都在說(shuō)數(shù)字化轉(zhuǎn)型,你的安全保障模式真的適合數(shù)字世界嗎?

隨著網(wǎng)絡(luò)環(huán)境的不斷變化,入侵者總是在尋找新的方法來(lái)利用組織系統(tǒng)和應(yīng)用程序中的弱點(diǎn)。因此,網(wǎng)絡(luò)相關(guān)事件已經(jīng)成為企業(yè)的最大風(fēng)險(xiǎn)之一,因?yàn)樗麄冊(cè)噲D了解自己的網(wǎng)絡(luò)彈性和面臨的威脅。

隨著網(wǎng)絡(luò)環(huán)境的不斷變化,入侵者總是在尋找新的方法來(lái)利用組織系統(tǒng)和應(yīng)用程序中的弱點(diǎn)。因此,網(wǎng)絡(luò)相關(guān)事件已經(jīng)成為企業(yè)的最大風(fēng)險(xiǎn)之一,因?yàn)樗麄冊(cè)噲D了解自己的網(wǎng)絡(luò)彈性和面臨的威脅。

因此,安全保障在幫助組織進(jìn)行有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、遵守監(jiān)管和法律合規(guī)要求以及防范代價(jià)高昂的安全漏洞方面變得至關(guān)重要。許多機(jī)構(gòu)已經(jīng)意識(shí)到這一轉(zhuǎn)變:根據(jù)MarketsandMarkets的研究顯示,到2023年,全球安全保障市場(chǎng)預(yù)計(jì)將增長(zhǎng)到54.8億美元。

安全保障旨在通過(guò)各種方法(如基于證據(jù)的風(fēng)險(xiǎn)評(píng)估、控制差距分析和安全測(cè)試),向組織提供對(duì)其安全控制有效性的信心和信任,以幫助識(shí)別對(duì)組織構(gòu)成的風(fēng)險(xiǎn)。然而,越來(lái)越多的安全漏洞和一些組織無(wú)法遵守基本的安全衛(wèi)生,反映了我們目前的安全保障模式的不足。

當(dāng)代安全保障模式面臨的挑戰(zhàn)

我們目前的方法是反應(yīng)性的——有證據(jù)表明,組織在大多數(shù)安全威脅發(fā)生后才作出反應(yīng)。主動(dòng)的安全保障模式是交付有效運(yùn)營(yíng)模型的關(guān)鍵支持因素,該操作模型包含對(duì)人員、流程和技術(shù)的保護(hù)。實(shí)現(xiàn)可靠數(shù)字安全的主要障礙之一是組織過(guò)程的靈活性,阻礙了主動(dòng)防御策略。

我們的模型保質(zhì)期也很短,因?yàn)橥{總是在不斷變化。內(nèi)部和外部審計(jì)會(huì)根據(jù)演練時(shí)的風(fēng)險(xiǎn)趨勢(shì)和主題來(lái)評(píng)估針對(duì)威脅的控制措施的有效性。如果不持續(xù)監(jiān)控、評(píng)估和更新保障模型就會(huì)變得過(guò)時(shí)。

最后,當(dāng)前模型是靜態(tài)的。隨著云計(jì)算的普及和觸覺(jué)互聯(lián)網(wǎng)的出現(xiàn),越來(lái)越多的企業(yè)正在通過(guò)數(shù)字技術(shù)尋找機(jī)會(huì)。敏捷方法正在加速數(shù)字轉(zhuǎn)換的交付?,F(xiàn)代的保障模型無(wú)法適應(yīng)這種迭代增量開(kāi)發(fā)和部署模式。

成功安全保障功能的幾個(gè)要素

考慮合作。為了安全保障功能獲得成功,組織需要打破豎井,并在關(guān)鍵的涉眾之間實(shí)現(xiàn)更多的協(xié)作。

首先,要對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)進(jìn)行識(shí)別、分類和優(yōu)先級(jí)排序,如果這些關(guān)鍵資產(chǎn)被利用或訪問(wèn),則會(huì)對(duì)業(yè)務(wù)策略產(chǎn)生嚴(yán)重影響。

接下來(lái),您需要集中管控。組織應(yīng)該集中管理戰(zhàn)略性企業(yè)安全控制,以便更好地了解這些控制的操作有效性。

最后,保持最新的安全策略、標(biāo)準(zhǔn)和合規(guī)性需求。了解策略、流程、標(biāo)準(zhǔn)和合規(guī)性如何影響所需的控制狀態(tài)。這些必須由業(yè)務(wù)目標(biāo)和組織的特定風(fēng)險(xiǎn)偏好來(lái)驅(qū)動(dòng)。

建立主動(dòng)和動(dòng)態(tài)的安全保障模型

為了適應(yīng)現(xiàn)代挑戰(zhàn),組織必須重新定義和調(diào)整其安全保證操作模型以提高速度和敏捷性,這一點(diǎn)很重要。有效的保障模型需要在主動(dòng)和被動(dòng)的方法之間找到適當(dāng)?shù)钠胶猓越⒏踩慕M織并保持利益相關(guān)者的信任。從以下步驟開(kāi)始:

●將您的安全保證策略與業(yè)務(wù)目標(biāo)關(guān)聯(lián)起來(lái),以改進(jìn)組織的安全狀況;

●將您的安全保證運(yùn)營(yíng)模型與風(fēng)險(xiǎn)管理和治理工作結(jié)合起來(lái),以實(shí)現(xiàn)運(yùn)營(yíng)效率;

●根據(jù)您的風(fēng)險(xiǎn)偏好,定義組織的成熟度路線圖以進(jìn)行控制;

●進(jìn)行基于證據(jù)的評(píng)估,以產(chǎn)生信任。證據(jù)收集應(yīng)集中在關(guān)鍵的控制目標(biāo)上;

●將保證集成到開(kāi)發(fā)迭代中以協(xié)助敏捷交付。調(diào)整保障流程以促進(jìn)DevSecOps文化并在開(kāi)發(fā)階段解決任何安全問(wèn)題;

●確保從一開(kāi)始就嵌入了安全性。根據(jù)設(shè)計(jì)原則將安全性納入產(chǎn)品交付過(guò)程。對(duì)于敏捷開(kāi)發(fā),這意味著確保安全計(jì)劃包含在sprint目標(biāo)中;

公司還應(yīng)該進(jìn)行更智能、更平衡的保障活動(dòng),以幫助進(jìn)行頻繁的評(píng)估。安全保障應(yīng)以務(wù)實(shí)和適當(dāng)?shù)姆绞竭M(jìn)行,以防止網(wǎng)絡(luò)攻擊和入侵。這包括以下幾個(gè)方面:

●將多個(gè)網(wǎng)絡(luò)安全框架合理化為控制目標(biāo),并根據(jù)組織面臨的威脅對(duì)目標(biāo)進(jìn)行優(yōu)先排序,以提供更有針對(duì)性的評(píng)估;

●根據(jù)安全配置文件或資產(chǎn)開(kāi)發(fā)安全控制目錄/清單。根據(jù)組織的風(fēng)險(xiǎn)偏好實(shí)施響應(yīng)評(píng)估方法;

●在可能的情況下,利用自動(dòng)化工具支持進(jìn)行安全評(píng)估,如第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和隱私影響評(píng)估;

●利用自動(dòng)化測(cè)試(內(nèi)部源代碼和第三方代碼評(píng)估)作為持續(xù)集成/持續(xù)交付(CI/CD)管道的一部分,以支持敏捷開(kāi)發(fā);

●通過(guò)執(zhí)行基于MITRE ATT&CK框架的基于場(chǎng)景的安全測(cè)試,自動(dòng)化進(jìn)行證據(jù)收集。應(yīng)該對(duì)關(guān)鍵的安全控制進(jìn)行測(cè)試,以持續(xù)評(píng)估控制的有效性,并提供額外的信任級(jí)別。問(wèn)問(wèn)自己:“時(shí)間點(diǎn)、基于證據(jù)的評(píng)估經(jīng)得起真正的考驗(yàn)嗎?”

總之,一個(gè)成功的數(shù)字安全保障模型必須有助于加速持續(xù)的、基于證據(jù)的安全評(píng)估,有效地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn),證明符合不斷變化的監(jiān)管要求,并授權(quán)組織獲得對(duì)其安全態(tài)勢(shì)的信心。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論