2. 事事优先,等于无事优先
时间:2022-03-08 09:33:01 | 来源:行业动态
时间:2022-03-08 09:33:01 来源:行业动态
不断考量/重新考量组织中的安全空缺,特别是最近刚刚发现但还没解决的问题,这对于回归安全基础的整体举措具有重大意义。ELston提到,大家可以使用各类外部框架,包括NIST网络安全框架、OWASP Top 10等等。此外,MITRE ATTCK也是值得考量的因素,还有指向特定场景的监管规则(例如HIPAA与PCI)。
Elston建议:大家最好能从对全体资产的库存检查起步。我们无法测试或者保护自己压根不认识的东西所以这份清单将成为内部与外部漏洞评估、内部及外部渗透测试乃至其他主动安全策略的实施基础。
在这方面,个人和组织很容易在纷繁复杂的威胁情境下迷失方向。我们在企业中发现的风险与漏洞清单,特别是在深入研究过那些涵盖已知威胁与CVE的外部框架或其他资源时,往往让人感到隐患是无穷的、人力却是有限的。答案很简单把问题缩小到能够解决的规模。想要解决所有问题,那很可能什么都解决不了。面对逐年增加的潜在威胁,我们只能尽人事、并且想办法尽好人事。
Elston指出:大家最终可能会整理出一份对组织影响最大的风险清单,之后按重要性和业务影响对内容进行排序和优先级调整。我个人建议先关注清单中的前20%条目,其他的以后再说。
这种方法主要有两大优势。首先,既可以高效、又着眼于实效地关注高紧迫度风险。这样就能广泛听取安全意见,同时在组织中摸索出一套具体且可操作的方法。此外,这也是一条能够统筹各方协同努力的、易于管理的安全保护路径。
其次,这种方法也能产生切实有效的下游影响。因为在关注最严重漏洞的同时,我们也能从中找到可以在其他场景中复用的固定模式。
想要解决所有问题,那很可能什么都解决不了,特别是在面对潜在威胁逐年增加的情况下。
Elston认为:通常情况下,关注最关键的漏洞能够帮助我们理解自身环境、网络与人员的实际情况。在确定缺陷在哪里、如何进行纠正的过程中,我们将能够制定出一种适用于其他低优先级问题的原则性方法。
Elston还强调了为不同人员及团队建立内部渠道,借此就安全问题开展沟通和协作的重要意义。对于还不太熟悉DevSecOps方法的朋友来说,这也不失为一种理想的探索起点。
Elston指出:值得庆幸的是,通过负责任披露计划、众包信息源以及渗透测试,我们可以及早发现大部分漏洞并迅速加以修复。但要想达成这一目标,我们就必须在IT、基础设施、安全及开发团队之间建立起清晰而积极的沟通渠道。
在线咨询
