首席信息安全官們(CISOs)應(yīng)該將關(guān)注重點放在下述十大安全項目上,以降低風(fēng)險并大力推動公司業(yè)務(wù)發(fā)展。
如今,一些大型企業(yè)的首席信息安全官們可能已經(jīng)淹沒在自己的待辦事項列表之中,他們明知道自己不可能完成所有的事情,但還是在努力縮小無數(shù)潛在安全項目的范圍。對此,Gartner研究副總裁兼著名分析師Neil MacDonald,在美國馬里蘭州國家港口召開的“2018 Gartner 安全與風(fēng)險管理峰會”上表示,
企業(yè)首席信息安全官們,應(yīng)該專注于那些能夠最大限度降低風(fēng)險,且會對企業(yè)業(yè)務(wù)產(chǎn)生最大影響的安全項目上。
【Neil MacDonald在“2018 Gartner 安全與風(fēng)險管理峰會”上發(fā)表演講】
為了幫助首席信息安全官們理清重點,在2018年下半年更好地開展工作,MacDonald分享了Gartner為安全團隊遴選的十大新項目名單。MacDonald 解釋道,
這些都是具備真正的支持技術(shù)的單獨項目(project,為創(chuàng)造某一獨特產(chǎn)品、服務(wù)或者結(jié)果所做的一次性努力),而不是項目群(Program)。而且,對于大多數(shù)首席信息安全官來說,這些項目都是新鮮事物,企業(yè)采用率還不到50%。
2018 Top10安全項目
1.特權(quán)賬戶管理
該項目旨在更好地防御攻擊者訪問特權(quán)賬戶,并應(yīng)允許安全團隊對非常規(guī)訪問的行為進(jìn)行監(jiān)控。最低限度來說,首席信息安全官應(yīng)該為所有賬戶管理員制定強制性多因素身份驗證(MFA)。此外,Gartner還建議首席信息安全官應(yīng)該使用MFA進(jìn)行第三方訪問,如承包商。
小貼士:首先使用基于風(fēng)險的方法(高價值、高風(fēng)險)系統(tǒng);對非常規(guī)行為進(jìn)行監(jiān)視。
2.持續(xù)性適應(yīng)風(fēng)險與風(fēng)險信任評估(CARTA)支持的漏洞管理
受到Gartner的持續(xù)性適應(yīng)風(fēng)險與風(fēng)險信任評估(CARTA)方法的啟發(fā),該項目是解決漏洞管理問題的良好途徑,并且還具有顯著降低風(fēng)險的潛力。當(dāng)修補過程被破壞,以及IT運營無法解決大量的漏洞問題時,可以考慮使用該項目。您可能無法完全修補所有漏洞,但您至少可以通過優(yōu)先考慮風(fēng)險管理工作,來大幅降低風(fēng)險威脅。
小貼士:要求您的虛擬助手/虛擬機供應(yīng)商提供這一項目,并在您的分析中考慮風(fēng)險緩解控制措施,例如,建立防火墻等。
3.主動/積極反釣魚
該項目主要針對那些員工長期遭受網(wǎng)絡(luò)釣魚攻擊的組織。該項目要求采用一個“三管齊下”的策略:技術(shù)控制、終端用戶控制以及流程再設(shè)計。使用技術(shù)控制措施可以盡可能多地阻止網(wǎng)絡(luò)釣魚攻擊。但同時也讓用戶成為防御策略中的積極部分。
小貼士:注意那些行為無誤的個體。咨詢您的電子郵件安全供應(yīng)商是否可以開展該項目。如果不行,是什么原因造成的?
4.將應(yīng)用程序控制部署到服務(wù)器負(fù)載中
那些尋求服務(wù)器負(fù)載“默認(rèn)拒絕”或零信任狀態(tài)的組織,可以考慮此項目。該項目可以使用應(yīng)用程序控制措施來阻止大多數(shù)的惡意軟件,因為這些惡意軟件都未被列入白名單中。MacDonald表示,這是一個非常強大的安全項目,其已被證實能夠成功地防御“Spectre”(幽靈)和“Meltdown”(熔斷)漏洞。
小貼士:結(jié)合全面的內(nèi)存保護策略一起使用。對于物聯(lián)網(wǎng)(IoT)和不再享受供應(yīng)商服務(wù)支持的系統(tǒng)而言,這是一個很棒的項目。
5.微分段(Microsegmentation)和數(shù)據(jù)流可視化
該項目非常適用于那些具有扁平化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的企業(yè)——無論內(nèi)部/本地部署還是基礎(chǔ)設(shè)施即服務(wù)(IaaS)——因為,它們希望能夠查看和控制數(shù)據(jù)中心內(nèi)的流量。該項目的目標(biāo)是阻止數(shù)據(jù)中心攻擊的橫向傳播。MacDonald解釋稱,如果有惡意行為者侵入,該項目能夠阻止他們在網(wǎng)絡(luò)中肆意移動。
小貼士:將數(shù)據(jù)流量可視化作為微分段的起點,但切記,不要進(jìn)行過度細(xì)分。從關(guān)鍵的應(yīng)用程序開始,并要求供應(yīng)商支持本地分段。
6.檢測和響應(yīng)
該項目主要針對那些知道泄露是不可避免的,并且正在尋找端點、網(wǎng)絡(luò)或基于用戶的方法,從而來實現(xiàn)高級威脅檢測、調(diào)查和響應(yīng)能力的企業(yè)。主要有以下三種變量可供選擇:
· 終端防護平臺(EPP)+增強數(shù)據(jù)傳輸速率(enhanced data rate,簡稱EDR);
· 個體用戶與實體行為分析(UEBA);
· 欺詐;
對于那些正在尋找深入的方法,來加強其威脅檢測機制和高保真事件的企業(yè)而言,后者是一個規(guī)模較小但理想的新興市場。
小貼士:迫使終端防護平臺(EPP)供應(yīng)商提供增強數(shù)據(jù)傳輸速率(EDR),安全信息與事件管理(SIEM)供應(yīng)商提供個體用戶與實體行為分析(UEBA)能力。需要制定豐富的目標(biāo)欺騙內(nèi)容。考慮直接從供應(yīng)商處獲取存儲數(shù)據(jù)寄存器(MDR)“快捷(lite)”服務(wù)。
7.云安全態(tài)勢管理(CSPM)
該項目主要針對那些考慮對其基礎(chǔ)設(shè)施即服務(wù)(IaaS)或平臺即服務(wù)(PaaS)云安全態(tài)勢進(jìn)行全面、自動化評估,以確定過度風(fēng)險(excessive risk)領(lǐng)域的組織。組織可以從很多供應(yīng)商(包括云訪問安全代理商CASB)中進(jìn)行選擇。
小貼士:如果您擁有的是單一的基礎(chǔ)設(shè)施即服務(wù)(IaaS),請首先考慮亞馬遜和微軟。將此作為對云安全態(tài)勢管理提供商的一項要求。
8.自動化安全掃描
該項目主要針對那些希望將安全控制措施集成到DevOps模式工作流中的組織。從進(jìn)行開源軟件組合分析開始,將測試集成為DevSecOps工作流(包括容器在內(nèi))中的無縫部分。
小貼士:不要讓開發(fā)人員切換工具。要求全應(yīng)用程序接口(API)支持自動化。
9.云訪問安全代理商(CASB)
該項目主要針對那些擁有移動勞動力,且尋找對多企業(yè)、基于云的服務(wù)進(jìn)行可視化以及基于策略的管理控制點的組織。
小貼士:利用數(shù)據(jù)發(fā)現(xiàn)證明該項目的合理性。將敏感數(shù)據(jù)發(fā)現(xiàn)與監(jiān)控作為2018年與2019年的一個關(guān)鍵使用案例。
10.軟件定義邊界(SDP)
該項目主要針對那些希望通過限制數(shù)字系統(tǒng)和信息曝光度,僅在外部合作伙伴、遠(yuǎn)程工作人員和承包商之間實現(xiàn)數(shù)字與信息可見,來最大限度減少攻擊面的組織。
| 
