你的安全计划集中在事件响应上吗?你做错了。
本文的一个版本曾作为《福布斯》杂志的一个专题报道出现。 福布斯技术委员会.它已被更新并在此转发。
没有什么比站在数据泄露的错误一边更有意义的了。起初,人们可能会否认,然后是恐慌。一旦所有的脏话都被说出来,CISO不得不在凌晨2点与公共关系部门进行电话会议,现在是时候卷起袖子开始工作,保护端点和系统,并迅速消除任何潜在的攻击载体。至少可以说,这不是野餐。
然而,这是一个未来将降临到许多组织的现实,而且绝对必须通过一个全面的网络安全事件响应计划来准备。然而,问题是,这种被动的策略是大部分时间、资源和精力集中的地方,而不是在前期努力防止或减少网络攻击的潜在严重性。这有点像为疑似心脏病发作叫救护车;其结果往往不那么积极--更不用说更具破坏性--如果在为时已晚的情况下采取预防保健措施。
为此,一个预防性的计划是什么样子的?让我们来探讨一下安全专家如何运用他们所掌握的所有工具来减轻每天不断增加的网络风险。
了解摆在面前的工作范围
这似乎是显而易见的,但减轻网络风险的 "正确 "计划在不同行业之间确实有细微的差别,重要的是要预先了解需要什么来达到预期的结果。
目前存在哪些安全问题?它们占用了哪些时间和资源?其中有多少是重复出现的问题?这些都是重要的因素,并将给你一个基础的起点。考虑任何需要填补的角色,工具方面的差距,以及从专业知识和工具的角度需要什么,以确保端点的安全,减少攻击面,同时预先阻止其他潜在的风险领域。
最近的一份报告显示,11个行业在过去一年中每天都看到一个严重的漏洞,涉及至少一半的应用程序。特别是,公用事业、公共管理和专业服务行业平均需要288天来修补已知的漏洞。这是令人难以置信的缓慢,如果这些漏洞在打补丁之前被发现,攻击者有足够的时间进行严重破坏。这一点,再加上企业遭遇数据泄露的概率接近30%,清醒地提醒我们,对事件的反应是不够的,如果对大规模网络攻击的影响保持警惕并寄希望于最好的结果,风险实在是太大了。
为获得文化变革的认同做好准备
颠覆现状确实容易引起一些人的注意,但事实是,安全计划应该处于持续不断的改进状态。每个组成部分都应该保持相关性,新的发展应该被评估和考虑进去。
强调预防性--而不是反应性--的方法可能不会被安全团队以外的人广泛理解,特别是在没有发生大的、坏的、安全事件的情况下。它可能被认为是没有坏的东西,不需要修复。在这种情况下,获得管理层的支持是至关重要的。他们需要考虑的一些更相关的要点是。
- 相对于突发事件的潜在成本,预防措施,如基于角色的培训和相关工具,可以节省时间和成本
- 现在如何寻找和修复漏洞,以保证按时发布,减少安全团队的阻挠。
- 为什么从开发团队到发布,准备和预防潜在的安全风险,总体上可以节省更多的时间(更不用说大量现金)。从这个角度来看,在测试阶段发现的后期漏洞--或者更糟糕的是,在后期制作中发现的漏洞--平均可以提高3000%的成本。
至关重要的是,提议的文化变革要与业务目标保持一致,即使它们一开始看起来很不舒服。
安全意识是什么,安全技能是一切
作为一个行业,我们经常谈论安全意识的重要性,这也是企业中每个员工越来越重要的组成部分。然而,仅仅停留在口头上的服务和被动的培训是不够的,特别是对于那些技术岗位上的人。
简单地说,任何接触代码的人,如果他们没有掌握安全编码的技能,就会有潜在的安全风险。对基本安全参数的一般认识是一个良好的开端,但如果没有良好的、安全的编码模式的背景知识,不良的习惯就会普遍存在,而攻击者正是依靠这种缺乏高质量的开发技能来完成他们的肮脏工作。
不要撇开你的开发人员。
虽然态度正在转变,但许多组织的结构是这样的:开发人员很少在安全缓解计划中被真正考虑。一些行业--如银行和金融业--有严格的合规性和监管要求,导致所有员工都要加强安全实践和培训。虽然他们肯定领先于其他垂直行业,但地球上几乎每一个组织都可以从内部的安全意识开发者大军中受益,他们都有一个基准能力,可以在常见的安全漏洞发生之前嗅出它们。大多数企业还没有达到安全计划拼图的这一关键部分--如果我们有希望确保逐年增加的大量代码的安全,那么这就是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥补安全技能的差距。他们需要正确的工具集和上下文指导,以达到更高的代码质量标准,而最好的结果总是在成为他们日常工作的一部分,而不是在每年的合规性要求出现时才零星地推出的事后想法。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
你的安全计划集中在事件响应上吗?你做错了。
本文的一个版本曾作为《福布斯》杂志的一个专题报道出现。 福布斯技术委员会.它已被更新并在此转发。
没有什么比站在数据泄露的错误一边更有意义的了。起初,人们可能会否认,然后是恐慌。一旦所有的脏话都被说出来,CISO不得不在凌晨2点与公共关系部门进行电话会议,现在是时候卷起袖子开始工作,保护端点和系统,并迅速消除任何潜在的攻击载体。至少可以说,这不是野餐。
然而,这是一个未来将降临到许多组织的现实,而且绝对必须通过一个全面的网络安全事件响应计划来准备。然而,问题是,这种被动的策略是大部分时间、资源和精力集中的地方,而不是在前期努力防止或减少网络攻击的潜在严重性。这有点像为疑似心脏病发作叫救护车;其结果往往不那么积极--更不用说更具破坏性--如果在为时已晚的情况下采取预防保健措施。
为此,一个预防性的计划是什么样子的?让我们来探讨一下安全专家如何运用他们所掌握的所有工具来减轻每天不断增加的网络风险。
了解摆在面前的工作范围
这似乎是显而易见的,但减轻网络风险的 "正确 "计划在不同行业之间确实有细微的差别,重要的是要预先了解需要什么来达到预期的结果。
目前存在哪些安全问题?它们占用了哪些时间和资源?其中有多少是重复出现的问题?这些都是重要的因素,并将给你一个基础的起点。考虑任何需要填补的角色,工具方面的差距,以及从专业知识和工具的角度需要什么,以确保端点的安全,减少攻击面,同时预先阻止其他潜在的风险领域。
最近的一份报告显示,11个行业在过去一年中每天都看到一个严重的漏洞,涉及至少一半的应用程序。特别是,公用事业、公共管理和专业服务行业平均需要288天来修补已知的漏洞。这是令人难以置信的缓慢,如果这些漏洞在打补丁之前被发现,攻击者有足够的时间进行严重破坏。这一点,再加上企业遭遇数据泄露的概率接近30%,清醒地提醒我们,对事件的反应是不够的,如果对大规模网络攻击的影响保持警惕并寄希望于最好的结果,风险实在是太大了。
为获得文化变革的认同做好准备
颠覆现状确实容易引起一些人的注意,但事实是,安全计划应该处于持续不断的改进状态。每个组成部分都应该保持相关性,新的发展应该被评估和考虑进去。
强调预防性--而不是反应性--的方法可能不会被安全团队以外的人广泛理解,特别是在没有发生大的、坏的、安全事件的情况下。它可能被认为是没有坏的东西,不需要修复。在这种情况下,获得管理层的支持是至关重要的。他们需要考虑的一些更相关的要点是。
- 相对于突发事件的潜在成本,预防措施,如基于角色的培训和相关工具,可以节省时间和成本
- 现在如何寻找和修复漏洞,以保证按时发布,减少安全团队的阻挠。
- 为什么从开发团队到发布,准备和预防潜在的安全风险,总体上可以节省更多的时间(更不用说大量现金)。从这个角度来看,在测试阶段发现的后期漏洞--或者更糟糕的是,在后期制作中发现的漏洞--平均可以提高3000%的成本。
至关重要的是,提议的文化变革要与业务目标保持一致,即使它们一开始看起来很不舒服。
安全意识是什么,安全技能是一切
作为一个行业,我们经常谈论安全意识的重要性,这也是企业中每个员工越来越重要的组成部分。然而,仅仅停留在口头上的服务和被动的培训是不够的,特别是对于那些技术岗位上的人。
简单地说,任何接触代码的人,如果他们没有掌握安全编码的技能,就会有潜在的安全风险。对基本安全参数的一般认识是一个良好的开端,但如果没有良好的、安全的编码模式的背景知识,不良的习惯就会普遍存在,而攻击者正是依靠这种缺乏高质量的开发技能来完成他们的肮脏工作。
不要撇开你的开发人员。
虽然态度正在转变,但许多组织的结构是这样的:开发人员很少在安全缓解计划中被真正考虑。一些行业--如银行和金融业--有严格的合规性和监管要求,导致所有员工都要加强安全实践和培训。虽然他们肯定领先于其他垂直行业,但地球上几乎每一个组织都可以从内部的安全意识开发者大军中受益,他们都有一个基准能力,可以在常见的安全漏洞发生之前嗅出它们。大多数企业还没有达到安全计划拼图的这一关键部分--如果我们有希望确保逐年增加的大量代码的安全,那么这就是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥补安全技能的差距。他们需要正确的工具集和上下文指导,以达到更高的代码质量标准,而最好的结果总是在成为他们日常工作的一部分,而不是在每年的合规性要求出现时才零星地推出的事后想法。
