要了解网络安全最佳实践,请查看金融行业
最初发表于 《亚洲监管》。
随着网络攻击的增加 “影响着各个垂直领域的各类组织”,代价高昂、令人尴尬和影响利润的数据泄露的威胁是真实存在的。问题不是变小,而是像肿瘤一样生长。
我经常被要求举例说明哪些组织正在解决这个问题,以特别的技巧和精湛技巧探索网络安全和 AppSec 最佳实践的 “狂野西部”。我发现自己比其他答案更频繁地回到一个答案:金融业比大多数人做得更好。
监管:金融行业网络安全领导地位的驱动因素
金融部门在AppSec领域表现如此出色的原因之一是,他们(至少部分地)是由全球、地区和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 “灾难性” 影响的担忧所驱动的。
BCBS(巴塞尔银行监管委员会)发布了一份 报告 12月,该报告详细介绍了在多个司法管辖区观察到的银行、监管和监管网络弹性做法的范围。其主要发现之一是网络安全技能短缺挑战,只有极少数司法管辖区通过实施特定的网络认证努力应对这一因素。
报告称:“一些司法管辖区制定了针对IT人员的职责和信息安全职能的特定标准,特别关注网络安全人员的培训和能力。”但是,大多数司法管辖区正处于实施监管措施的 “初期阶段”,以监控银行的网络劳动力技能和资源。
在大多数情况下,监管计划要求受监管实体管理风险,但很少有成功缓解这种风险的明确途径。他们没有设定具体要求(甚至基准)来解决网络安全工作人员的技能和资源问题。大多数监管机构通过现场检查来评估机构的网络安全员工,在现场检查中,自我评估问卷是常见的做法,培训流程也受到特别审查,但只有少数司法管辖区的法规专门针对IT人员的角色和责任。简而言之,误差幅度很大,对正确培训和随后的技能评估的重视程度相当小。
在日本和韩国,公共当局已经制定了适当的网络安全劳动力管理指导方针。但是,在大多数其他司法管辖区,网络劳动力管理的监管要求仅限于监管预期,监管人员通常不对受监管组织的网络安全技能和员工培训进行评估。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然 “合规” 和 “认证” 之类的词汇往往会让那些负责开发出色软件功能(使用这些功能,安全性通常被视为他人的问题,即安全团队)的普通富有创造力、能解决问题的开发人员不寒而栗,但许多受监管实体持有的大量敏感数据实在太有价值了,不能留给那些技能是 “假设” 而不是经过适当验证的人手中。
幸运的是,许多银行和金融机构意识到了这一点,但不一定依赖明显的监管途径。这些法规无疑概述了最终结果预期(即安全软件),但他们已经确定,要实现这一目标,就需要通过培训开发人员、培养他们与现有AppSec专业人员的关系以及建立培育责任和所有权的积极安全文化来规避网络安全技能的短缺。
为什么金融业有网络安全 “X因子”?
银行业的公司有几个要素在起作用, 金融服务 以及保险业,它们共同构成了其在网络安全领域的领导地位的支柱。
当然,作为世界财务(更不用说数百万条高度敏感的数据记录)的看门人,它们通常是非常注重合规和监管的组织。” 最新的指导方针、法规和要求是以有意义的方式进行的。因此,他们以一些最严格的网络安全最佳实践政策以及减少潜在攻击风险风险风险风险风险的端到端流程为己任,以应对不断变化的网络风险需求。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们已经为提高比其他人更高的安全意识奠定了基础,他们确定了对整体培训计划的需求并投入了资源,这些计划不仅适用于AppSec专业人员和渗透测试人员,还包括他们(通常非常庞大且分散在全球各地的)开发团队。
随着大多数组织的网络安全相对较新,令人耳目一新的是,金融机构在寻求提供安全可靠的软件时真正持开放态度和创新精神。许多人已经看到了通过以下方式提高开发团队技能的好处 参与式训练 这使他们走出课堂,进入亲身实践的相关学习体验,这不仅可以帮助他们解决问题,还可以总体上了解安全编码的重要性。
毕竟,安全编码是开发人员与AppSec团队之间建立稳健的功能关系以及在业务内部维持强大的安全文化的关键要素。推动安全计划成功的另一个关键因素是确保关键利益相关者参与进来并从中受益,即使他们本身不是安全专业人员。
金融机构倾向于与执行管理层进行良好的沟通,确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;它们必须与所使用的技术一样迅速地发展,并适应可变的风险。
现在可能要花费时间和金钱,但是由于在提交的代码中修复漏洞的成本要高出三十倍,因此 “包括从头开始培训” 的全面安全计划可以节省长期资金:如果安全问题由具有安全意识的开发人员编写,则要便宜得多。
安全标准已开始与日益增长的风险保持同步
金融行业网络合规的重要驱动力来自 PCI 安全标准委员会,它仍然致力于帮助金融组织实施可行的安全政策并维护所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
但是,必须说,我们的许多金融行业客户实际上甚至超过了当前的PCI安全标准委员会指导方针。尽管这些指南建议对开发人员进行培训(如前面在其他监管信息示例中提到的那样),但它们并未指定要达到的特定类型或特定的基准来表明培训是有效的。
SQL 注入和跨站脚本 (XSS) 等许多漏洞已经存在了很长时间 二十年 (并且在2019年仍在造成问题),很明显,并非所有培训都是平等或有效的。通过采用动手实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,漏洞如果被利用,可能会造成严重破坏。
一个很好的例子是美国银行机构Capital One如何利用游戏化培训技巧作为其创新的科技学院和认证体系的一部分。根据他们的网络安全与云计算教育总监罗素·沃尔夫最近的一份报告 网络研讨会,自愿培训计划和编程比赛很快获得了关注,同行对获得认证和协助他人提高技能的需求和内在动机也前所未有。
监管机构可以做些什么来确保网络安全工作人员接受充分培训?
世界各地的监管机构只要概述负责保护我们数据的人必须遵守的公认的培训方法和标准,就可以真正地 “做得更好”,他们现有的网络监管政策和指导方针即可。目前,大多数监管政策中似乎普遍提到了培训要求,但几乎没有后续措施可以确保接受任何规定培训的人员吸收真正帮助对抗网络威胁所需的内容和技术。
MAS(新加坡金融管理局)最近采取的举措是将采用安全意识培训计划和安全软件开发最佳实践纳入 最新迭代 但是,其《技术风险指南》令人鼓舞。该指导方针生效后,他们将要求金融机构确保其软件开发人员接受培训,以便在开发软件时应用安全编码、源代码审查和AppSec测试标准,这将大大有助于最大限度地减少错误和漏洞。
对我来说,用实际操作技巧培训开发团队是迄今为止最具吸引力且与他们的工作相关的方法,同时为每个组织在为时已晚之前必须创造的强大安全文化奠定基础。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
最初发表于 《亚洲监管》。
随着网络攻击的增加 “影响着各个垂直领域的各类组织”,代价高昂、令人尴尬和影响利润的数据泄露的威胁是真实存在的。问题不是变小,而是像肿瘤一样生长。
我经常被要求举例说明哪些组织正在解决这个问题,以特别的技巧和精湛技巧探索网络安全和 AppSec 最佳实践的 “狂野西部”。我发现自己比其他答案更频繁地回到一个答案:金融业比大多数人做得更好。
监管:金融行业网络安全领导地位的驱动因素
金融部门在AppSec领域表现如此出色的原因之一是,他们(至少部分地)是由全球、地区和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 “灾难性” 影响的担忧所驱动的。
BCBS(巴塞尔银行监管委员会)发布了一份 报告 12月,该报告详细介绍了在多个司法管辖区观察到的银行、监管和监管网络弹性做法的范围。其主要发现之一是网络安全技能短缺挑战,只有极少数司法管辖区通过实施特定的网络认证努力应对这一因素。
报告称:“一些司法管辖区制定了针对IT人员的职责和信息安全职能的特定标准,特别关注网络安全人员的培训和能力。”但是,大多数司法管辖区正处于实施监管措施的 “初期阶段”,以监控银行的网络劳动力技能和资源。
在大多数情况下,监管计划要求受监管实体管理风险,但很少有成功缓解这种风险的明确途径。他们没有设定具体要求(甚至基准)来解决网络安全工作人员的技能和资源问题。大多数监管机构通过现场检查来评估机构的网络安全员工,在现场检查中,自我评估问卷是常见的做法,培训流程也受到特别审查,但只有少数司法管辖区的法规专门针对IT人员的角色和责任。简而言之,误差幅度很大,对正确培训和随后的技能评估的重视程度相当小。
在日本和韩国,公共当局已经制定了适当的网络安全劳动力管理指导方针。但是,在大多数其他司法管辖区,网络劳动力管理的监管要求仅限于监管预期,监管人员通常不对受监管组织的网络安全技能和员工培训进行评估。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然 “合规” 和 “认证” 之类的词汇往往会让那些负责开发出色软件功能(使用这些功能,安全性通常被视为他人的问题,即安全团队)的普通富有创造力、能解决问题的开发人员不寒而栗,但许多受监管实体持有的大量敏感数据实在太有价值了,不能留给那些技能是 “假设” 而不是经过适当验证的人手中。
幸运的是,许多银行和金融机构意识到了这一点,但不一定依赖明显的监管途径。这些法规无疑概述了最终结果预期(即安全软件),但他们已经确定,要实现这一目标,就需要通过培训开发人员、培养他们与现有AppSec专业人员的关系以及建立培育责任和所有权的积极安全文化来规避网络安全技能的短缺。
为什么金融业有网络安全 “X因子”?
银行业的公司有几个要素在起作用, 金融服务 以及保险业,它们共同构成了其在网络安全领域的领导地位的支柱。
当然,作为世界财务(更不用说数百万条高度敏感的数据记录)的看门人,它们通常是非常注重合规和监管的组织。” 最新的指导方针、法规和要求是以有意义的方式进行的。因此,他们以一些最严格的网络安全最佳实践政策以及减少潜在攻击风险风险风险风险风险的端到端流程为己任,以应对不断变化的网络风险需求。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们已经为提高比其他人更高的安全意识奠定了基础,他们确定了对整体培训计划的需求并投入了资源,这些计划不仅适用于AppSec专业人员和渗透测试人员,还包括他们(通常非常庞大且分散在全球各地的)开发团队。
随着大多数组织的网络安全相对较新,令人耳目一新的是,金融机构在寻求提供安全可靠的软件时真正持开放态度和创新精神。许多人已经看到了通过以下方式提高开发团队技能的好处 参与式训练 这使他们走出课堂,进入亲身实践的相关学习体验,这不仅可以帮助他们解决问题,还可以总体上了解安全编码的重要性。
毕竟,安全编码是开发人员与AppSec团队之间建立稳健的功能关系以及在业务内部维持强大的安全文化的关键要素。推动安全计划成功的另一个关键因素是确保关键利益相关者参与进来并从中受益,即使他们本身不是安全专业人员。
金融机构倾向于与执行管理层进行良好的沟通,确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;它们必须与所使用的技术一样迅速地发展,并适应可变的风险。
现在可能要花费时间和金钱,但是由于在提交的代码中修复漏洞的成本要高出三十倍,因此 “包括从头开始培训” 的全面安全计划可以节省长期资金:如果安全问题由具有安全意识的开发人员编写,则要便宜得多。
安全标准已开始与日益增长的风险保持同步
金融行业网络合规的重要驱动力来自 PCI 安全标准委员会,它仍然致力于帮助金融组织实施可行的安全政策并维护所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
但是,必须说,我们的许多金融行业客户实际上甚至超过了当前的PCI安全标准委员会指导方针。尽管这些指南建议对开发人员进行培训(如前面在其他监管信息示例中提到的那样),但它们并未指定要达到的特定类型或特定的基准来表明培训是有效的。
SQL 注入和跨站脚本 (XSS) 等许多漏洞已经存在了很长时间 二十年 (并且在2019年仍在造成问题),很明显,并非所有培训都是平等或有效的。通过采用动手实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,漏洞如果被利用,可能会造成严重破坏。
一个很好的例子是美国银行机构Capital One如何利用游戏化培训技巧作为其创新的科技学院和认证体系的一部分。根据他们的网络安全与云计算教育总监罗素·沃尔夫最近的一份报告 网络研讨会,自愿培训计划和编程比赛很快获得了关注,同行对获得认证和协助他人提高技能的需求和内在动机也前所未有。
监管机构可以做些什么来确保网络安全工作人员接受充分培训?
世界各地的监管机构只要概述负责保护我们数据的人必须遵守的公认的培训方法和标准,就可以真正地 “做得更好”,他们现有的网络监管政策和指导方针即可。目前,大多数监管政策中似乎普遍提到了培训要求,但几乎没有后续措施可以确保接受任何规定培训的人员吸收真正帮助对抗网络威胁所需的内容和技术。
MAS(新加坡金融管理局)最近采取的举措是将采用安全意识培训计划和安全软件开发最佳实践纳入 最新迭代 但是,其《技术风险指南》令人鼓舞。该指导方针生效后,他们将要求金融机构确保其软件开发人员接受培训,以便在开发软件时应用安全编码、源代码审查和AppSec测试标准,这将大大有助于最大限度地减少错误和漏洞。
对我来说,用实际操作技巧培训开发团队是迄今为止最具吸引力且与他们的工作相关的方法,同时为每个组织在为时已晚之前必须创造的强大安全文化奠定基础。
最初发表于 《亚洲监管》。
随着网络攻击的增加 “影响着各个垂直领域的各类组织”,代价高昂、令人尴尬和影响利润的数据泄露的威胁是真实存在的。问题不是变小,而是像肿瘤一样生长。
我经常被要求举例说明哪些组织正在解决这个问题,以特别的技巧和精湛技巧探索网络安全和 AppSec 最佳实践的 “狂野西部”。我发现自己比其他答案更频繁地回到一个答案:金融业比大多数人做得更好。
监管:金融行业网络安全领导地位的驱动因素
金融部门在AppSec领域表现如此出色的原因之一是,他们(至少部分地)是由全球、地区和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 “灾难性” 影响的担忧所驱动的。
BCBS(巴塞尔银行监管委员会)发布了一份 报告 12月,该报告详细介绍了在多个司法管辖区观察到的银行、监管和监管网络弹性做法的范围。其主要发现之一是网络安全技能短缺挑战,只有极少数司法管辖区通过实施特定的网络认证努力应对这一因素。
报告称:“一些司法管辖区制定了针对IT人员的职责和信息安全职能的特定标准,特别关注网络安全人员的培训和能力。”但是,大多数司法管辖区正处于实施监管措施的 “初期阶段”,以监控银行的网络劳动力技能和资源。
在大多数情况下,监管计划要求受监管实体管理风险,但很少有成功缓解这种风险的明确途径。他们没有设定具体要求(甚至基准)来解决网络安全工作人员的技能和资源问题。大多数监管机构通过现场检查来评估机构的网络安全员工,在现场检查中,自我评估问卷是常见的做法,培训流程也受到特别审查,但只有少数司法管辖区的法规专门针对IT人员的角色和责任。简而言之,误差幅度很大,对正确培训和随后的技能评估的重视程度相当小。
在日本和韩国,公共当局已经制定了适当的网络安全劳动力管理指导方针。但是,在大多数其他司法管辖区,网络劳动力管理的监管要求仅限于监管预期,监管人员通常不对受监管组织的网络安全技能和员工培训进行评估。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然 “合规” 和 “认证” 之类的词汇往往会让那些负责开发出色软件功能(使用这些功能,安全性通常被视为他人的问题,即安全团队)的普通富有创造力、能解决问题的开发人员不寒而栗,但许多受监管实体持有的大量敏感数据实在太有价值了,不能留给那些技能是 “假设” 而不是经过适当验证的人手中。
幸运的是,许多银行和金融机构意识到了这一点,但不一定依赖明显的监管途径。这些法规无疑概述了最终结果预期(即安全软件),但他们已经确定,要实现这一目标,就需要通过培训开发人员、培养他们与现有AppSec专业人员的关系以及建立培育责任和所有权的积极安全文化来规避网络安全技能的短缺。
为什么金融业有网络安全 “X因子”?
银行业的公司有几个要素在起作用, 金融服务 以及保险业,它们共同构成了其在网络安全领域的领导地位的支柱。
当然,作为世界财务(更不用说数百万条高度敏感的数据记录)的看门人,它们通常是非常注重合规和监管的组织。” 最新的指导方针、法规和要求是以有意义的方式进行的。因此,他们以一些最严格的网络安全最佳实践政策以及减少潜在攻击风险风险风险风险风险的端到端流程为己任,以应对不断变化的网络风险需求。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们已经为提高比其他人更高的安全意识奠定了基础,他们确定了对整体培训计划的需求并投入了资源,这些计划不仅适用于AppSec专业人员和渗透测试人员,还包括他们(通常非常庞大且分散在全球各地的)开发团队。
随着大多数组织的网络安全相对较新,令人耳目一新的是,金融机构在寻求提供安全可靠的软件时真正持开放态度和创新精神。许多人已经看到了通过以下方式提高开发团队技能的好处 参与式训练 这使他们走出课堂,进入亲身实践的相关学习体验,这不仅可以帮助他们解决问题,还可以总体上了解安全编码的重要性。
毕竟,安全编码是开发人员与AppSec团队之间建立稳健的功能关系以及在业务内部维持强大的安全文化的关键要素。推动安全计划成功的另一个关键因素是确保关键利益相关者参与进来并从中受益,即使他们本身不是安全专业人员。
金融机构倾向于与执行管理层进行良好的沟通,确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;它们必须与所使用的技术一样迅速地发展,并适应可变的风险。
现在可能要花费时间和金钱,但是由于在提交的代码中修复漏洞的成本要高出三十倍,因此 “包括从头开始培训” 的全面安全计划可以节省长期资金:如果安全问题由具有安全意识的开发人员编写,则要便宜得多。
安全标准已开始与日益增长的风险保持同步
金融行业网络合规的重要驱动力来自 PCI 安全标准委员会,它仍然致力于帮助金融组织实施可行的安全政策并维护所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
但是,必须说,我们的许多金融行业客户实际上甚至超过了当前的PCI安全标准委员会指导方针。尽管这些指南建议对开发人员进行培训(如前面在其他监管信息示例中提到的那样),但它们并未指定要达到的特定类型或特定的基准来表明培训是有效的。
SQL 注入和跨站脚本 (XSS) 等许多漏洞已经存在了很长时间 二十年 (并且在2019年仍在造成问题),很明显,并非所有培训都是平等或有效的。通过采用动手实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,漏洞如果被利用,可能会造成严重破坏。
一个很好的例子是美国银行机构Capital One如何利用游戏化培训技巧作为其创新的科技学院和认证体系的一部分。根据他们的网络安全与云计算教育总监罗素·沃尔夫最近的一份报告 网络研讨会,自愿培训计划和编程比赛很快获得了关注,同行对获得认证和协助他人提高技能的需求和内在动机也前所未有。
监管机构可以做些什么来确保网络安全工作人员接受充分培训?
世界各地的监管机构只要概述负责保护我们数据的人必须遵守的公认的培训方法和标准,就可以真正地 “做得更好”,他们现有的网络监管政策和指导方针即可。目前,大多数监管政策中似乎普遍提到了培训要求,但几乎没有后续措施可以确保接受任何规定培训的人员吸收真正帮助对抗网络威胁所需的内容和技术。
MAS(新加坡金融管理局)最近采取的举措是将采用安全意识培训计划和安全软件开发最佳实践纳入 最新迭代 但是,其《技术风险指南》令人鼓舞。该指导方针生效后,他们将要求金融机构确保其软件开发人员接受培训,以便在开发软件时应用安全编码、源代码审查和AppSec测试标准,这将大大有助于最大限度地减少错误和漏洞。
对我来说,用实际操作技巧培训开发团队是迄今为止最具吸引力且与他们的工作相关的方法,同时为每个组织在为时已晚之前必须创造的强大安全文化奠定基础。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
最初发表于 《亚洲监管》。
随着网络攻击的增加 “影响着各个垂直领域的各类组织”,代价高昂、令人尴尬和影响利润的数据泄露的威胁是真实存在的。问题不是变小,而是像肿瘤一样生长。
我经常被要求举例说明哪些组织正在解决这个问题,以特别的技巧和精湛技巧探索网络安全和 AppSec 最佳实践的 “狂野西部”。我发现自己比其他答案更频繁地回到一个答案:金融业比大多数人做得更好。
监管:金融行业网络安全领导地位的驱动因素
金融部门在AppSec领域表现如此出色的原因之一是,他们(至少部分地)是由全球、地区和国家监管机构对成功的网络安全攻击或数据盗窃可能造成的普遍 “灾难性” 影响的担忧所驱动的。
BCBS(巴塞尔银行监管委员会)发布了一份 报告 12月,该报告详细介绍了在多个司法管辖区观察到的银行、监管和监管网络弹性做法的范围。其主要发现之一是网络安全技能短缺挑战,只有极少数司法管辖区通过实施特定的网络认证努力应对这一因素。
报告称:“一些司法管辖区制定了针对IT人员的职责和信息安全职能的特定标准,特别关注网络安全人员的培训和能力。”但是,大多数司法管辖区正处于实施监管措施的 “初期阶段”,以监控银行的网络劳动力技能和资源。
在大多数情况下,监管计划要求受监管实体管理风险,但很少有成功缓解这种风险的明确途径。他们没有设定具体要求(甚至基准)来解决网络安全工作人员的技能和资源问题。大多数监管机构通过现场检查来评估机构的网络安全员工,在现场检查中,自我评估问卷是常见的做法,培训流程也受到特别审查,但只有少数司法管辖区的法规专门针对IT人员的角色和责任。简而言之,误差幅度很大,对正确培训和随后的技能评估的重视程度相当小。
在日本和韩国,公共当局已经制定了适当的网络安全劳动力管理指导方针。但是,在大多数其他司法管辖区,网络劳动力管理的监管要求仅限于监管预期,监管人员通常不对受监管组织的网络安全技能和员工培训进行评估。
只有香港、新加坡和英国发布了专门的框架来认证网络劳动力的技能和能力。虽然 “合规” 和 “认证” 之类的词汇往往会让那些负责开发出色软件功能(使用这些功能,安全性通常被视为他人的问题,即安全团队)的普通富有创造力、能解决问题的开发人员不寒而栗,但许多受监管实体持有的大量敏感数据实在太有价值了,不能留给那些技能是 “假设” 而不是经过适当验证的人手中。
幸运的是,许多银行和金融机构意识到了这一点,但不一定依赖明显的监管途径。这些法规无疑概述了最终结果预期(即安全软件),但他们已经确定,要实现这一目标,就需要通过培训开发人员、培养他们与现有AppSec专业人员的关系以及建立培育责任和所有权的积极安全文化来规避网络安全技能的短缺。
为什么金融业有网络安全 “X因子”?
银行业的公司有几个要素在起作用, 金融服务 以及保险业,它们共同构成了其在网络安全领域的领导地位的支柱。
当然,作为世界财务(更不用说数百万条高度敏感的数据记录)的看门人,它们通常是非常注重合规和监管的组织。” 最新的指导方针、法规和要求是以有意义的方式进行的。因此,他们以一些最严格的网络安全最佳实践政策以及减少潜在攻击风险风险风险风险风险的端到端流程为己任,以应对不断变化的网络风险需求。
那么,金融机构的所作所为与其他机构有何不同之处?根据我的经验,他们已经为提高比其他人更高的安全意识奠定了基础,他们确定了对整体培训计划的需求并投入了资源,这些计划不仅适用于AppSec专业人员和渗透测试人员,还包括他们(通常非常庞大且分散在全球各地的)开发团队。
随着大多数组织的网络安全相对较新,令人耳目一新的是,金融机构在寻求提供安全可靠的软件时真正持开放态度和创新精神。许多人已经看到了通过以下方式提高开发团队技能的好处 参与式训练 这使他们走出课堂,进入亲身实践的相关学习体验,这不仅可以帮助他们解决问题,还可以总体上了解安全编码的重要性。
毕竟,安全编码是开发人员与AppSec团队之间建立稳健的功能关系以及在业务内部维持强大的安全文化的关键要素。推动安全计划成功的另一个关键因素是确保关键利益相关者参与进来并从中受益,即使他们本身不是安全专业人员。
金融机构倾向于与执行管理层进行良好的沟通,确保高层决策者明白,安全流程不是 “一劳永逸” 的措施;它们必须与所使用的技术一样迅速地发展,并适应可变的风险。
现在可能要花费时间和金钱,但是由于在提交的代码中修复漏洞的成本要高出三十倍,因此 “包括从头开始培训” 的全面安全计划可以节省长期资金:如果安全问题由具有安全意识的开发人员编写,则要便宜得多。
安全标准已开始与日益增长的风险保持同步
金融行业网络合规的重要驱动力来自 PCI 安全标准委员会,它仍然致力于帮助金融组织实施可行的安全政策并维护所有领域的指导方针。他们一直是向善的力量,帮助该垂直行业实现支付软件的最高安全标准。
但是,必须说,我们的许多金融行业客户实际上甚至超过了当前的PCI安全标准委员会指导方针。尽管这些指南建议对开发人员进行培训(如前面在其他监管信息示例中提到的那样),但它们并未指定要达到的特定类型或特定的基准来表明培训是有效的。
SQL 注入和跨站脚本 (XSS) 等许多漏洞已经存在了很长时间 二十年 (并且在2019年仍在造成问题),很明显,并非所有培训都是平等或有效的。通过采用动手实践、游戏化的安全培训,银行和其他金融服务公司看到了更好的结果,漏洞如果被利用,可能会造成严重破坏。
一个很好的例子是美国银行机构Capital One如何利用游戏化培训技巧作为其创新的科技学院和认证体系的一部分。根据他们的网络安全与云计算教育总监罗素·沃尔夫最近的一份报告 网络研讨会,自愿培训计划和编程比赛很快获得了关注,同行对获得认证和协助他人提高技能的需求和内在动机也前所未有。
监管机构可以做些什么来确保网络安全工作人员接受充分培训?
世界各地的监管机构只要概述负责保护我们数据的人必须遵守的公认的培训方法和标准,就可以真正地 “做得更好”,他们现有的网络监管政策和指导方针即可。目前,大多数监管政策中似乎普遍提到了培训要求,但几乎没有后续措施可以确保接受任何规定培训的人员吸收真正帮助对抗网络威胁所需的内容和技术。
MAS(新加坡金融管理局)最近采取的举措是将采用安全意识培训计划和安全软件开发最佳实践纳入 最新迭代 但是,其《技术风险指南》令人鼓舞。该指导方针生效后,他们将要求金融机构确保其软件开发人员接受培训,以便在开发软件时应用安全编码、源代码审查和AppSec测试标准,这将大大有助于最大限度地减少错误和漏洞。
对我来说,用实际操作技巧培训开发团队是迄今为止最具吸引力且与他们的工作相关的方法,同时为每个组织在为时已晚之前必须创造的强大安全文化奠定基础。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
