存 Connection met with Marty Mroz, 存 Managing Director of Enterprise DevSecOps, and Marc Masri, 存 Executive Director of Enterprise DevSecOps, 讨论公司的IT部门如何在12月保持对Log4j漏洞的控制, 保护客户和vnsr威尼斯城官网登入行业免受Java应用程序有史以来面临的最大威胁.
Related: Advancing Cybersecurity. 在一起.
DC:什么是“Log4j”,特别是它的漏洞是如何对存构成威胁的?
Mroz: Log4j被许多人认为是Java应用程序中访问最广泛的核心库,用于记录错误消息. 最近发现了一个严重的漏洞,允许网络攻击者闯入系统, 窃取数据, and execute other nefarious activities. 这种零日漏洞——意味着它需要立即缓解——几乎影响到每个Java应用程序, including the hundreds we operate at 存. When we became aware of the threat, our technology and cybersecurity teams came together quickly to mitigate this risk.
“In times of crisis, 当像存这样具有系统重要性的公用事业公司面临着确保我们的金融体系保持安全和稳定的压力时, it’s the automated, 非常高效。, 以及由存的信息技术能力提供的可重复过程,这些能力混合了开发, 安全, and Operations that make a major difference.——存企业vnsr威尼斯城官网登入和平台工程董事总经理Anchal Gupta
DC: What steps did 存 need to take to respond to this threat?
马斯里: 在存,我们敏锐地意识到不断变化的网络安全风险,我们站在保护全球金融市场的最前沿,保持领先于新出现的威胁是我们的首要任务. I am pleased to say that while the Log4j vulnerability is a significant threat, our tried-and-true processes, 我们利用的技术能力作为我们正常业务过程的一部分,使我们能够迅速有效地作出反应. 我们严格的外围防御在事件发生初期为存提供了保护. 除此之外, 我们依靠我们的技术和风险团队的辛勤工作和深谋深虑,他们在我们的DevSecOps交付管道中创建了功能和工具——我们每天都在使用这些功能和工具——这使得开发团队能够通过修复影响存或我们客户的应用程序的风险来快速做出反应.
Related: "What is DevSecOps?“视频
DC: DevSecOps交付管道是什么?它如何定位存以消除这种威胁并保护其关键系统?
马斯里: 在存, DevSecOps交付管道(DDP)是一组支持端到端安全交付的自动化工具和功能, 测试, resilient code and infrastructure, 为推动vnsr威尼斯城官网登入业发展的关键存vnsr威尼斯城官网登入和服务提供支持.
我们的开发人员和工程师每天都使用管道作为我们的标准工具套件和自动化功能,使我们能够进行构建, 编译, 扫描, and deploy secure and resilient code as part of our software delivery lifecycle. 我们能够扩展这些流程,以快速发布保护应用程序不受Log4j影响的代码, 无需花费时间进行临时修复,否则会延迟我们及时完全纠正此问题. 我们很快派开发人员去识别需要更改的Java代码. Then we made the necessary changes, pushed them through our pipeline, and within hours we had fully 编译d, and 测试 code ready to deploy to production.
Since we already had built capabilities, such as Free and Open-Source Software (FOSS) 扫描ning, into our pipeline, we were never at the point of compromising our risk 帖子ure. 我们的团队在任何时候都对部署的内容完全透明,这对我们的开发人员来说是一个改变游戏规则的方法,可以管理多个代码分支,同时应对像这样的高风险情况. 在我们的肌肉记忆中拥有这些能力和DevSecOps实践,使存能够立即对威胁做出反应,然后回到常规项目工作中. Patching so many applications in such a short timeframe would by other means be a project management nightmare requiring manual top-down coordination; instead, everyday heroes rose to the occasion using everyday processes and tools.
DC: 存加强DevSecOps能力的承诺是如何保护客户和行业的?
Mroz: 我不能夸大Log4j漏洞对Java应用程序的威胁有多大. It’s one of the biggest security issues that has existed to date, and if exploited, the potential risk to our business would have been severe. Even during peak moments during this remediation, our capabilities performed flawlessly at a much higher scale than typical. 例如,在任何给定的一天,我们通常平均处理多达1,000个软件打包作业. With our Log4j response, we doubled that throughput. 除此之外, 仅在2021年12月,我们就通过DevSecOps管道处理了近250个紧急变更, 在过去的两年里,我们在同一个月平均只有两次紧急变化.
In December 2021, 针对log4j漏洞,DevSecOps扩展到近250个紧急版本. See how this compares to activity from December 2019 and 2020.
我们有能力管理这种风险,而不需要部署一组可能导致重大返工的临时修复程序,这证明了我们技术团队的远见, including firewall engineers and cybersecurity risk professionals, who ensure 存 remains well-positioned to act quickly. 我们有一组多层防御,使我们能够在不影响我们为行业客户和合作伙伴提供的服务的情况下做出响应. 这反映了我们的It和技术风险职能部门之间的紧密合作,以及我们的集体风险管理理念,使存能够领先于不断变化的网络风险.