安全通过设计
经过Sujatha mudulodu,哈利Keir休斯 2020年2月|POV |11分钟阅读|通过电子邮件发送本文|下载
良好的安全赢得客户,授权员工和简化合规。然而,大多数组织仍然认为安全性只是一个技术问题。相反,cxo必须与业务和技术负责人合作,从一开始就将安全性设计到系统、流程和人员中。要做到这一点,公司必须记住,他们的企业只是一个更大的网络中的一个节点。
从2017年到2021年,全球在网络安全产品和服务上的支出累计将超过1万亿美元。1它将占2020年整体支出的10%。2
通过设计安全降低整体网络安全风险和所有权成本,同时提高客户的信心
即便如此,大多数公司还是会在系统部署前将安全性纳入系统,以满足合规和内部安全评估标准。更积极主动的公司从一开始就将安全集成到他们的系统中。然而,即使是这些公司也不能确保他们的员工理解安全协议,并且他们缺乏有效的治理过程来适当地实施安全控制。随着跨行业的大规模数字化、“物联网”和运营技术与IT的整合,威胁景观不断增加,“人与过程”这一要素现在比以往任何时候都更加重要。
如果做得有效,这种更全面的“设计安全”方法将减少来自内部和外部威胁的整体网络安全风险。如果设计得当,它还可以降低成本,并帮助组织通过增强客户信心来提高客户满意度。
安全专家越来越少,威胁也越来越大
由于主要公司努力与年轻,移动和联系工人保持步伐,一些专家表示,破解组织变得更容易,窃取其秘密或使用其数据系统创造伤害。员工现在可以在自己的便携式设备上工作,包括智能手机,平板电脑和笔记本电脑。这种“带来自己的设备”运动正在加快预计将于2022年预计达到3670亿美元的市场的开发,从六年前的300亿美元起。3.此类设备增加了对恶意应用和病毒的暴露,如果设备被盗,则披露了珍贵的知识产权。又称黑客通过使用流行应用程序和巧妙的敏感信息来创造信任。百分之八十五个移动应用程序几乎没有保护,这允许犯罪分子从更广泛的企业生态系统中不断收获数据,连接和资源。4.
大型组织通常只是更广泛的网络中的节点进一步增加了网络风险。黑客经常针对合作伙伴组织的薄弱环节。当第三方供应商的LAX安全性暴露系统凭据时,会发生许多违规,该系统凭据可用于安装捕获信用卡或其他敏感信息的恶意软件。随着云的出现,事物和操作技术互联网,企业比以往任何时候都更加联系到更广泛的合作伙伴网络,在没有充分保证的情况下分享更多数据,即适当的安全措施。
开源软件也是一个问题。商业软件现在占开放源代码的50%以上。5.公司可能使用过时的开源库,很容易被黑客渗透。事实上,研究表明,78%的审计码条包含至少一个开源漏洞,其中54%的风险非常高。6.
如果公司有能力从一开始就将安全性灌输到系统和流程中,那么这一切都是可以管理的。然而,安全专家短缺。一项估计预测,到2022年,安保人员将短缺180万。7.十分之七的软件开发人员预计会编写安全代码,但只有不到一半的人接受过适当的培训。8.
78%的审计代码库包含至少一个开源漏洞,其中54%是非常高的风险
为了反击,公司必须把安全作为自己的DNA。他们必须提高员工的技能,构建安全的软件开发管道,并跨所有人员、过程和技术实施有效的安全控制。
安全的设计
威胁情报平台和渗透测试等安全机制在挫败攻击者和暴露系统漏洞方面发挥了很大作用。通过将安全性、遵从性和隐私要求编织到需求文档中,可以设计出好的软件。然后在体系结构和设计阶段嵌入安全性,这样代码就可以以更大的信心快速发布。
组织还必须确保在移动到可能没有充分安全控制的非生产环境时屏蔽敏感信息。
然而,除了保护系统本身之外,公司可以做六件事,以确保适当的治理到位,人们不会成为链条中最薄弱的联系。
所有公司都必须做的六件事
如今,许多企业不仅仅是发明新代码;许多人基于这些代码创建设备、产品甚至平台。组织中的任何人在任何时候创建任何东西,他们必须首先为他们开发或从第三方获取的所有系统提出一个安全体系结构审查过程。本文讨论了体系结构中的安全考虑,比如身份验证和授权加密方法。高层管理人员,包括董事会,必须强调为什么每个公司单位都必须坚持这一过程。
第二,对非常复杂的项目进行威胁建模。这个过程包括从潜在黑客的角度查看代码,并提前识别威胁。这里可以使用由Microsoft首次实现的用于识别系统实体、可能事件和系统边界的STRIDE框架。这有助于设计安全的代码,避免身份欺骗、数据篡改、信息公开、拒绝服务(耗尽提供服务所需的资源)和允许某些人做他们不被允许做的事情。9.
第三,公司生态系统中的每一个人,无论是员工、供应商还是合作伙伴,都应该接受安全意识培训。这种“第二道防线”教育应该容易理解,并基于业务术语。安全协议的疏忽通常比恶意行为更危险。公司可以根据面临欺诈或暴露风险的群体对其团队进行划分,并教育他们正确的网络程序。
第四,组织必须有一个适当的治理过程来使用开源软件。开发团队只能使用经过安全性测试和合法审查的开源组件。
第五,Devsecops是软件开发的Devops方法的安全主导的变体,可用于更快,更便宜地设计安全代码。在这里,安全实践,标准和工具通过融合业务,开发,测试,基础架构部署和操作来自动化软件开发生命周期。这减少了扫描中所花费的时间,并确保遵守更严格的规定。为了帮助这一点,专家可以将专家进入Devsecops流程,以培训小组在安全的敏捷发展中。他们必须是创新的思想家,快速脚跟开放。通过该操作模型到位,安全性自然被视为良好上油机的一体化和关键部分。
最后,也是最重要的是,高层必须参与到工作中来,并且必须投入时间来开发一个清晰的愿景,以了解“设计安全”在公司内意味着什么。对首席信息安全官的职能进行授权,并向董事会报告。必须根据资产的重要性对其进行评级,必须将更多的投资投入更复杂或风险更大的系统。
扩展生态系统
设计的安全性必须扩展到企业的大门之外。重要的是要记住,大多数大公司是一个更大的供应商、合作伙伴、分销商和监管者网络中的一个节点。重要的是,所有第三方都是安全的。
公司必须通过设计确认内部系统是安全的,同时确保在第三方登机时嵌入到合同中的安全性。必须制定指南以确保第三方关系是安全的。第三方风险管理可用于进行尽职调查,并确定供应商对给定任务的适用性以及它们是否可以保证信息安全。良好的流程包括在整个供应商生命周期内的审查,监控和管理沟通。
沃伦·巴菲特说:“建立声誉需要20年,毁掉它只需要5分钟。”为了确保这五分钟不是由于不安全的系统漏洞或员工疏忽造成的,企业领导人必须迅速学会与安全部门的同行使用相同的语言。一旦从最高层获得支持,员工将受到鼓舞,以确保系统的安全性,并将更加警惕他们在办公室之外如何和在哪里使用设备。合作伙伴会相信,他们的数据在公司范围之外受到了小心的保护。就客户而言,他们会更加忠诚,因为他们知道自己的数据是安全的。而企业将不再把安全视为必需品,而是将其视为获取钱包份额的区别所在。
