如何讓IT團隊和安全團隊之間更好地進行協(xié)作

對于部門之外的人來說，IT和安全團隊經(jīng)常被混為一談，是處理技術(shù)問題的團隊。但其實IT團隊和安全團隊有不同的任務(wù)和目標，甚至他們彼此之間還會產(chǎn)生沖突，比如迫切的deadline和保證安全之間的“矛盾”。

在過度簡化的風(fēng)險下，IT面臨著巨大的壓力，需要快速行動，調(diào)整和推出DevOps。同時，安全部門的任務(wù)是減輕對現(xiàn)有產(chǎn)品的威脅，并確保新版本盡可能安全。

如何讓IT團隊和安全團隊之間更好地進行協(xié)作?

策略 1: 確定共同的目標

有些IT和安全團隊依賴于多個、不同的、可能相互沖突的工作任務(wù)，工作目標很可能導(dǎo)致互相沖突。

兩個團隊都有不同的任務(wù)，但可以通過協(xié)調(diào)來達到共識，一起為共同的目標來工作。

策略 2：擁抱DevSecOps

DevSecOps并不是簡單地將安全性拋到DevOps中。而是進行一個從根本上的轉(zhuǎn)變，通過調(diào)整優(yōu)先級，安全從一開始就成為DevOps處理和集成不可或缺的部分。

采用DevSecOps還可以確保安全不會因為在開發(fā)后期介入而減緩進度，確保安全性不會拖慢開發(fā)速度。它還有助于確保IT團隊不會推出可能存在安全漏洞、影響安全團隊目標的產(chǎn)品，從而提高安全性。因為在DevSecOps過程中，一系列安全測試，如靜態(tài)代碼檢測、動態(tài)測試及交互式測試等，可以在開發(fā)的同時及時發(fā)現(xiàn)代碼缺陷及可能存在的安全漏洞，從而盡快調(diào)整修復(fù)。

策略 3：創(chuàng)建上下文

即使是最強大的IT團隊，打補丁也是一項艱巨的任務(wù)。在沒有安全上下文的情況下打補丁是一件非常忙碌的工作。基于風(fēng)險的漏洞管理在威脅檢測和補救方面有很大的不同，通過創(chuàng)建基于風(fēng)險的自動情報來創(chuàng)建上下文，可以確保團隊在正確的時間專注于正確的威脅。

當(dāng)兩個團隊通過正確的策略來工作時，IT 和安全性可以相互提升，而不是發(fā)生沖突。