安全工程是一个快速发展的领域，对业务的各个方面都有巨大的影响 trillions of dollars at stake. In this ask-me-anything-style Q&A, Toptal安全工程师Gökay pek为世界各地的软件开发人员解答问题, 涵盖主要的法规遵循框架, 顶级云和AWS安全检查, and the importance of DevSecOps in the cloud.

Early in his career, Gökay became one of Turkey’s first Certified Ethical Hackers; he later built Turkey’s first DevSecOps continuous integration and continuous delivery (CI/CD) pipeline. 他是Prime Threat的创始人兼首席执行官, 这是一家帮助企业进行GDPR合规和风险管理的网络安全咨询公司, 并带来了15年的IT安全经验.

编者注:为了清晰和简洁，一些问题和答案经过了编辑.

开发运维和安全工程入门

安全工程师是做什么的? 你每天都在做什么样的工作?

—M.D., Seattle, United States

A security engineer 保护组织的数字资产和数据免受网络威胁. They assess risks, 设计和实施安全措施, 并执行政策和程序，确保资讯科技资源的完整性和保密性. 安全工程师定期进行审计, manage vulnerabilities, 并应对安全事件, 努力防止违规并减轻其影响.

我的日常工作很大程度上取决于我在做什么样的项目. 如果这是一个信息安全项目, I usually analyze the strategy, check the processes, 调整它们以适应各自公司的动态, and write documentation. 如果这是一个网络安全项目, 我通常做渗透测试, 控制规则和配置, 实施或改进保障措施. 我喜欢作为虚拟首席信息安全官(vCISO)与公司合作，因为我喜欢制定战略并指导团队如何实施这些战略.

你能告诉我们更多关于如何成为一名安全工程师吗? 你是怎么进入这个行业的?

—S.S., Minneapolis, United States

在攻读计算机工程学士学位期间, 我成为了土耳其首批获得认证的道德黑客之一. 这自然促使我成为一名安全专业人员. Throughout my career, 我一直专注于基本面, particularly Linux, networking, and C. 我还花时间培训和指导他人, 随着时间的推移，它发展了我的专业网络，并进一步提高了我的技能.

To become a security engineer, 你可能想在计算机科学方面接受高等教育, information technology, or cybersecurity. 你也可以考虑在这些领域寻找实习机会. 开发编程语言的基础技术专长需要时间, operating systems, and networking concepts. 熟悉网络安全和DevOps基础知识, including encryption, access control, and security protocols. Beyond technical skills, 有效的沟通和解决问题的能力是在这个领域取得成功的关键.

W你建议人们走哪条路 DevOps 和云基础设施来扩展他们的领域知识 cybersecurity and DevSecOps? 你有什么书或课程可以推荐吗?

—W.Y., Vancouver, Canada

如果你是初学者，你可以从追求一个 CEH or OSCP course但你需要的不仅仅是证书来磨练你的专业技能. Books like Cybersecurity Essentials by Charles J. Brooks et al. 能否提供网络安全基础知识的全面介绍. 具有DevOps和云基础设施背景的人应该关注云安全，并可能从阅读中受益 Cloud Security and Privacy 作者:蒂姆·马瑟、苏布拉·库马拉斯瓦米和沙希德·拉蒂夫. 在此基础上，您可以通过阅读进一步探索DevOps安全集成 DevOpsSec by Jim Bird and Securing DevOps by Julien Vehent; both books provide insight into this area.

What is DevSecOps 没错，刚开始使用它的组织如何顺利地合并 security into DevOps? 对于那些白手起家的人来说，建立以安全为中心的文化的最佳方式是什么?

—K.S., Montreal, Canada

In my opinion, DevSecOps代表了企业目前可以投资的最关键的转型. 自动化是一个管理员:它消除了错误的风险, 并且独立于人性的消极方面而行动. ​​Routines can be a burden, 而且手工操作有太多出错或粗心的机会. 重复同样的任务会使我们效率低下，使我们失去注意力和兴趣. 作为人类，我们需要挑战和新的体验. 谁想从一个模板部署相同的机器, 一遍又一遍地重复同样的规则, 或者阅读源代码，直到时间结束? I don’t think anyone does.

DevSecOps将IT的三个关键元素混合在一起:开发、安全和IT运营. 把这些巨大的话题聚集在一起是很有挑战性的, 把它们作为一个有凝聚力的单位来管理就更难了. 我已经实现或参与了许多不同的CI/CD管道, 我亲眼看到，当你消除了手工操作的负担后，操作是如何立即变得更有效率的.

Establishing a security culture is hard; in fact, 我想说，从内部培养几乎是不可能的. 可能会遇到员工的抵制，因为他们可能已经习惯了自己的方式, 你需要有人指引你，照亮你的道路. 大多数时候，这意味着你需要咨询师介入.

企业的安全考虑和最佳实践

主要法规遵循框架之间的主要区别是什么? 有没有特别适合特定行业的?

—K.S., Montreal, Canada

框架和标准在应用于实体或资产时是相同的, but they differ for industries. 可以这样想:防火墙就是防火墙——不管你把它放在哪里. 如果您根据实体的属性来评估实体，那么它们在每个框架中的行为都是相同的. But the purpose 实体或资产的价值将因行业而异. For example, 网络服务器可以为银行公司处理金融数据, 但它将处理医疗机构的个人身份信息(PII):同一实体, different sector, different outcomes.

ISO 27001 最常见的安全标准是什么. 大多数标准和框架都建立在ISO 27001的基础上, 所以这是最好的起点, regardless of the industry. 把它应用到你的日常工作中是理解它的最简单方法.

你会推荐哪些基本的安全检查来测试一个web应用程序?

—K.G., Łódź, Poland

The top 10 list from the 开放Web应用程序安全项目 (OWASP) is a must for web application security; I recommend it to everyone. 它是一个标准化的、对开发人员友好的资源集合，可以帮助组织识别, prioritize, 并减轻web应用程序中最关键的安全漏洞. 它也会定期更新.

有这么多不同的AWS产品, 关于AWS安全最佳实践，团队应该从哪里开始? 最需要保护的关键服务是什么?

—K.S., Montreal, Canada

这个问题的答案很大程度上取决于你使用的是什么服务. AWS is a vast world; there are so many different tools and services at every level of the tech stack. 身份和访问管理(IAM), web application firewall (WAF), virtual private cloud (VPC), CloudTrail, S3 bucket security, 基础设施即代码(IaC)工具都是很好的起点, 适用于大多数大规模运营的AWS用户. 您可能希望了解一些用于数据安全和自动化的其他工具, 取决于您的具体用例. 我建议你咨询一下 AWS specialist to determine your needs.

The Future of Cybersecurity

你能概括一下技术进步的影响吗 generative AI on your work?

—J.B., Vienna, Austria

我创造道路，生成式人工智能走这条路. 我告诉它创建独特的文档集，以符合公司的特定框架. 我要求它检查代码，看看它是否容易受到任何攻击，或者确定配置文件是否可能导致网络安全攻击.

生成式人工智能感觉像是这个领域的一个全新前沿. I use it daily. 当我需要快速学习如何使用新工具和技术时，它特别有帮助.

在基于云的环境中实现零信任架构(ZTA)时面临哪些挑战?

—O.T., Istanbul, Turkey

Zero trust 摆出“永不信任”的原则, always verify” into action, 作为对更传统的“隐性信任”方法的回应,在这种情况下，用户和他们的设备在经过验证并连接到允许的网络后，被认为是值得信赖的. ZTA是关于权限管理的:它旨在防止恶意行为者通过网络横向移动，到达他们没有明确授予访问权限的敏感材料.

However, ZTA是一个经常被误解的话题，因为安全供应商越来越多地重新营销他们的产品，以利用这个术语的新颖性, 即使它可能不相关或不适用. 它们通常描述任何防火墙、端点保护平台或访问管理工具(如 IAM)，但这在技术上是不正确的. Merely applying a security product to a network is a much different experience than maintaining a culture of security within that network; no individual product can replace the ongoing work required to put ZTA into practice.

Before you implement ZTA, 你必须考虑所有相关的利益相关者, shareholder, supplier, 并认真考虑连接关系. 与我们在企业软件中使用的环境相比，云意味着一个更灵活、更自由的环境. To make that a reality, 公司需要一丝不苟地确定真正需要保护的东西. 保护机密信息不仅是一种道德义务，对商业也有好处. 通过保护你的经济引擎，你可以建立信任并保持竞争优势.

你认为漏洞利用将如何继续发展? 最初我们是二元注射, web exploitation, SQL injection, 和HTTP妥协——更不用说老式的社会工程了, like phishing. What’s next? What’s the newest trend?

—J.O., Fortaleza, Brazil

生成式人工智能刚刚开始向我们展示前所未有的独特漏洞和有效负载. It works against us. Before long, 由于人工智能创造的新载体，我们将开始看到不同的攻击方法和利用. 我希望我能多说一点，但分享太多细节会很危险.

Going forward, 每一种新的攻击都将通过收集和响应环境中的信息来进化和改变自己. 我们也开始看到袭击 on AI-based operations, like data poisoning in the generative AI ecosystem. Things will change. 安全专家已经在设计即时防火墙来防止ChatGPT数据泄露.

下一件大事将是量子安全，但现在讨论它可能还为时过早. 量子安全是一个跨学科的领域，它结合了量子物理学的各个方面, mathematics, and computer science, 并为跨这些领域的合作提供了机会. Forward-thinking organizations, 特别是那些有长期数据保护需求的公司, are exploring and adopting 抗量子加密解决方案 以确保未来的数据安全.

However, 值得注意的是，虽然量子安全正在获得动力, 在某些用例中，它可能只是部分地取代传统加密. 一些加密算法在计算上是安全的，甚至可以抵御量子攻击, 并不是所有的数据都需要抗量子加密.

Toptal工程博客的编辑团队向 Aditya Krishnakumar 用于回顾本文中介绍的技术内容.