然而,即使現(xiàn)在網(wǎng)絡威脅來勢洶涌,但是網(wǎng)絡安全防御仍然不夠。通常而言,當最佳安全實踐有可能干擾業(yè)務效率或整體生產(chǎn)力時,業(yè)務優(yōu)先級往往是高于安全優(yōu)先級的。對于許多CSO和CISO來說,資金不足是另一個值得普遍關(guān)注的問題,董事會根本沒有準備好,沒有為他們提供真正需要的預算和資源,來確保他們的業(yè)務安全。
企業(yè)需要有長遠考慮
在短期內(nèi),減少安全資金以促進業(yè)務的其他領(lǐng)域發(fā)展似乎是個好主意,但這是一個很大的風險,一旦高管人員也受到攻擊,后果更加不堪設想。例如,盡管在年度預算周期內(nèi),額外撥出50萬英鎊作為新的安全資源投入似乎并不可行,但與數(shù)據(jù)泄露后面臨的數(shù)百萬英鎊的罰款、法律費用和緩解費用相比,這顯得相形見絀。
英國航空公司(BritishAirways)在其網(wǎng)站上稱遭到“復雜的惡意犯罪襲擊”之后,就被信息專員辦公室(ICO)罰款1.83億英鎊,因為在此期間,約有50萬名客戶的詳細信息泄露。
這樣的例子強調(diào)了通過實施網(wǎng)絡安全實踐來確保長期安全性和合規(guī)性的重要性,這些實踐首先能做的就是防止此類數(shù)據(jù)泄露。另一種更為主動的方法就是將網(wǎng)絡安全實踐整合到更廣泛的業(yè)務策略中去,這可以大大減少數(shù)據(jù)丟失,并使安全團隊能夠更迅速、更準確地應對任何真實存在的威脅。
隨著越來越多的組織依靠軟件應用程序來發(fā)展業(yè)務,所以保護這些應用程序變得十分必要。因此,采用一種系統(tǒng)的、基于風險的方法在軟件開發(fā)生命周期(SDLC)的早期評估和解決網(wǎng)絡安全漏洞,而不是出現(xiàn)漏洞后才這樣做。
業(yè)務和安全目標必須保持一致
安全方法與整個組織的方法結(jié)合才是最有效的。但是很多時候,一旦將安全性納入SDLC會對開發(fā)時間或者發(fā)布窗口有不利影響時,便會被重新考慮。
當補救漏洞所需的時間威脅到重要應用程序的發(fā)布時,安全團隊就會承受壓力。如果不能通過令人信服的業(yè)務案例來推遲發(fā)布,并解決安全問題,那么風聲將不脛而走。
風險在有效安全決策中的作用
在上述情況下,安全團隊需要能夠迅速讓高層決策者認識到所涉及的風險以及無法修復漏洞的潛在后果。這既需要對應用程序的預期業(yè)務目標有扎實的理解,又需要有以決策者能夠理解的方式來構(gòu)成論點的能力,而不是給他們一堆的安全術(shù)語。最好的方法之一是基于風險的方法,該方法有兩個主要階段。
第一階段包括全面評估當前正在開發(fā)的所有Web應用程序,并建立嚴格的監(jiān)視流程以快速識別漏洞。在此階段進行徹底檢查至關(guān)重要,因為如果只是遺漏了一個應用程序,或者一個系統(tǒng)沒有安全保護,那么它將為網(wǎng)絡罪犯創(chuàng)造一個新的潛在風險。
完成第一階段后,便可以開始第二階段,將業(yè)務影響納入戰(zhàn)略規(guī)劃過程。通過正確定義特定漏洞可能造成的潛在損失,并幫助高級管理人員以通俗易懂的方式理解這些損失。不僅可以幫助滿足對有效安全性的需求,還可以根據(jù)整個組織的風險級別對活動進行更精細的調(diào)整。
采用基于SaaS的方法進行應用程序掃描
在整個SDLC中采用基于SaaS的方法進行應用程序掃描,安全團隊可以持續(xù)評估生產(chǎn)過程中的風險,而不僅僅是幾個關(guān)鍵點。因此,當與業(yè)務活動優(yōu)先級合理結(jié)合時,可以評估更為準確的風險狀況,公司各層級也可以接受。
關(guān)于有效的安全性,對于安全團隊來說,讓整個組織企業(yè)理解是很重要的。采用基于風險的方法可以做到這一點,通常將復雜的漏洞和分析轉(zhuǎn)換成對所有人,特別是對高級管理人員有意義的術(shù)語,有助于他們理解。然后進行適當?shù)挠懻摚扇『侠淼摹⒄_的決策,從而使整個公司受益,并使公司免受眾多網(wǎng)絡威脅的侵害。
