信息來源:FreeBuf
每年六月�,Gartner 都會在華盛頓附近召開 Gartner 安全與風(fēng)險管理峰會��。 這場峰會主要面向 CISO、首席風(fēng)險官�、建筑師、IAM 和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)等高級 IT 和安全專業(yè)人員��。 今年��,有超過 3000 名與會者�,120 場分析師會議可供選擇�,還有 200 名供應(yīng)商參加了展會并發(fā)表演講。
今年 5 月底正式生效的 GDPR 無疑成為了會議的熱門議題�,區(qū)塊鏈也有頗多討論��。但縱觀整個峰會��,分析師們更加強(qiáng)調(diào)的是“回歸本源”��,注重基礎(chǔ)設(shè)施��、開發(fā)過程中的安全性。
本源很重要
許多分析師都在會上談到了數(shù)據(jù)相關(guān)的問題��。GDPR 生效之后��,數(shù)據(jù)不斷升值��。 Gartner 研究總監(jiān) Brian Lowans 在會議上拋出了“數(shù)據(jù)已經(jīng)成為新一類石油”這個觀點(diǎn)�,強(qiáng)調(diào)了數(shù)據(jù)的重要性��,并分享了 Gartner 關(guān)于“數(shù)據(jù)安全狀況”的分析結(jié)果��。當(dāng)前形勢下�,建立一個管理結(jié)構(gòu)并讓各個組織共同協(xié)作,有助于識別數(shù)據(jù)�、將數(shù)據(jù)分類并采用戰(zhàn)略性方法保護(hù)數(shù)據(jù)。 一些分析師使用了相同的圖表(如下圖)來表明�,黑客攻擊導(dǎo)致的數(shù)據(jù)泄露持續(xù)增長,而內(nèi)部威脅和意外泄露等問題則比較平穩(wěn)�。基于這種趨勢�,可以采取針對性的手段來確保安全。
此外��,Gartner 研究總監(jiān) Gorka Sadowski 和 Pete Shoard 還展示了 2018 年的威脅狀況(見下圖)��。 回顧威脅狀況不僅能展示新攻擊媒介��、腳本小子工具和韓國黑客帶來的噩夢般的攻擊場景�,而且有助于控制風(fēng)險 ��。 通過類比來看待“風(fēng)險”��,可以發(fā)現(xiàn)人工可以控制以及無法控制的部分��。而利用那些可控的部分�,就能減小風(fēng)險。
我們通常無法預(yù)防威脅�,但是,我們可以通過搭建良好的基礎(chǔ)設(shè)施�,來降低已知漏洞的風(fēng)險�,最好是為業(yè)務(wù)制定“優(yōu)先處理風(fēng)險進(jìn)而處理漏洞”的策略。這個策略也是整場峰會幾天來一直持續(xù)的主題��。 以現(xiàn)場講解的“通過代碼庫中的惡意軟件注入將惡意軟件傳播到組織代碼中”為例�,演講者不僅在 GitHub 中演示了詳情�,還列舉了一些自我保護(hù)的方法��。例如:不使用開源代碼改變流程并在使用代碼之前檢查 MD5 值�。 代碼簽名是避免泄露的簡單而有效的方式,但它必須通過流程或技術(shù)來執(zhí)行��。因此��,執(zhí)行過程中可能出現(xiàn)問題��,而安全研究員必須盡力在這個過程中來降低風(fēng)險��,確保安全�。
DevOps 行之有效
Trend Micro 云研究副總裁 Mark Nunnikhoven 表示:DevOps 一直在被濫用,導(dǎo)致這個詞失去了原本的意義。目前已經(jīng)有很多 DevOps 工具�,不少組織還推出了專業(yè)“DevOps 人才”�,但 DevOps 的核心其實是平衡組織內(nèi)部的開發(fā)和運(yùn)營環(huán)節(jié)。
DevOps 重點(diǎn)關(guān)注人員��、流程和產(chǎn)品�,并已經(jīng)在企業(yè)和交付環(huán)節(jié)持續(xù)取得成功��,獲得良性反饋和循環(huán)�。從安全角度來看,DevOps 有助于創(chuàng)建“一種協(xié)作文化�,通過減少生產(chǎn)環(huán)境的變化來降低風(fēng)險”�。
Nunnikhoven 說�,公司如果能反應(yīng)迅速,做出更小的變更��,就能降低風(fēng)險��。以前��,較大的組織部署可能包含數(shù)千行代碼,從中找出漏洞根源可能很難��。但是,隨著 DevOps 發(fā)展出更多形態(tài)��,企業(yè)可以每天多次部署�,推出多次小的更新,舍棄以前一次性發(fā)布的較大更新�。最重要的是��,安全應(yīng)當(dāng)嵌入到開發(fā)過程中�,不能作為一個額外的審計步驟。
這就要求安全部門需要發(fā)揮真正的作用�,提高員工對 DevSecOps 的認(rèn)識��,打破孤島�,讓安全團(tuán)隊更早地成為開發(fā)流程的一部分,讓更多問題在生產(chǎn)中就能捕獲�,從而降低產(chǎn)品發(fā)布后的風(fēng)險�。
安全融入用戶體驗
數(shù)字化時代,越來越多的用戶開始重視個性化體驗�,安全領(lǐng)導(dǎo)者若想成功,也需要重視這一點(diǎn)�。Gartner 研究副總裁 Leigh McMullen 在峰會上表示,雖然作為安全人員希望事事都在掌控之中,但是人往往是不受控制的因素�。因此��,安全領(lǐng)導(dǎo)者在與業(yè)務(wù)部門溝通時以及在推出安全產(chǎn)品時��,可能要改變參與方式,適當(dāng)放棄控制來獲得話語權(quán)�,讓領(lǐng)導(dǎo)者真正重視安全問題�。在這一部分,他們所指的用戶主要是企業(yè)組織的高管與領(lǐng)導(dǎo)者等�。
安全不應(yīng)該破壞用戶體驗�,但很多情況下安全的確妨礙了良好的用戶體驗。 用戶��,以及企業(yè)中的每一個人�,都希望他們的付出獲得相應(yīng)的回報�。如果你的用戶體驗不好,就可能被用戶淘汰�。
Gartner 表示,安全和風(fēng)險領(lǐng)導(dǎo)者可以通過五種方法來提升用戶(高管)體驗:
與管理者談?wù)劙踩@件重要的事情:Gartner 分析師表示��,研究表明,對風(fēng)險和安全的擔(dān)憂會對創(chuàng)新產(chǎn)生重大影響�。很多組織因為擔(dān)心安全問題而放緩腳步,安全領(lǐng)導(dǎo)者需要與企業(yè)高管談?wù)摪踩珜τ诟吖芩粗氐臉I(yè)務(wù)的影響��,讓他們意識到業(yè)務(wù)需要依賴于安全��。同時�,如果能夠提升高管對于風(fēng)險與安全的意識及容忍度�,就能讓公司發(fā)展得更快�,實現(xiàn)商業(yè)價值。
通過基于運(yùn)營的風(fēng)險評估策略幫助高管做出決定:Gartner 建議��,安全領(lǐng)導(dǎo)可以從一個業(yè)務(wù)流程開始�,與執(zhí)行該流程的人面談��,進(jìn)而讓業(yè)務(wù)進(jìn)行得更加順暢�;
做好防御��,讓高管有方案可選:企業(yè)高管一般不直接管控技術(shù)風(fēng)險和安全��。但是�,當(dāng)一個組織遭到黑客攻擊時�,公眾依然希望高管能為安全漏洞后果負(fù)責(zé)��。因此�,最好為高管設(shè)計特定的防御策略,以防在真正遇到問題時手足無措�;
不要談?wù)摷兗夹g(shù)內(nèi)容:高管往往更關(guān)心業(yè)務(wù)而非具體的技術(shù),因此在與高管對談時��,最好不要談?wù)摷兗夹g(shù)內(nèi)容�,而是應(yīng)當(dāng)盡量抽走技術(shù)��,根據(jù)業(yè)務(wù)成果做出決策,讓決策更加可靠�。
把項目管理改為產(chǎn)品管理:項目管理是安全領(lǐng)導(dǎo)一直以來的事情。他們優(yōu)先考慮和資助活動��。例如�,項目管理流程包括開始�、執(zhí)行��、實施��、驗收測試、集成和部署等��,往往有開始和結(jié)束周期��。而產(chǎn)品管理則是連續(xù)的環(huán)節(jié)��,大多圍繞業(yè)務(wù)流程進(jìn)行組織��,同時為相關(guān)業(yè)務(wù)流程提供 IT 支撐�。產(chǎn)品管理沒有具體結(jié)束日期,會在產(chǎn)品生命周期中不斷把控�、保護(hù)、管理��。
做好這幾項�,就能提升用戶(高管)體驗��,讓組織在安全方面做得更好�,實現(xiàn)安全管理者的目標(biāo)和責(zé)任�。
參考來源:
https://www.businesswire.com/news/home/20180607005836/en/Gartner-Identifies-Steps-Security-Leaders-Implement-Create
https://www.ciodive.com/news/why-devops-is-the-answer-to-reducing-security-flaws-and-risk/525149/
https://securityboulevard.com/2018/06/gartner-security-risk-management-summit-2018-trip-report/
