博客

主动保护:利用国家网络安全战略进行高级威胁预防

皮特-丹休
2023年5月19日出版

这篇文章最初是作为福布斯技术委员会的一部分出现的。它已被更新并在此转发。

你认为在2022年有多少数据记录被泄露?如果你猜测在5亿左右,那你就猜对了。根据公开的违规数据,仅去年就有约480,014,323条记录被盗,但这个数字可能要大得多。在任何情况下,对于普通公民来说,这是一个令人清醒的统计数字,对于任何企业安全专业人员来说,这也是一个令人深切关注的问题。

我们已经到了这样一个地步:发达国家的大多数人可能已经看到他们的一些个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界各国政府正在寻找解决方案,以阻止这种破坏性的在线犯罪活动。拜登政府以《国家网络安全战略》的形式发布了最新的内容,我正以极大的兴趣关注着。该战略包括围绕我最近最喜欢的话题之一的指令:安全问责制。

该战略是在CISA网络安全和基础设施安全总监Jen Easterly的一次开创性演讲后发布的,可以理解它在安全界引起了一些分歧。然而,我相信它代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。

供应商本应一直 为不安全的软件负责。

几十年来,在软件安全方面,问责制是一个烫手的山芋,没有哪个团队会去玩这个游戏。高管和团队往往对谁是软件安全的最终责任人有强烈的分歧,来自Venafi的一份报告显示,97%的高级IT主管同意软件构建过程不够安全,但对谁是实现安全最佳实践的最终责任人却存在分歧。61%的高管表示,IT安全团队应该承担起软件安全的责任,而31%的人表示这应该是开发团队的责任。而这只是问题的一部分:软件构建中的开源和第三方商业组件问题是攻击面的不断扩大。即使在AppSec和安全团队之间,也很少有一个明显的 "所有者",尽管在更新、监控和测试方面需要持续保持警惕。

这项调查还表明,尽管在谁应该对软件安全和完整性负责的问题上存在内部冲突,但94%的高管认为应该对那些未能保护其构建管道免受威胁者影响,并将客户和最终用户置于风险之中的软件供应商进行处罚。 

最近,Uber的CISO因其对2016年毁灭性网络攻击的管理不善而被起诉,以及GDPR等监管举措,我们慢慢看到那些通过降低安全优先级来玩火的供应商的风险在增加。然而,这根本是不够的。我们正在输掉与网络犯罪分子的战斗,虽然这是一颗难以吞咽的药丸,但正是软件供应商的宽松做法为他们提供了无限的机会,让他们茁壮成长。 

国家网络安全战略旨在划清界限,通过将不安全软件的全部责任分配给供应商来停止循环指责游戏。

让我们来看看:

战略目标3.3--转移不安全软件产品和服务的责任:

"太多的供应商 "无视安全开发的最佳实践,用不安全的默认配置或已知的漏洞来运送产品,并整合未经审核或来历不明的第三方软件。

我们必须开始将责任转移到那些未能采取合理预防措施以确保其软件安全的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有的漏洞。
"

这可以理解为激怒了一些人。但是,正如大多数行业的标准和法规发展中的其他决定性时刻一样,这是中期的痛苦,以确保更好的长期结果。作为一个软件供应商,当涉及到安全问题时,责任必须由我们来承担是有道理的。这是我们的构建管道、我们的流程和我们的质量控制,如果我们失误了,那么我们就有责任进行补救。

此外,我们应该在一个地方寻求创建尽可能高的质量的软件,而安全编码必须是定义成功结果的指标的一部分。在这个不惜一切代价注重速度的世界里,实现这一目标是一个很高的要求,但这取决于指导我们未来的安全领导人,以确保软件创建过程中的每个人都得到充分的培训,以便在他们的角色范围内提供安全最佳实践,特别是开发人员。 

我们仍然缺乏对长期最佳做法的指导。

战略目标3.3确实参考了成熟的NIST安全软件开发框架作为其一般最佳实践的基础,这些是全面的、包罗万象的准则。他们确实明确指出需要 "确保组织的人员、流程和技术准备好在组织层面上进行安全软件开发",但对于安全意识经理在选择启用解决方案时应注意的因素并没有特别的规定。

为了使该方法真正具有变革性,应将开发人员视为安全计划的组成部分,并给予一切机会来提高他们的技能并分担检测和根除漏洞的责任。如果没有超级相关的上下文学习和工具,他们就无法以可衡量的方式实现这一目标,如果这被认为是年度合规性工作,而不是持续的技能发展途径,他们也无法实现。 

当涉及到破解安全之谜时,开发人员是一块强大的拼图,而一个具有安全技能的开发人员团队基本上是大多数组织中缺少的成分。他们使安全的速度成为可能,但只有当时间和资源被用于在团队中解锁的时候。在此之前,世界上所有的一般最佳实践指南都将无法起到推动作用。

通往软件安全涅槃的漫长道路。

拜登政府已经承诺为CISA提供30亿美元的资金,目的是实现整个关键基础设施的快速恢复能力。虽然来自政府最高层的资金和支持是至关重要的,但我们要想有机会挫败威胁者,就必须在全球范围内推动改写安全文化的故事。

前面的路还很长,但它始于每个软件供应商在组织层面向安全责任迈出勇敢的第一步。

查看资源
查看资源

CISA的国家网络安全战略代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
2023年5月19日出版

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

这篇文章最初是作为福布斯技术委员会的一部分出现的。它已被更新并在此转发。

你认为在2022年有多少数据记录被泄露?如果你猜测在5亿左右,那你就猜对了。根据公开的违规数据,仅去年就有约480,014,323条记录被盗,但这个数字可能要大得多。在任何情况下,对于普通公民来说,这是一个令人清醒的统计数字,对于任何企业安全专业人员来说,这也是一个令人深切关注的问题。

我们已经到了这样一个地步:发达国家的大多数人可能已经看到他们的一些个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界各国政府正在寻找解决方案,以阻止这种破坏性的在线犯罪活动。拜登政府以《国家网络安全战略》的形式发布了最新的内容,我正以极大的兴趣关注着。该战略包括围绕我最近最喜欢的话题之一的指令:安全问责制。

该战略是在CISA网络安全和基础设施安全总监Jen Easterly的一次开创性演讲后发布的,可以理解它在安全界引起了一些分歧。然而,我相信它代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。

供应商本应一直 为不安全的软件负责。

几十年来,在软件安全方面,问责制是一个烫手的山芋,没有哪个团队会去玩这个游戏。高管和团队往往对谁是软件安全的最终责任人有强烈的分歧,来自Venafi的一份报告显示,97%的高级IT主管同意软件构建过程不够安全,但对谁是实现安全最佳实践的最终责任人却存在分歧。61%的高管表示,IT安全团队应该承担起软件安全的责任,而31%的人表示这应该是开发团队的责任。而这只是问题的一部分:软件构建中的开源和第三方商业组件问题是攻击面的不断扩大。即使在AppSec和安全团队之间,也很少有一个明显的 "所有者",尽管在更新、监控和测试方面需要持续保持警惕。

这项调查还表明,尽管在谁应该对软件安全和完整性负责的问题上存在内部冲突,但94%的高管认为应该对那些未能保护其构建管道免受威胁者影响,并将客户和最终用户置于风险之中的软件供应商进行处罚。 

最近,Uber的CISO因其对2016年毁灭性网络攻击的管理不善而被起诉,以及GDPR等监管举措,我们慢慢看到那些通过降低安全优先级来玩火的供应商的风险在增加。然而,这根本是不够的。我们正在输掉与网络犯罪分子的战斗,虽然这是一颗难以吞咽的药丸,但正是软件供应商的宽松做法为他们提供了无限的机会,让他们茁壮成长。 

国家网络安全战略旨在划清界限,通过将不安全软件的全部责任分配给供应商来停止循环指责游戏。

让我们来看看:

战略目标3.3--转移不安全软件产品和服务的责任:

"太多的供应商 "无视安全开发的最佳实践,用不安全的默认配置或已知的漏洞来运送产品,并整合未经审核或来历不明的第三方软件。

我们必须开始将责任转移到那些未能采取合理预防措施以确保其软件安全的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有的漏洞。
"

这可以理解为激怒了一些人。但是,正如大多数行业的标准和法规发展中的其他决定性时刻一样,这是中期的痛苦,以确保更好的长期结果。作为一个软件供应商,当涉及到安全问题时,责任必须由我们来承担是有道理的。这是我们的构建管道、我们的流程和我们的质量控制,如果我们失误了,那么我们就有责任进行补救。

此外,我们应该在一个地方寻求创建尽可能高的质量的软件,而安全编码必须是定义成功结果的指标的一部分。在这个不惜一切代价注重速度的世界里,实现这一目标是一个很高的要求,但这取决于指导我们未来的安全领导人,以确保软件创建过程中的每个人都得到充分的培训,以便在他们的角色范围内提供安全最佳实践,特别是开发人员。 

我们仍然缺乏对长期最佳做法的指导。

战略目标3.3确实参考了成熟的NIST安全软件开发框架作为其一般最佳实践的基础,这些是全面的、包罗万象的准则。他们确实明确指出需要 "确保组织的人员、流程和技术准备好在组织层面上进行安全软件开发",但对于安全意识经理在选择启用解决方案时应注意的因素并没有特别的规定。

为了使该方法真正具有变革性,应将开发人员视为安全计划的组成部分,并给予一切机会来提高他们的技能并分担检测和根除漏洞的责任。如果没有超级相关的上下文学习和工具,他们就无法以可衡量的方式实现这一目标,如果这被认为是年度合规性工作,而不是持续的技能发展途径,他们也无法实现。 

当涉及到破解安全之谜时,开发人员是一块强大的拼图,而一个具有安全技能的开发人员团队基本上是大多数组织中缺少的成分。他们使安全的速度成为可能,但只有当时间和资源被用于在团队中解锁的时候。在此之前,世界上所有的一般最佳实践指南都将无法起到推动作用。

通往软件安全涅槃的漫长道路。

拜登政府已经承诺为CISA提供30亿美元的资金,目的是实现整个关键基础设施的快速恢复能力。虽然来自政府最高层的资金和支持是至关重要的,但我们要想有机会挫败威胁者,就必须在全球范围内推动改写安全文化的故事。

前面的路还很长,但它始于每个软件供应商在组织层面向安全责任迈出勇敢的第一步。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

这篇文章最初是作为福布斯技术委员会的一部分出现的。它已被更新并在此转发。

你认为在2022年有多少数据记录被泄露?如果你猜测在5亿左右,那你就猜对了。根据公开的违规数据,仅去年就有约480,014,323条记录被盗,但这个数字可能要大得多。在任何情况下,对于普通公民来说,这是一个令人清醒的统计数字,对于任何企业安全专业人员来说,这也是一个令人深切关注的问题。

我们已经到了这样一个地步:发达国家的大多数人可能已经看到他们的一些个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界各国政府正在寻找解决方案,以阻止这种破坏性的在线犯罪活动。拜登政府以《国家网络安全战略》的形式发布了最新的内容,我正以极大的兴趣关注着。该战略包括围绕我最近最喜欢的话题之一的指令:安全问责制。

该战略是在CISA网络安全和基础设施安全总监Jen Easterly的一次开创性演讲后发布的,可以理解它在安全界引起了一些分歧。然而,我相信它代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。

供应商本应一直 为不安全的软件负责。

几十年来,在软件安全方面,问责制是一个烫手的山芋,没有哪个团队会去玩这个游戏。高管和团队往往对谁是软件安全的最终责任人有强烈的分歧,来自Venafi的一份报告显示,97%的高级IT主管同意软件构建过程不够安全,但对谁是实现安全最佳实践的最终责任人却存在分歧。61%的高管表示,IT安全团队应该承担起软件安全的责任,而31%的人表示这应该是开发团队的责任。而这只是问题的一部分:软件构建中的开源和第三方商业组件问题是攻击面的不断扩大。即使在AppSec和安全团队之间,也很少有一个明显的 "所有者",尽管在更新、监控和测试方面需要持续保持警惕。

这项调查还表明,尽管在谁应该对软件安全和完整性负责的问题上存在内部冲突,但94%的高管认为应该对那些未能保护其构建管道免受威胁者影响,并将客户和最终用户置于风险之中的软件供应商进行处罚。 

最近,Uber的CISO因其对2016年毁灭性网络攻击的管理不善而被起诉,以及GDPR等监管举措,我们慢慢看到那些通过降低安全优先级来玩火的供应商的风险在增加。然而,这根本是不够的。我们正在输掉与网络犯罪分子的战斗,虽然这是一颗难以吞咽的药丸,但正是软件供应商的宽松做法为他们提供了无限的机会,让他们茁壮成长。 

国家网络安全战略旨在划清界限,通过将不安全软件的全部责任分配给供应商来停止循环指责游戏。

让我们来看看:

战略目标3.3--转移不安全软件产品和服务的责任:

"太多的供应商 "无视安全开发的最佳实践,用不安全的默认配置或已知的漏洞来运送产品,并整合未经审核或来历不明的第三方软件。

我们必须开始将责任转移到那些未能采取合理预防措施以确保其软件安全的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有的漏洞。
"

这可以理解为激怒了一些人。但是,正如大多数行业的标准和法规发展中的其他决定性时刻一样,这是中期的痛苦,以确保更好的长期结果。作为一个软件供应商,当涉及到安全问题时,责任必须由我们来承担是有道理的。这是我们的构建管道、我们的流程和我们的质量控制,如果我们失误了,那么我们就有责任进行补救。

此外,我们应该在一个地方寻求创建尽可能高的质量的软件,而安全编码必须是定义成功结果的指标的一部分。在这个不惜一切代价注重速度的世界里,实现这一目标是一个很高的要求,但这取决于指导我们未来的安全领导人,以确保软件创建过程中的每个人都得到充分的培训,以便在他们的角色范围内提供安全最佳实践,特别是开发人员。 

我们仍然缺乏对长期最佳做法的指导。

战略目标3.3确实参考了成熟的NIST安全软件开发框架作为其一般最佳实践的基础,这些是全面的、包罗万象的准则。他们确实明确指出需要 "确保组织的人员、流程和技术准备好在组织层面上进行安全软件开发",但对于安全意识经理在选择启用解决方案时应注意的因素并没有特别的规定。

为了使该方法真正具有变革性,应将开发人员视为安全计划的组成部分,并给予一切机会来提高他们的技能并分担检测和根除漏洞的责任。如果没有超级相关的上下文学习和工具,他们就无法以可衡量的方式实现这一目标,如果这被认为是年度合规性工作,而不是持续的技能发展途径,他们也无法实现。 

当涉及到破解安全之谜时,开发人员是一块强大的拼图,而一个具有安全技能的开发人员团队基本上是大多数组织中缺少的成分。他们使安全的速度成为可能,但只有当时间和资源被用于在团队中解锁的时候。在此之前,世界上所有的一般最佳实践指南都将无法起到推动作用。

通往软件安全涅槃的漫长道路。

拜登政府已经承诺为CISA提供30亿美元的资金,目的是实现整个关键基础设施的快速恢复能力。虽然来自政府最高层的资金和支持是至关重要的,但我们要想有机会挫败威胁者,就必须在全球范围内推动改写安全文化的故事。

前面的路还很长,但它始于每个软件供应商在组织层面向安全责任迈出勇敢的第一步。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
2023年5月19日出版

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

这篇文章最初是作为福布斯技术委员会的一部分出现的。它已被更新并在此转发。

你认为在2022年有多少数据记录被泄露?如果你猜测在5亿左右,那你就猜对了。根据公开的违规数据,仅去年就有约480,014,323条记录被盗,但这个数字可能要大得多。在任何情况下,对于普通公民来说,这是一个令人清醒的统计数字,对于任何企业安全专业人员来说,这也是一个令人深切关注的问题。

我们已经到了这样一个地步:发达国家的大多数人可能已经看到他们的一些个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界各国政府正在寻找解决方案,以阻止这种破坏性的在线犯罪活动。拜登政府以《国家网络安全战略》的形式发布了最新的内容,我正以极大的兴趣关注着。该战略包括围绕我最近最喜欢的话题之一的指令:安全问责制。

该战略是在CISA网络安全和基础设施安全总监Jen Easterly的一次开创性演讲后发布的,可以理解它在安全界引起了一些分歧。然而,我相信它代表了我们在全面提高软件标准方面的最佳机会,并最终迎来了一个具有安全技能的开发者的新时代。

供应商本应一直 为不安全的软件负责。

几十年来,在软件安全方面,问责制是一个烫手的山芋,没有哪个团队会去玩这个游戏。高管和团队往往对谁是软件安全的最终责任人有强烈的分歧,来自Venafi的一份报告显示,97%的高级IT主管同意软件构建过程不够安全,但对谁是实现安全最佳实践的最终责任人却存在分歧。61%的高管表示,IT安全团队应该承担起软件安全的责任,而31%的人表示这应该是开发团队的责任。而这只是问题的一部分:软件构建中的开源和第三方商业组件问题是攻击面的不断扩大。即使在AppSec和安全团队之间,也很少有一个明显的 "所有者",尽管在更新、监控和测试方面需要持续保持警惕。

这项调查还表明,尽管在谁应该对软件安全和完整性负责的问题上存在内部冲突,但94%的高管认为应该对那些未能保护其构建管道免受威胁者影响,并将客户和最终用户置于风险之中的软件供应商进行处罚。 

最近,Uber的CISO因其对2016年毁灭性网络攻击的管理不善而被起诉,以及GDPR等监管举措,我们慢慢看到那些通过降低安全优先级来玩火的供应商的风险在增加。然而,这根本是不够的。我们正在输掉与网络犯罪分子的战斗,虽然这是一颗难以吞咽的药丸,但正是软件供应商的宽松做法为他们提供了无限的机会,让他们茁壮成长。 

国家网络安全战略旨在划清界限,通过将不安全软件的全部责任分配给供应商来停止循环指责游戏。

让我们来看看:

战略目标3.3--转移不安全软件产品和服务的责任:

"太多的供应商 "无视安全开发的最佳实践,用不安全的默认配置或已知的漏洞来运送产品,并整合未经审核或来历不明的第三方软件。

我们必须开始将责任转移到那些未能采取合理预防措施以确保其软件安全的实体身上,同时认识到即使是最先进的软件安全程序也无法防止所有的漏洞。
"

这可以理解为激怒了一些人。但是,正如大多数行业的标准和法规发展中的其他决定性时刻一样,这是中期的痛苦,以确保更好的长期结果。作为一个软件供应商,当涉及到安全问题时,责任必须由我们来承担是有道理的。这是我们的构建管道、我们的流程和我们的质量控制,如果我们失误了,那么我们就有责任进行补救。

此外,我们应该在一个地方寻求创建尽可能高的质量的软件,而安全编码必须是定义成功结果的指标的一部分。在这个不惜一切代价注重速度的世界里,实现这一目标是一个很高的要求,但这取决于指导我们未来的安全领导人,以确保软件创建过程中的每个人都得到充分的培训,以便在他们的角色范围内提供安全最佳实践,特别是开发人员。 

我们仍然缺乏对长期最佳做法的指导。

战略目标3.3确实参考了成熟的NIST安全软件开发框架作为其一般最佳实践的基础,这些是全面的、包罗万象的准则。他们确实明确指出需要 "确保组织的人员、流程和技术准备好在组织层面上进行安全软件开发",但对于安全意识经理在选择启用解决方案时应注意的因素并没有特别的规定。

为了使该方法真正具有变革性,应将开发人员视为安全计划的组成部分,并给予一切机会来提高他们的技能并分担检测和根除漏洞的责任。如果没有超级相关的上下文学习和工具,他们就无法以可衡量的方式实现这一目标,如果这被认为是年度合规性工作,而不是持续的技能发展途径,他们也无法实现。 

当涉及到破解安全之谜时,开发人员是一块强大的拼图,而一个具有安全技能的开发人员团队基本上是大多数组织中缺少的成分。他们使安全的速度成为可能,但只有当时间和资源被用于在团队中解锁的时候。在此之前,世界上所有的一般最佳实践指南都将无法起到推动作用。

通往软件安全涅槃的漫长道路。

拜登政府已经承诺为CISA提供30亿美元的资金,目的是实现整个关键基础设施的快速恢复能力。虽然来自政府最高层的资金和支持是至关重要的,但我们要想有机会挫败威胁者,就必须在全球范围内推动改写安全文化的故事。

前面的路还很长,但它始于每个软件供应商在组织层面向安全责任迈出勇敢的第一步。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心