您的安全计划是否侧重于事件响应?你做错了。
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
这篇文章的一个版本是作为专题报道出现的 福布斯科技委员会。它已在此处更新和发布。
没有什么比站在数据泄露的错误一边更好了。起初,可能会有人否认,然后是恐慌。一旦所有的诽谤都播出了,而且首席信息安全官不得不在凌晨 2 点与公共关系部门进行电话会议,就该卷起袖子开始努力保护端点、系统并迅速消除任何潜在的攻击媒介了。至少可以说,这不是野餐。
但是,这是未来许多组织都会意识到的现实,并且绝对必须通过全面的网络安全事件响应计划做好准备。但是,问题在于,这种被动策略是大部分时间、资源和精力集中的地方,而不是事先努力预防或降低网络攻击的潜在严重程度。这有点像为疑似心脏病发作叫救护车;与在为时已晚之前采取预防性健康措施相比,结果往往不那么乐观,更不用说更具破坏性了。
为此,预防计划是什么样子?让我们探讨安全专业人员如何使用所有可用的工具来缓解每天不断增加的网络风险:
了解未来的工作范围
这似乎是显而易见的,但是降低网络风险的 “正确” 计划确实在行业之间存在细微差别,因此必须事先了解实现预期结果所需的条件。
目前存在哪些安全问题?他们占用了多少时间和资源?其中有多少是反复出现的问题?这些都是重要的因素,将为你提供一个基本的起点。考虑任何需要填补的角色、工具方面的空白,以及从专业知识和工具的角度来看需要什么,以保护端点和减少攻击面,同时抢占其他潜在风险领域。
一个 最近的报告 透露,在过去的一年中,有11个行业每天都存在严重漏洞,其至少一半的应用程序都存在严重漏洞。特别是,公用事业、公共管理和专业服务行业平均需要288天来修复已知漏洞。这非常慢,如果在应用补丁之前发现这些漏洞,则攻击者有足够的时间造成严重损害。再加上组织发生数据泄露的可能性 接近 30%,发人深省地提醒人们,事件反应是不够的,风险实在太高了,无法为大规模网络攻击的影响做好准备,也无法对最好的结果抱有希望。
为获得文化变革的支持做好准备
改变现状往往会引起一些人的关注,但事实是,安全计划应该处于持续改进的状态。每个组成部分都应保持相关性,并应评估和考虑新的进展。
安全团队之外可能不会广泛理解将重点放在预防性而不是被动的方法上,尤其是在没有发生重大而严重的安全事件的情况下。它可能被视为没有损坏也不需要修复的东西。在这种情况下,获得高管的支持至关重要。他们需要考虑的一些更相关的问题是:
- 与重大事件的潜在成本相比,通过预防措施(例如基于角色的培训和相关工具)节省的时间和成本
- 现在如何发现和修复漏洞可以保证按时发布,同时减少安全团队的精彩人物
- 为什么从开发团队到发布,为潜在的安全风险做好准备和防范,总体上可以节省更多时间(更不用说大量现金了)。透视一下,在测试阶段(或者更糟糕的是,后期制作)中发现了后期漏洞 可以提高高达 3000% 的成本 平均而言。
至关重要的是,拟议的文化变革必须与业务目标保持一致,即使起初看起来不舒服。
安全意识是一切,安全技能就是一切
作为一个行业,我们经常谈论安全意识的重要性,这是组织中每位员工越来越重要的组成部分。但是,仅仅停留在口头上和被动训练是不够的,特别是对于那些处于技术职位的人来说。
简而言之,任何接触代码的人如果不具备安全编码的技能,就会面临潜在的安全风险。对基本安全参数的普遍了解是一个良好的开端,但是如果没有关于良好安全的编码模式的背景知识,不良习惯就会占上风,攻击者依赖这种质量开发技能的缺乏来完成肮脏的工作。
不要注销你的开发者。
尽管态度正在发生变化,但许多组织的结构使开发人员在安全缓解计划中很少真正考虑开发人员。一些行业,例如银行和金融,有严格的合规和监管要求,从而加强了对所有员工的全面安全措施和培训。尽管它们肯定领先于其他垂直领域,但几乎每个组织都可以受益于一支由具有安全意识的内部开发人员组成的军队,他们都具有在常见安全漏洞出现之前对其进行嗅探的基准能力。大多数人还远未实现安全计划难题的这一关键部分——如果我们有希望保护数量逐年增加的大量代码,这是必要的。
预防性安全应该从手指触摸键盘创建软件的那一刻开始,但不能指望开发人员单独弥合安全技能差距。他们需要正确的工具集和上下文指导来达到更高的代码质量标准,而最好的结果总是在日常工作中得到的,而不是在年度合规要求出台时偶尔推出的事后才想到的。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
