关于网络安全的最佳实践,请关注金融业
原文发表于 亚洲法规.
随着网络攻击的增加,"影响到每一个垂直领域的每一类组织",昂贵的、令人尴尬的和影响底线的数据泄露的威胁是非常真实的。这个问题并没有变小,而是像肿瘤一样在增长。
我经常被要求提供一些例子,说明哪些机构正在与这个问题作斗争,以特别的技巧和技巧在网络安全和应用安全最佳实践的 "西部荒野 "中游走。我发现我比其他人更经常地回到一个答案:金融业在这方面做得比大多数人好。
监管。金融业网络安全领导地位的一个驱动因素
金融业在AppSec领域发挥得如此出色的原因之一是,他们(至少部分)受到全球、区域和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 "更不用说灾难性 "影响的关注。
BCBS(巴塞尔银行监管委员会)在12月发布了一份报告,详细介绍了在多个司法管辖区观察到的银行、监管和监督的网络弹性做法的范围。其主要发现包括网络安全技能短缺的挑战,只有少数司法管辖区通过实施具体的网络认证来努力应对这一因素。
报告说:"一些司法管辖区有专门的信息技术标准,涉及信息技术劳动力和信息安全职能的责任,特别关注网络安全劳动力的培训和能力,"。但是,大多数司法管辖区在实施监督做法以监测银行的网络劳动力技能和资源方面处于 "早期阶段"。
在大多数情况下,监管计划要求受监管的实体管理风险,但很少有明确的途径来成功减轻这种风险。他们没有制定具体的要求(或实际上是基准)来解决网络安全劳动力的技能和资源。大多数监管机构通过现场检查来评估机构的网络安全劳动力,其中自我assessment 调查表是常见的做法,培训过程尤其受到严格审查,但只有少数司法管辖区的法规具体涉及IT人员的角色和责任。简而言之,出错的几率很大,而对正确的培训和随后的技能assessment 的重视程度却相当小。
在日本和韩国,公共当局已经制定了关于适当的网络安全劳动力管理的指导方针。然而,在大多数其他司法管辖区,对网络劳动力管理的监管要求仅限于监管期望,在这些地方,监管者往往没有assessment ,受监管机构的网络安全技能和人员培训。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然像 "合规性 "和 "认证 "这样的字眼往往会让那些富有创造力、善于解决问题的开发人员感到不寒而栗,因为他们的任务是建立伟大的软件功能(对他们来说,安全往往被视为别人的问题,即安全团队),但许多受监管的实体所持有的大量敏感数据实在是太有价值了,不能把技能交给那些 "假设 "而不是正确验证的人手中。
幸运的是,许多银行和金融机构认识到了这一点,而不一定要依靠明显的监管途径。这些法规当然提供了对最终结果期望的概述(即安全的软件),但他们已经确定,实现这一目标需要通过培训开发人员,培养他们与现有的AppSec专业人员的关系,以及建立一个积极的安全文化,培养责任感和所有权,来规避网络安全技能的短缺问题。
为什么金融业有网络安全的 "X因素"?
对于银行、金融服务和保险行业的公司来说,有几个因素在起作用,这些因素共同构成了他们在网络安全领域的领导地位所依据的力量支柱。
当然,作为世界金融的守门人(更不用说数以百万计的高度敏感的数据记录),他们通常是非常合规的和受监管的组织,"更新的指导方针、法规和要求被期望并以有意义的方式进行规划。因此,他们对减轻网络风险的不断变化的需求如鱼得水,拥有一些最严格的网络安全最佳实践政策,以及减少潜在攻击风险的端到端流程。
那么,金融机构的做法与其他机构有什么不同?根据我的经验,他们已经奠定了基础,比其他人更有安全意识,确定了对整体培训项目的需求和投入的资源,不仅针对应用安全专业人士和渗透测试人员,还包括他们的(通常是非常大的和分散在全球的)开发团队。
由于网络安全在大多数组织中相对较新,令人耳目一新的是,金融机构在寻求提供安全、可靠的软件时,真正做到了思想开放和创新。许多人已经看到了提高开发团队技能的好处,这些培训将他们带出教室,进入一个实践的、相关的学习体验,帮助他们不仅仅是解决问题,而是理解安全编码的普遍重要性。
毕竟,安全编码是在开发人员和AppSec团队之间建立强大的功能关系,以及在企业内部保持强大的安全文化的一个关键因素。推动安全计划成功的另一个关键因素是确保关键利益相关者加入并看到好处,即使他们本身不是安全专家。
金融机构往往与行政管理部门进行良好的沟通,确保高层决策者了解安全程序不是 "设定并忘记 "的措施;它们必须与正在使用的技术一样迅速发展,并适应可变的风险。
现在可能要花费时间和金钱,但在已提交的代码中修复漏洞的成本要高30倍,一个全面的安全计划 "包括从头开始的培训 "是一个长期的省钱方法:当安全问题由有安全意识的开发者编写时,修复的成本要低得多。
安全标准开始跟上日益增长的风险步伐
金融业网络合规性的一个重要推动力来自于PCI安全标准委员会,该委员会一直致力于帮助金融组织实施可行的安全政策,并在所有领域坚持准则。在帮助这个垂直行业实现支付软件的最高安全标准方面,他们一直是一股善意的力量。
然而,不得不说,我们的许多金融业客户实际上甚至已经超过了当前的PCI安全标准委员会的指导方针。虽然这些准则建议对开发人员进行培训,(正如前面提到的其他监管信息的例子),他们并没有指定一个特定的类型或达到某个基准来表明培训是有效的。
由于许多漏洞,如SQL注入和跨站脚本(XSS)已经存在了20多年(并且在2019年仍在造成问题),很明显,并非所有的培训都是平等或有效的。通过采用实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,并真正减少了那些一旦被利用就会造成严重破坏的漏洞。
一个很好的例子是美国银行机构Capital One是如何利用游戏化培训技术作为其创新的技术学院和认证系统的一部分。据他们的网络安全和云计算教育总监Russell Wolfe在最近的网络研讨会上说,自愿培训计划和编码tournaments ,很快就获得了牵引力,同行们对获得认证和协助提升技能的需求和有机动力空前强烈。
监管机构可以做些什么来确保网络安全工作队伍得到充分的培训?
世界各地的监管机构真的可以在他们现有的网络监管政策和指导方针上 "更上一层楼",只需列出那些控制保护我们数据的人必须达到的公认的培训方法和标准。目前,在大多数监管政策中,似乎都普遍提到了培训要求,但却没有什么后续措施来确保那些通过规定培训的人吸收了真正协助对抗网络威胁的内容和技术。
然而,新加坡金融管理局(MAS)最近将采用安全意识培训计划和安全软件开发最佳实践纳入其最新迭代的《技术风险指南》的举措令人鼓舞。一旦准则生效,它们将要求金融机构确保其软件开发人员接受培训,在开发软件时应用安全编码、源代码审查和AppSec测试标准,这对减少错误和漏洞应该有很大帮助。
对我来说,用实践的、真实世界的技术来培训开发团队是迄今为止最吸引人的,也是与他们的工作相关的,同时为每个组织必须在太晚之前创建的强大的安全文化奠定了基础。
首席执行官、主席和联合创始人
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
原文发表于 亚洲法规.
随着网络攻击的增加,"影响到每一个垂直领域的每一类组织",昂贵的、令人尴尬的和影响底线的数据泄露的威胁是非常真实的。这个问题并没有变小,而是像肿瘤一样在增长。
我经常被要求提供一些例子,说明哪些机构正在与这个问题作斗争,以特别的技巧和技巧在网络安全和应用安全最佳实践的 "西部荒野 "中游走。我发现我比其他人更经常地回到一个答案:金融业在这方面做得比大多数人好。
监管。金融业网络安全领导地位的一个驱动因素
金融业在AppSec领域发挥得如此出色的原因之一是,他们(至少部分)受到全球、区域和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 "更不用说灾难性 "影响的关注。
BCBS(巴塞尔银行监管委员会)在12月发布了一份报告,详细介绍了在多个司法管辖区观察到的银行、监管和监督的网络弹性做法的范围。其主要发现包括网络安全技能短缺的挑战,只有少数司法管辖区通过实施具体的网络认证来努力应对这一因素。
报告说:"一些司法管辖区有专门的信息技术标准,涉及信息技术劳动力和信息安全职能的责任,特别关注网络安全劳动力的培训和能力,"。但是,大多数司法管辖区在实施监督做法以监测银行的网络劳动力技能和资源方面处于 "早期阶段"。
在大多数情况下,监管计划要求受监管的实体管理风险,但很少有明确的途径来成功减轻这种风险。他们没有制定具体的要求(或实际上是基准)来解决网络安全劳动力的技能和资源。大多数监管机构通过现场检查来评估机构的网络安全劳动力,其中自我assessment 调查表是常见的做法,培训过程尤其受到严格审查,但只有少数司法管辖区的法规具体涉及IT人员的角色和责任。简而言之,出错的几率很大,而对正确的培训和随后的技能assessment 的重视程度却相当小。
在日本和韩国,公共当局已经制定了关于适当的网络安全劳动力管理的指导方针。然而,在大多数其他司法管辖区,对网络劳动力管理的监管要求仅限于监管期望,在这些地方,监管者往往没有assessment ,受监管机构的网络安全技能和人员培训。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然像 "合规性 "和 "认证 "这样的字眼往往会让那些富有创造力、善于解决问题的开发人员感到不寒而栗,因为他们的任务是建立伟大的软件功能(对他们来说,安全往往被视为别人的问题,即安全团队),但许多受监管的实体所持有的大量敏感数据实在是太有价值了,不能把技能交给那些 "假设 "而不是正确验证的人手中。
幸运的是,许多银行和金融机构认识到了这一点,而不一定要依靠明显的监管途径。这些法规当然提供了对最终结果期望的概述(即安全的软件),但他们已经确定,实现这一目标需要通过培训开发人员,培养他们与现有的AppSec专业人员的关系,以及建立一个积极的安全文化,培养责任感和所有权,来规避网络安全技能的短缺问题。
为什么金融业有网络安全的 "X因素"?
对于银行、金融服务和保险行业的公司来说,有几个因素在起作用,这些因素共同构成了他们在网络安全领域的领导地位所依据的力量支柱。
当然,作为世界金融的守门人(更不用说数以百万计的高度敏感的数据记录),他们通常是非常合规的和受监管的组织,"更新的指导方针、法规和要求被期望并以有意义的方式进行规划。因此,他们对减轻网络风险的不断变化的需求如鱼得水,拥有一些最严格的网络安全最佳实践政策,以及减少潜在攻击风险的端到端流程。
那么,金融机构的做法与其他机构有什么不同?根据我的经验,他们已经奠定了基础,比其他人更有安全意识,确定了对整体培训项目的需求和投入的资源,不仅针对应用安全专业人士和渗透测试人员,还包括他们的(通常是非常大的和分散在全球的)开发团队。
由于网络安全在大多数组织中相对较新,令人耳目一新的是,金融机构在寻求提供安全、可靠的软件时,真正做到了思想开放和创新。许多人已经看到了提高开发团队技能的好处,这些培训将他们带出教室,进入一个实践的、相关的学习体验,帮助他们不仅仅是解决问题,而是理解安全编码的普遍重要性。
毕竟,安全编码是在开发人员和AppSec团队之间建立强大的功能关系,以及在企业内部保持强大的安全文化的一个关键因素。推动安全计划成功的另一个关键因素是确保关键利益相关者加入并看到好处,即使他们本身不是安全专家。
金融机构往往与行政管理部门进行良好的沟通,确保高层决策者了解安全程序不是 "设定并忘记 "的措施;它们必须与正在使用的技术一样迅速发展,并适应可变的风险。
现在可能要花费时间和金钱,但在已提交的代码中修复漏洞的成本要高30倍,一个全面的安全计划 "包括从头开始的培训 "是一个长期的省钱方法:当安全问题由有安全意识的开发者编写时,修复的成本要低得多。
安全标准开始跟上日益增长的风险步伐
金融业网络合规性的一个重要推动力来自于PCI安全标准委员会,该委员会一直致力于帮助金融组织实施可行的安全政策,并在所有领域坚持准则。在帮助这个垂直行业实现支付软件的最高安全标准方面,他们一直是一股善意的力量。
然而,不得不说,我们的许多金融业客户实际上甚至已经超过了当前的PCI安全标准委员会的指导方针。虽然这些准则建议对开发人员进行培训,(正如前面提到的其他监管信息的例子),他们并没有指定一个特定的类型或达到某个基准来表明培训是有效的。
由于许多漏洞,如SQL注入和跨站脚本(XSS)已经存在了20多年(并且在2019年仍在造成问题),很明显,并非所有的培训都是平等或有效的。通过采用实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,并真正减少了那些一旦被利用就会造成严重破坏的漏洞。
一个很好的例子是美国银行机构Capital One是如何利用游戏化培训技术作为其创新的技术学院和认证系统的一部分。据他们的网络安全和云计算教育总监Russell Wolfe在最近的网络研讨会上说,自愿培训计划和编码tournaments ,很快就获得了牵引力,同行们对获得认证和协助提升技能的需求和有机动力空前强烈。
监管机构可以做些什么来确保网络安全工作队伍得到充分的培训?
世界各地的监管机构真的可以在他们现有的网络监管政策和指导方针上 "更上一层楼",只需列出那些控制保护我们数据的人必须达到的公认的培训方法和标准。目前,在大多数监管政策中,似乎都普遍提到了培训要求,但却没有什么后续措施来确保那些通过规定培训的人吸收了真正协助对抗网络威胁的内容和技术。
然而,新加坡金融管理局(MAS)最近将采用安全意识培训计划和安全软件开发最佳实践纳入其最新迭代的《技术风险指南》的举措令人鼓舞。一旦准则生效,它们将要求金融机构确保其软件开发人员接受培训,在开发软件时应用安全编码、源代码审查和AppSec测试标准,这对减少错误和漏洞应该有很大帮助。
对我来说,用实践的、真实世界的技术来培训开发团队是迄今为止最吸引人的,也是与他们的工作相关的,同时为每个组织必须在太晚之前创建的强大的安全文化奠定了基础。
原文发表于 亚洲法规.
随着网络攻击的增加,"影响到每一个垂直领域的每一类组织",昂贵的、令人尴尬的和影响底线的数据泄露的威胁是非常真实的。这个问题并没有变小,而是像肿瘤一样在增长。
我经常被要求提供一些例子,说明哪些机构正在与这个问题作斗争,以特别的技巧和技巧在网络安全和应用安全最佳实践的 "西部荒野 "中游走。我发现我比其他人更经常地回到一个答案:金融业在这方面做得比大多数人好。
监管。金融业网络安全领导地位的一个驱动因素
金融业在AppSec领域发挥得如此出色的原因之一是,他们(至少部分)受到全球、区域和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 "更不用说灾难性 "影响的关注。
BCBS(巴塞尔银行监管委员会)在12月发布了一份报告,详细介绍了在多个司法管辖区观察到的银行、监管和监督的网络弹性做法的范围。其主要发现包括网络安全技能短缺的挑战,只有少数司法管辖区通过实施具体的网络认证来努力应对这一因素。
报告说:"一些司法管辖区有专门的信息技术标准,涉及信息技术劳动力和信息安全职能的责任,特别关注网络安全劳动力的培训和能力,"。但是,大多数司法管辖区在实施监督做法以监测银行的网络劳动力技能和资源方面处于 "早期阶段"。
在大多数情况下,监管计划要求受监管的实体管理风险,但很少有明确的途径来成功减轻这种风险。他们没有制定具体的要求(或实际上是基准)来解决网络安全劳动力的技能和资源。大多数监管机构通过现场检查来评估机构的网络安全劳动力,其中自我assessment 调查表是常见的做法,培训过程尤其受到严格审查,但只有少数司法管辖区的法规具体涉及IT人员的角色和责任。简而言之,出错的几率很大,而对正确的培训和随后的技能assessment 的重视程度却相当小。
在日本和韩国,公共当局已经制定了关于适当的网络安全劳动力管理的指导方针。然而,在大多数其他司法管辖区,对网络劳动力管理的监管要求仅限于监管期望,在这些地方,监管者往往没有assessment ,受监管机构的网络安全技能和人员培训。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然像 "合规性 "和 "认证 "这样的字眼往往会让那些富有创造力、善于解决问题的开发人员感到不寒而栗,因为他们的任务是建立伟大的软件功能(对他们来说,安全往往被视为别人的问题,即安全团队),但许多受监管的实体所持有的大量敏感数据实在是太有价值了,不能把技能交给那些 "假设 "而不是正确验证的人手中。
幸运的是,许多银行和金融机构认识到了这一点,而不一定要依靠明显的监管途径。这些法规当然提供了对最终结果期望的概述(即安全的软件),但他们已经确定,实现这一目标需要通过培训开发人员,培养他们与现有的AppSec专业人员的关系,以及建立一个积极的安全文化,培养责任感和所有权,来规避网络安全技能的短缺问题。
为什么金融业有网络安全的 "X因素"?
对于银行、金融服务和保险行业的公司来说,有几个因素在起作用,这些因素共同构成了他们在网络安全领域的领导地位所依据的力量支柱。
当然,作为世界金融的守门人(更不用说数以百万计的高度敏感的数据记录),他们通常是非常合规的和受监管的组织,"更新的指导方针、法规和要求被期望并以有意义的方式进行规划。因此,他们对减轻网络风险的不断变化的需求如鱼得水,拥有一些最严格的网络安全最佳实践政策,以及减少潜在攻击风险的端到端流程。
那么,金融机构的做法与其他机构有什么不同?根据我的经验,他们已经奠定了基础,比其他人更有安全意识,确定了对整体培训项目的需求和投入的资源,不仅针对应用安全专业人士和渗透测试人员,还包括他们的(通常是非常大的和分散在全球的)开发团队。
由于网络安全在大多数组织中相对较新,令人耳目一新的是,金融机构在寻求提供安全、可靠的软件时,真正做到了思想开放和创新。许多人已经看到了提高开发团队技能的好处,这些培训将他们带出教室,进入一个实践的、相关的学习体验,帮助他们不仅仅是解决问题,而是理解安全编码的普遍重要性。
毕竟,安全编码是在开发人员和AppSec团队之间建立强大的功能关系,以及在企业内部保持强大的安全文化的一个关键因素。推动安全计划成功的另一个关键因素是确保关键利益相关者加入并看到好处,即使他们本身不是安全专家。
金融机构往往与行政管理部门进行良好的沟通,确保高层决策者了解安全程序不是 "设定并忘记 "的措施;它们必须与正在使用的技术一样迅速发展,并适应可变的风险。
现在可能要花费时间和金钱,但在已提交的代码中修复漏洞的成本要高30倍,一个全面的安全计划 "包括从头开始的培训 "是一个长期的省钱方法:当安全问题由有安全意识的开发者编写时,修复的成本要低得多。
安全标准开始跟上日益增长的风险步伐
金融业网络合规性的一个重要推动力来自于PCI安全标准委员会,该委员会一直致力于帮助金融组织实施可行的安全政策,并在所有领域坚持准则。在帮助这个垂直行业实现支付软件的最高安全标准方面,他们一直是一股善意的力量。
然而,不得不说,我们的许多金融业客户实际上甚至已经超过了当前的PCI安全标准委员会的指导方针。虽然这些准则建议对开发人员进行培训,(正如前面提到的其他监管信息的例子),他们并没有指定一个特定的类型或达到某个基准来表明培训是有效的。
由于许多漏洞,如SQL注入和跨站脚本(XSS)已经存在了20多年(并且在2019年仍在造成问题),很明显,并非所有的培训都是平等或有效的。通过采用实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,并真正减少了那些一旦被利用就会造成严重破坏的漏洞。
一个很好的例子是美国银行机构Capital One是如何利用游戏化培训技术作为其创新的技术学院和认证系统的一部分。据他们的网络安全和云计算教育总监Russell Wolfe在最近的网络研讨会上说,自愿培训计划和编码tournaments ,很快就获得了牵引力,同行们对获得认证和协助提升技能的需求和有机动力空前强烈。
监管机构可以做些什么来确保网络安全工作队伍得到充分的培训?
世界各地的监管机构真的可以在他们现有的网络监管政策和指导方针上 "更上一层楼",只需列出那些控制保护我们数据的人必须达到的公认的培训方法和标准。目前,在大多数监管政策中,似乎都普遍提到了培训要求,但却没有什么后续措施来确保那些通过规定培训的人吸收了真正协助对抗网络威胁的内容和技术。
然而,新加坡金融管理局(MAS)最近将采用安全意识培训计划和安全软件开发最佳实践纳入其最新迭代的《技术风险指南》的举措令人鼓舞。一旦准则生效,它们将要求金融机构确保其软件开发人员接受培训,在开发软件时应用安全编码、源代码审查和AppSec测试标准,这对减少错误和漏洞应该有很大帮助。
对我来说,用实践的、真实世界的技术来培训开发团队是迄今为止最吸引人的,也是与他们的工作相关的,同时为每个组织必须在太晚之前创建的强大的安全文化奠定了基础。
点击下面的链接,下载本资料的 PDF 文件。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
查看报告预定一个演示首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
原文发表于 亚洲法规.
随着网络攻击的增加,"影响到每一个垂直领域的每一类组织",昂贵的、令人尴尬的和影响底线的数据泄露的威胁是非常真实的。这个问题并没有变小,而是像肿瘤一样在增长。
我经常被要求提供一些例子,说明哪些机构正在与这个问题作斗争,以特别的技巧和技巧在网络安全和应用安全最佳实践的 "西部荒野 "中游走。我发现我比其他人更经常地回到一个答案:金融业在这方面做得比大多数人好。
监管。金融业网络安全领导地位的一个驱动因素
金融业在AppSec领域发挥得如此出色的原因之一是,他们(至少部分)受到全球、区域和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 "更不用说灾难性 "影响的关注。
BCBS(巴塞尔银行监管委员会)在12月发布了一份报告,详细介绍了在多个司法管辖区观察到的银行、监管和监督的网络弹性做法的范围。其主要发现包括网络安全技能短缺的挑战,只有少数司法管辖区通过实施具体的网络认证来努力应对这一因素。
报告说:"一些司法管辖区有专门的信息技术标准,涉及信息技术劳动力和信息安全职能的责任,特别关注网络安全劳动力的培训和能力,"。但是,大多数司法管辖区在实施监督做法以监测银行的网络劳动力技能和资源方面处于 "早期阶段"。
在大多数情况下,监管计划要求受监管的实体管理风险,但很少有明确的途径来成功减轻这种风险。他们没有制定具体的要求(或实际上是基准)来解决网络安全劳动力的技能和资源。大多数监管机构通过现场检查来评估机构的网络安全劳动力,其中自我assessment 调查表是常见的做法,培训过程尤其受到严格审查,但只有少数司法管辖区的法规具体涉及IT人员的角色和责任。简而言之,出错的几率很大,而对正确的培训和随后的技能assessment 的重视程度却相当小。
在日本和韩国,公共当局已经制定了关于适当的网络安全劳动力管理的指导方针。然而,在大多数其他司法管辖区,对网络劳动力管理的监管要求仅限于监管期望,在这些地方,监管者往往没有assessment ,受监管机构的网络安全技能和人员培训。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然像 "合规性 "和 "认证 "这样的字眼往往会让那些富有创造力、善于解决问题的开发人员感到不寒而栗,因为他们的任务是建立伟大的软件功能(对他们来说,安全往往被视为别人的问题,即安全团队),但许多受监管的实体所持有的大量敏感数据实在是太有价值了,不能把技能交给那些 "假设 "而不是正确验证的人手中。
幸运的是,许多银行和金融机构认识到了这一点,而不一定要依靠明显的监管途径。这些法规当然提供了对最终结果期望的概述(即安全的软件),但他们已经确定,实现这一目标需要通过培训开发人员,培养他们与现有的AppSec专业人员的关系,以及建立一个积极的安全文化,培养责任感和所有权,来规避网络安全技能的短缺问题。
为什么金融业有网络安全的 "X因素"?
对于银行、金融服务和保险行业的公司来说,有几个因素在起作用,这些因素共同构成了他们在网络安全领域的领导地位所依据的力量支柱。
当然,作为世界金融的守门人(更不用说数以百万计的高度敏感的数据记录),他们通常是非常合规的和受监管的组织,"更新的指导方针、法规和要求被期望并以有意义的方式进行规划。因此,他们对减轻网络风险的不断变化的需求如鱼得水,拥有一些最严格的网络安全最佳实践政策,以及减少潜在攻击风险的端到端流程。
那么,金融机构的做法与其他机构有什么不同?根据我的经验,他们已经奠定了基础,比其他人更有安全意识,确定了对整体培训项目的需求和投入的资源,不仅针对应用安全专业人士和渗透测试人员,还包括他们的(通常是非常大的和分散在全球的)开发团队。
由于网络安全在大多数组织中相对较新,令人耳目一新的是,金融机构在寻求提供安全、可靠的软件时,真正做到了思想开放和创新。许多人已经看到了提高开发团队技能的好处,这些培训将他们带出教室,进入一个实践的、相关的学习体验,帮助他们不仅仅是解决问题,而是理解安全编码的普遍重要性。
毕竟,安全编码是在开发人员和AppSec团队之间建立强大的功能关系,以及在企业内部保持强大的安全文化的一个关键因素。推动安全计划成功的另一个关键因素是确保关键利益相关者加入并看到好处,即使他们本身不是安全专家。
金融机构往往与行政管理部门进行良好的沟通,确保高层决策者了解安全程序不是 "设定并忘记 "的措施;它们必须与正在使用的技术一样迅速发展,并适应可变的风险。
现在可能要花费时间和金钱,但在已提交的代码中修复漏洞的成本要高30倍,一个全面的安全计划 "包括从头开始的培训 "是一个长期的省钱方法:当安全问题由有安全意识的开发者编写时,修复的成本要低得多。
安全标准开始跟上日益增长的风险步伐
金融业网络合规性的一个重要推动力来自于PCI安全标准委员会,该委员会一直致力于帮助金融组织实施可行的安全政策,并在所有领域坚持准则。在帮助这个垂直行业实现支付软件的最高安全标准方面,他们一直是一股善意的力量。
然而,不得不说,我们的许多金融业客户实际上甚至已经超过了当前的PCI安全标准委员会的指导方针。虽然这些准则建议对开发人员进行培训,(正如前面提到的其他监管信息的例子),他们并没有指定一个特定的类型或达到某个基准来表明培训是有效的。
由于许多漏洞,如SQL注入和跨站脚本(XSS)已经存在了20多年(并且在2019年仍在造成问题),很明显,并非所有的培训都是平等或有效的。通过采用实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,并真正减少了那些一旦被利用就会造成严重破坏的漏洞。
一个很好的例子是美国银行机构Capital One是如何利用游戏化培训技术作为其创新的技术学院和认证系统的一部分。据他们的网络安全和云计算教育总监Russell Wolfe在最近的网络研讨会上说,自愿培训计划和编码tournaments ,很快就获得了牵引力,同行们对获得认证和协助提升技能的需求和有机动力空前强烈。
监管机构可以做些什么来确保网络安全工作队伍得到充分的培训?
世界各地的监管机构真的可以在他们现有的网络监管政策和指导方针上 "更上一层楼",只需列出那些控制保护我们数据的人必须达到的公认的培训方法和标准。目前,在大多数监管政策中,似乎都普遍提到了培训要求,但却没有什么后续措施来确保那些通过规定培训的人吸收了真正协助对抗网络威胁的内容和技术。
然而,新加坡金融管理局(MAS)最近将采用安全意识培训计划和安全软件开发最佳实践纳入其最新迭代的《技术风险指南》的举措令人鼓舞。一旦准则生效,它们将要求金融机构确保其软件开发人员接受培训,在开发软件时应用安全编码、源代码审查和AppSec测试标准,这对减少错误和漏洞应该有很大帮助。
对我来说,用实践的、真实世界的技术来培训开发团队是迄今为止最吸引人的,也是与他们的工作相关的,同时为每个组织必须在太晚之前创建的强大的安全文化奠定了基础。