(转载:www.idcew.com) 最近,我们有机会(一个非常有趣的机会),参观了一些信息安全和网络安全大会。在这些大会期间,我们被相对“新”的发展淹没,如下一代、物联网(物联网)、物联网DDoS、安全情报平台等。这些术语被“炒作”的事实本身并不是问题,但我们确实开始怀疑,安全世界是否以错误的方式看待事情,从而错过了需要解决的需求。
在这篇文章中,我们将提出一种看待网络安全的新方法,这种方法不再将网络安全视为一个目标,而是直接与商业需求相关。就目前的情况来看,似乎有太多的安全组织没有抓住要点。
安全性可能非常复杂,但其本质非常简单。安全无非是减少或消除风险,并使它们可见,以便业务能够接受它们并继续其工作——不多也不少。为了尽可能有效地做到这一点,作为安全人员的我们必须理解业务,而不是仅仅从it的角度来看待它,而是从业务本身的更广泛的角度来看待它。
从业务开始时,我们首先必须识别、映射和分类特定业务的风险。其次,我们必须与业务本身一起确定,哪些风险需要以何种顺序处理。完成后,公司内负责安全的人员必须建立一个描述如何执行这些更改的安全计划。这样做的时候,应该有明确的目标和最后期限。理想情况下,这应该以一种“聪明”的方式来完成,一步一步来,这样就不会同时参与太多的项目。
第一课:从业务(及其风险)开始
定义您的安全方法(或安全路线图)是至关重要的,应该与您的业务部门进行持续的讨论,以便在必要时进行调整。在路线图的创建和执行过程中,所定义的项目都将有助于减少风险和实现最终目标。重要的是不要忽略业务目标,因为负责安全的人员不应该使用安全措施“限制或阻碍”业务。它不是火箭科学,也不应该被当作火箭科学来对待。制定计划应该是每个人都能理解的事情,即使没有IT技能。当然,它扮演了一个角色,但只是在执行安全项目需要IT解决方案的最后时刻。
教训2:一步一步地确定有明确目标的安全路线图
回顾我们参加的大会,我们注意到大多数组织甚至没有基本的安全措施,更不用说下一代或物联网安全解决方案。安全公司关于下一代解决方案和物联网发展的演示通常看起来令人震惊,并提供有趣的内容,但对大多数公司来说,它们实在是太超前了。此外,经验表明,大多数黑客(约90%)仍然使用最简单的方法和弱点:钓鱼邮件、恶意附件和社会工程。当然,还有最薄弱的一环:人。
企业需要首先为这些简单的风险创建基本的安全解决方案,然后再将注意力转向下一代和物联网安全解决方案。当然,这些也很重要,应该在将来加以实施,但必须在基本内容涵盖之后。通常在安全会议期间,人们会关注复杂的威胁和APT (advance的持续威胁),但TalkTalk和Ashely Madison等公司可能已经受到保护,不受攻击,即使基本的安全措施已经到位。
教训3:在实施新一代解决方案之前,要掌握基础知识
新的发展迅速和恶意集团和个人正在使用更多样化和先进的攻击和战术。最终,下一代和物联网安全解决方案将与我们组织更广泛的安全路线图密不可分。然而,在建造“房子”之前,地基必须到位。建造这所房子,需要建筑师、房地产经纪人、泥瓦匠、抹灰工,当然还有房主之间的合作。在安全世界里,正是需要一步一步地建立起某种共同的感觉。我们必须加强合作,因为就像建房子一样,没有一个业主或建筑师在砌筑、绘画或建筑方面也是最好的。没有一家安全公司能够针对每种安全风险提供最佳解决方案,因此必须协同工作。那些会对公司造成伤害的人已经在这么做了,所以是时候让安全专家也这么做了。我们需要从所有者(业务)和基础(路线图)开始,然后与正确的承包商(安全供应商)建立关系。只有这样,才能建造一个坚固、可靠、安全的房子。
第四课:建立正确的伙伴关系;IT安全专业人员之间的合作是必不可少的
简而言之,要在安全性方面取得进展,必须得到业务部门的理解和支持,反之亦然。负责安全的人必须能够提供简短而清晰的解释,以便让公司中所有不同的利益相关者都参与进来。如果他或她不能,那么企业(和董事会)将永远不会理解,也不会有必要的买进和支持来执行你的计划(不管它们有多好)。正如爱因斯坦曾经说过的,“如果你不能简单地解释它,你就不能很好地理解它!” (转载:www.idcew.com) |