTTP妥协——更不用说老式的社会工程了, 喜欢钓鱼. 接下来是什么? 最新的流行趋势是什么?

—J.O.福塔莱萨，巴西

生成式人工智能刚刚开始向我们展示前所未有的独特漏洞和有效负载. 这对我们不利. 没过多久, 由于人工智能创造的新载体，我们将开始看到不同的攻击方法和利用. 我希望我能多说一点，但分享太多细节会很危险.

展望未来, 每一种新的攻击都将通过收集和响应环境中的信息来进化和改变自己. 我们也开始看到袭击 on 基于人工智能的操作，比如 数据中毒 在生成式人工智能生态系统中. 事情会改变的. 安全专家已经在设计即时防火墙来防止ChatGPT数据泄露.

下一件大事将是量子安全，但现在讨论它可能还为时过早. 量子安全是一个跨学科的领域，它结合了量子物理学的各个方面, 数学, 计算机科学, 并为跨这些领域的合作提供了机会. 有远见的组织, 特别是那些有长期数据保护需求的公司, 正在探索和采用 抗量子加密解决方案 以确保未来的数据安全.

然而, 值得注意的是，虽然量子安全正在获得动力, 在某些用例中，它可能只是部分地取代传统加密. 一些加密算法在计算上是安全的，甚至可以抵御量子攻击, 并不是所有的数据都需要抗量子加密.

Toptal工程博客的编辑团队向 Aditya克里斯 用于回顾本文中介绍的技术内容.