安全和風(fēng)險(xiǎn)管理專家經(jīng)常會(huì)提出這些問題,但真正的問題應(yīng)該是在不斷變化的安全形勢(shì)下,哪些項(xiàng)目將帶動(dòng)最大業(yè)務(wù)價(jià)值并降低企業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)。
Gartner高級(jí)研究總監(jiān)Brian Reed在2020年Gartner安全和風(fēng)險(xiǎn)管理峰會(huì)線上會(huì)議中提到:“我們可能把太多時(shí)間用在了過度分析我們所作的安全選擇上,拼命去實(shí)現(xiàn)根本不存在的完美防護(hù)。我們不能把目光局限于基本的保護(hù)決策上,必須通過創(chuàng)新的檢測(cè)和應(yīng)對(duì)方式以及最終從安全事件中恢復(fù)來提高企業(yè)機(jī)構(gòu)的韌性。”
其關(guān)鍵在于確定業(yè)務(wù)支持的優(yōu)先級(jí)別并降低風(fēng)險(xiǎn),同時(shí)將這些優(yōu)先級(jí)別有效地傳達(dá)到業(yè)務(wù)。
基于Gartner的預(yù)測(cè)及根據(jù)新冠疫情的影響所作出的調(diào)整,今年的十大安全項(xiàng)目中有八個(gè)是重點(diǎn)關(guān)注風(fēng)險(xiǎn)管理和理解流程細(xì)分的新項(xiàng)目。這些項(xiàng)目(未按重要性順序排列)均可單獨(dú)執(zhí)行。
一、保護(hù)您的遠(yuǎn)程工作隊(duì)伍
關(guān)注業(yè)務(wù)需求并了解用戶和團(tuán)隊(duì)如何訪問數(shù)據(jù)和應(yīng)用。自遠(yuǎn)程工作需求開始出現(xiàn)以來已經(jīng)過去了幾個(gè)月,現(xiàn)在應(yīng)該通過需求評(píng)估和變更回顧來確定訪問級(jí)別是否合適以及是否有安全措施阻礙工作。
二、基于風(fēng)險(xiǎn)的漏洞管理
不要再想方設(shè)法地到處打補(bǔ)丁了。專注于會(huì)被真正利用的漏洞。不要只想著對(duì)威脅進(jìn)行大量評(píng)估,應(yīng)運(yùn)用威脅情報(bào)、攻擊者活動(dòng)和內(nèi)部資產(chǎn)關(guān)鍵程度來更好地了解企業(yè)機(jī)構(gòu)所面臨的真正風(fēng)險(xiǎn)。
三、擴(kuò)展檢測(cè)和響應(yīng)(XDR)
XDR是一個(gè)統(tǒng)一安全和事件響應(yīng)平臺(tái),它可以采集并關(guān)聯(lián)來自多個(gè)專用組件的數(shù)據(jù)。它在部署時(shí)便已完成平臺(tái)層面的集成,而不是在之后添加,因此可以將多個(gè)安全產(chǎn)品整合為一個(gè)產(chǎn)品,從而幫助優(yōu)化整體安全效果。企業(yè)機(jī)構(gòu)應(yīng)考慮使用這項(xiàng)技術(shù)來簡(jiǎn)化和提煉安全措施。
四、云安全態(tài)勢(shì)管理
企業(yè)機(jī)構(gòu)需要保證跨IaaS和PaaS的通用控制并支持自動(dòng)化評(píng)估和補(bǔ)救。云應(yīng)用具有高度的動(dòng)態(tài)性并且需要實(shí)現(xiàn)自動(dòng)化的DevSecOps級(jí)安全。如果無法保證跨所有云安全方法的策略統(tǒng)一性,那么就很難保障公有云的安全。
五、簡(jiǎn)化云訪問控制
云訪問控制通常通過CASB實(shí)現(xiàn)。它們通過一個(gè)具有策略執(zhí)行和主動(dòng)攔截功能的內(nèi)網(wǎng)代理提供實(shí)時(shí)執(zhí)行能力。CASB還帶來了靈活性,比如從監(jiān)控模式入手,更好地確保流量的保真度并了解安全訪問。
六、DMARC
企業(yè)機(jī)構(gòu)將電子郵件作為唯一的驗(yàn)證來源,而用戶很難確定從假帳戶發(fā)出的真實(shí)消息;谟虻南⒄J(rèn)證、報(bào)告和一致性(DMARC)是一項(xiàng)電子郵件身份驗(yàn)證策略。DMARC不是一套完整的電子郵件安全解決方案,而是整體安全策略的一部分。但它可以針對(duì)發(fā)件人的域增加一個(gè)信任和驗(yàn)證層。DMARC有助于防止網(wǎng)域變?cè),但無法解決所有電子郵件安全問題。
七、無密碼身份驗(yàn)證
員工可能會(huì)草率地將個(gè)人電子郵箱的密碼用作工作計(jì)算機(jī)的密碼,而這可能會(huì)引起嚴(yán)重的安全問題。無密碼身份驗(yàn)證有多種不同的有效驗(yàn)證方式,能提供更好的安全解決方案。您應(yīng)該將目標(biāo)定為增加信任度和改善用戶體驗(yàn)。
八、數(shù)據(jù)分類和保護(hù)
每個(gè)數(shù)據(jù)都是不同的。通用型安全策略所創(chuàng)建的安全區(qū)域范圍過大,而其他安全策略則過小,會(huì)增加企業(yè)機(jī)構(gòu)的風(fēng)險(xiǎn)。在開始使用安全技術(shù)之前,應(yīng)先從策略和定義開始,確保流程的正確。
九、工作隊(duì)伍能力評(píng)估
在合適的崗位安排具有合適技能的合適人員。將艱深的技術(shù)類技能與領(lǐng)導(dǎo)才能這樣的軟實(shí)力相結(jié)合至關(guān)重要,同時(shí)也充滿挑戰(zhàn)。您不可能找到完美的人選,但您可以為每個(gè)項(xiàng)目確定五到六項(xiàng)必備能力。您可以通過多種方式評(píng)估能力,包括網(wǎng)絡(luò)靶場(chǎng)和網(wǎng)絡(luò)模擬以及軟技能評(píng)估。
十、安全風(fēng)險(xiǎn)評(píng)估的自動(dòng)化
這種方法可以幫助安全團(tuán)隊(duì)了解與安全運(yùn)營(yíng)、新項(xiàng)目或項(xiàng)目級(jí)風(fēng)險(xiǎn)相關(guān)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估往往不是被完全跳過,就是在執(zhí)行時(shí)受到限制。此類評(píng)估將限制自動(dòng)化所帶來的風(fēng)險(xiǎn)并顯示存在風(fēng)險(xiǎn)缺口的位置。
Gartner全新中文官網(wǎng)上線!
www.gartner.com/cn
即刻訪問新網(wǎng)站!
長(zhǎng)按識(shí)別二維碼
