安全的设计
通过Sujatha Mudulodu,哈里凯利斯休斯 2020年2月| POV | 11分钟读|本文的电子邮件|下载
良好的安全赢得客户,赋予员工,简化合规性。但是,大多数组织继续以技术问题为安全。相反,CXO必须与业务和技术领导者合作,以将安全性设计为系统,流程和人员。要到达那里,公司必须记住,他们的企业只是一个较大的网络中的一个节点。
2017年至2021年,全球网络安全产品和服务的支出将超过1万亿美元。1到2020年,它将占整个It支出的10%。2
安全设计降低了整体网络安全风险和拥有成本,同时提高了客户的信心
即便如此,大多数公司在部署之前将安全性纳入系统,以满足合规和内部安全评估标准。更积极主动的公司从一开始就将安全性集成到他们的系统中。但是,即使这些公司也无法确保其劳动力理解安全协议,并且缺乏将安全控制到位的有效治理流程。由于威胁景观增加,由于跨行业的大规模化和“东西”与运营技术的集成,这一“人民和过程”元素现在比以往任何时候都更重要。
有效地完成,这种更全面的“通过设计安全”方法将降低内部和外部威胁的整体网络安全风险。正确设计的,它还可以降低成本并帮助组织提高客户满意度,从而提高客户的信心。
具有较少安全专家的威胁横向威胁
一些专家表示,随着大公司努力跟上年轻、移动和互联员工的步伐,侵入一家公司、窃取其机密或破坏其数据系统变得越来越容易。员工现在可以在自己的移动设备上工作,包括智能手机、平板电脑和笔记本电脑。这种“自带设备”的运动加速了手机市场的发展,预计到2022年,手机市场的规模将从六年前的300亿美元增至3670亿美元。3.这类设备增加了对恶意应用程序和病毒的暴露,如果设备被盗,还暴露了宝贵的知识产权。众所周知,黑客通过使用流行的应用程序和巧妙地请求敏感信息来建立信任。85%的移动应用程序几乎没有受到保护,这使得犯罪分子可以不断地从更广泛的商业生态系统中获取数据、连接和资源。4
大型组织通常只是更大网络中的一个节点,这一事实进一步增加了网络风险。黑客经常攻击合作伙伴组织中的薄弱环节。当第三方供应商松懈的安全性暴露了系统凭据时,就会出现许多漏洞,这些凭据可以被用来安装恶意软件,获取信用卡或其他敏感信息。随着云计算、物联网和运营技术的出现,企业与更广泛的合作伙伴网络的联系比以往任何时候都更紧密,共享的数据比以往任何时候都多,而没有充分保证适当的安全措施到位。
开源软件也是一个问题。商业软件现在占开放源代码的50%以上。5公司可能会使用过时的开源图书馆,黑客很容易侵入这些图书馆。事实上,研究表明,78%的审计代码库包含至少一个开源漏洞,其中54%是非常高的风险。6
如果公司有能力从一开始就将安全性灌输到系统和流程中,那么这一切都是可以管理的。然而,安全专家短缺。一项估计预测,到2022年,安保人员将短缺180万。7预计10个软件开发人员中的七个是写安全代码,但不到一半会获得足够的培训。8
78%的审计代码库包含至少一个开源漏洞,其中54%是非常高的风险
要反击,公司必须制定其DNA的安全部分。他们必须upskill员工,建立安全的软件开发管道,并在所有人,流程和技术方面实施有效的安全控制。
安全的设计
威胁情报平台和渗透测试等安全机制对攻击者进行了很多影响,并暴露系统漏洞。通过编织安全性,合规性和隐私要求,可以设计良好的软件。然后在架构和设计阶段嵌入安全性,因此可以随着信心增加迅速释放代码。
组织还必须确保在转移到可能没有足够安全控制的非生产环境时屏蔽敏感信息。
然而,除了保护系统本身之外,公司还可以做六件事来确保适当的治理到位,并确保员工不会成为链条中最薄弱的环节。
所有公司必须做的六件事
如今,许多企业不仅仅是发明新代码;许多人基于这些代码创建设备、产品甚至平台。组织中的任何人在任何时候创建任何东西,他们必须首先为他们开发或从第三方获取的所有系统提出一个安全体系结构审查过程。本文讨论了体系结构中的安全考虑,比如身份验证和授权加密方法。高层管理人员,包括董事会,必须强调为什么每个公司单位都必须坚持这一过程。
第二,对非常复杂的项目进行威胁建模。这个过程包括从潜在黑客的角度查看代码,并提前识别威胁。这里可以使用由Microsoft首次实现的用于识别系统实体、可能事件和系统边界的STRIDE框架。这有助于设计安全的代码,避免身份欺骗、数据篡改、信息公开、拒绝服务(耗尽提供服务所需的资源)和允许某些人做他们不被允许做的事情。9
第三,公司生态系统中的每一个人,无论是员工、供应商还是合作伙伴,都应该接受安全意识培训。这种“第二道防线”教育应该容易理解,并基于业务术语。安全协议的疏忽通常比恶意行为更危险。公司可以根据面临欺诈或暴露风险的群体对其团队进行划分,并教育他们正确的网络程序。
第四,组织必须有一个适当的治理过程来使用开源软件。开发团队只能使用经过安全性测试和合法审查的开源组件。
第五,DevSecOps是DevOps软件开发方法的一个以安全性为主导的变体,可以用于更快更便宜地设计安全代码。在这里,安全实践、标准和工具通过融合业务、开发、测试、基础设施部署和操作来自动化软件开发生命周期。这减少了花费在扫描上的时间,并确保符合越来越严格的规定。为了帮助实现这一点,可以将专家引入DevSecOps流程,对小型团队进行安全敏捷开发方面的培训。他们必须具有创新思维,反应敏捷,思想开放。有了这种操作模式,安全性自然被视为运转良好的机器不可或缺的关键部分。
最后,也是最重要的是,高层必须参与到工作中来,并且必须投入时间来开发一个清晰的愿景,以了解“设计安全”在公司内意味着什么。对首席信息安全官的职能进行授权,并向董事会报告。必须根据资产的重要性对其进行评级,必须将更多的投资投入更复杂或风险更大的系统。
扩展的生态系统
设计的安全性必须扩展到企业的大门之外。重要的是要记住,大多数大公司是一个更大的供应商、合作伙伴、分销商和监管者网络中的一个节点。重要的是,所有第三方都是安全的。
公司必须确认内部系统在设计上是安全的,同时在第三方介入时确保安全被嵌入到合同中。必须制定指导方针,以确保第三方关系的安全性。第三方风险管理可用于进行尽职调查,并确定供应商对给定任务的适宜性,以及它们是否能保证信息安全。良好的流程包括对整个供应商生命周期的审查、监控和管理沟通。
沃伦·巴菲特说:“建立声誉需要20年,毁掉它只需要5分钟。”为了确保这五分钟不是由于不安全的系统漏洞或员工疏忽造成的,企业领导人必须迅速学会与安全部门的同行使用相同的语言。一旦从最高层获得支持,员工将受到鼓舞,以确保系统的安全性,并将更加警惕他们在办公室之外如何和在哪里使用设备。合作伙伴会相信,他们的数据在公司范围之外受到了小心的保护。就客户而言,他们会更加忠诚,因为他们知道自己的数据是安全的。而企业将不再把安全视为必需品,而是将其视为获取钱包份额的区别所在。
