虽然是供应商写的,这篇文章并不提倡一个立场,这是特别的作者的雇主,并已编辑和批准的网络世界编辑。有个足球雷竞技app
这是老生常谈了,但“变化是唯一不变的”。每个公司都会定期回顾并修改他们用于开展业务的应用程序、流程和解决方案。在不断变化、日益危险的网络安全领域,这种合理化最为重要。
公司通常在积累了多年的工具组合(例如渗透测试器、web应用程序和代码扫描器)或通过合并、收购或改变业务策略后开始安全合理化过程。
如果您的组织通常购买了每种工具,那么该实践是发现冗余的好方法。对于那些推迟了重大采购的人来说,合理化过程将突出差距,或在关注过少而可能存在漏洞的地方。简而言之,最佳的合理化项目通过将IT无缝地集成到业务流程中,增强了新的以客户为中心的交付服务的方式——即使需求呈指数级增长。
以下是实现安全合理化的关键步骤:
定义你的目标,然后向后追溯。安全合理化的第一步是确定你的目标——你整体网络安全态势的理想最终状态。为了支撑业务,应该将同样的目标定义概念应用到整体弹性计划中。虽然这个目标可能略有不同,但一个可靠的安全合理化练习应该能够使您回答以下问题:我们有多安全?
通过起草一个授权推动项目的章程来获得跨部门的支持是有意义的。应该确定项目的范围、分配资源和预算,并且应该设置治理系统来维护控制。了解整个企业的安全程度和单个系统的安全程度同样重要——一直到源代码级别(比如GITHUB存储库),如果你有内部开发的话。
承认你的缺点。承担安全合理化任务的公司通常分为四类:要么投资过多,要么投资不足,不知道自己安全能力的程度,或者面临要求他们展示能力的新法规。
一旦你签署了你的任务,你应该清点你现有的投资组合。这不仅仅是简单地查看工具集。它应该考虑到人和他们的技能,过程和系统。例如,您将能够确定您的公司是否有漏洞扫描器、防火墙、受保护的应用程序或不受保护的应用程序系统。
接下来,根据需要将所有东西编码成多层。您的第1层可能需要一个第2层不需要的工具系统。可能还有一个不属于任何类别的附加层,它需要自己的工具或保护子集。
最后,运行差距分析并将基础设施的系统分层,从最关键的开始。
*映射到你期望的业务结果。一旦确定了安全保护中的漏洞,就可以将其与最初的目标进行比较。可能有一个关键任务处理系统在当前的系统中没有得到足够的重视,因此您无法在提交补丁时对其进行扫描认证。
接下来你需要问的问题是:
”根据当前的工具集,我们可以将什么应用到该环境中,以及我们还需要购买什么?”
”我们有哪些内部系统,比如ITIL、Slack、GITHUB,需要与整个流程绑定在一起?”
做对了。很有可能你会发现有些地方不太好,缺乏或坏掉了。接下来的选择包括在内部解决问题,雇佣专业服务机构为你外包问题,或者投资新兴技术,比如安全虚拟化来填补服务的漏洞。
如果您发现自己没有工具,或者工具太多,或者知道的不够多,那么您可能需要一个解决方案来帮助您自动化或集成所有工具。特别是当您没有时间、金钱或人员在您的环境中快速查找和修复漏洞时。清理工作包括替换、退役、更新或合并应用程序。
随着网络安全担忧超过其他商业担忧,并成为董事会讨论的主题,我们作为一家公司,安全程度的问题不再是一个“如果”问题,而是一个“何时”问题。提前回答这些问题可能对你的公司、你的团队甚至你自己的工作都有好处。