您是否高估了组织的安全成熟度?
本文的一个版本刊登在 黑暗阅读.
在大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。
然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。
现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。
可持续的网络安全成熟度是一个过程。
公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。
虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。
一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。
让开发人员成为卓越软件安全的推动力
围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。
另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。
长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。
这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
您是否高估了组织的安全成熟度?
本文的一个版本刊登在 黑暗阅读.
在大多数企业经历增长、创新和数字化转型的起伏时,随着公司规模的扩大,一些领域仍在进行中是很自然的事情。企业的网络安全计划往往就是这种情况,尤其是当安全领导者努力领先一步应对新的威胁、漏洞和增加风险的技术发展时。
然而,由于技能人才的持续短缺与为满足全球软件需求而编写的大量代码不相适应,许多企业的网络安全战略和现有基础设施正在落后。而且,由于整个行业似乎都在固守以工具为基础的方法,在一个有效的防御计划中,技术人才的力量往往被忽视。
现在是时候坦诚地审视我们的整体网络安全成熟度,并评估我们眼前可行的速赢方案了。
可持续的网络安全成熟度是一个过程。
公众很容易认为,每家企业都会有一个强大的网络安全计划,只需选择正确的软件并激活它,就能像力盾一样阻止威胁行为者。2022 年是有记录以来网络事件最严重的年份之一,其中包括整个哥斯达黎加政府被勒索赎金,许多安全专业人士只希望事情能这么简单。
虽然许多行业(尤其是金融行业)都以合规为导向,并受到日益复杂的监管框架的约束,需要采取严格的安全措施,但现实情况是,大多数组织都缺乏网络复原力。全球半数以上的大型企业无法有效阻止网络攻击,也无法迅速发现和修复被利用的漏洞。
即使是被视为先进的组织,拥有明确、成熟的计划,包含人员、流程和技术三重威胁的最佳实践,也很难跟上威胁环境的快节奏要求。许多公司在基于角色的安全意识方面存在不足,尤其是开发团队。虽然企业中的每个人都必须了解他们在减少攻击面方面所扮演的角色,但那些日复一日处理代码的人可能会成为真正的安全转型方法的主导者......只要他们能够得到充分的培训。
一个全面的防御性安全计划需要不断改进,需要认真打好坚实的基础。如果这些基础主要以工具为基础,那么其成熟度很可能低于安全领导者所期望的水平。Ponemon 研究所的一项研究显示,53% 的企业不相信他们的安全技术堆栈能有效阻止入侵,而人为错误是导致大小公司成功遭受网络攻击的主要原因,因此,将开发人员排除在战略安全提升计划之外无异于玩火自焚。
让开发人员成为卓越软件安全的推动力
围绕网络攻击的一个令人不安的事实是,几乎在所有情况下,攻击者都对目标企业具有明显的优势,无论他们的安全成熟度处于什么阶段。他们有时间、工具和动力,可以细致地扫描任何可以利用的薄弱环节,专心致志地突破防线,达到目的。
另一方面,企业需要兼顾业务和客户需求,虽然他们无法承受网络攻击带来的巨大风险,但为了适应大量的安全控制措施而放慢业务运营速度也是不现实的,因为这些措施最终可能会阻碍业务的开展。因此,具备安全技能的开发人员是网络防御成果的X因素。
长期以来,开发人员一直无法以有意义的方式分担安全责任。组织可以为开发人员创建可行的技能提升途径,但他们需要选择能够以对其世界有意义的方式提供相关课程材料的教育选项。至少,应该用他们常用的语言和框架来传达,并解决他们在代码库中最有可能遇到的漏洞。
当courses 在结构上考虑到开发人员的工作流程时,就更有可能用良好、安全的模式取代那些导致常见漏洞和错误配置长期存在的不良编码模式,从而随着时间的推移显著提高软件质量。仅今年一年,低质量软件就给美国造成了 2.41 万亿美元的损失,而这只能通过打破错误循环来弥补,因为错误循环会维持高风险的技术债务。
这需要整个组织致力于实施一项更积极、更全面的安全计划;一项利用必要的人力,在以人为本的问题上有所作为的计划。如果不成为明天的头条新闻是必要的,那么这种努力肯定是值得的。
