主动防护:利用国家网络安全战略进行高级威胁防御
这篇文章最初是作为其中的一部分发表的 福布斯科技委员会。它已在此处更新和发布。
你认为2022年有多少数据记录遭到泄露?如果你猜到大概有5亿左右,你就会走上正轨。根据公开的泄露数据, 仅去年一年,就有大约480,014,323条记录被盗,但这个数字可能要大得多。无论如何,对于普通公民来说,这是一个发人深省的统计数据,对于任何企业安全专业人员来说,这都令人深感担忧。
我们已经到了这样的地步:发达国家的大多数人可能已经看到至少部分个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界政府自然会寻找解决方案来遏制这种破坏性的在线犯罪活动。最新一期来自拜登政府,其形式为 国家网络安全战略,我正怀着浓厚的兴趣看着。该策略中包括围绕我现在最喜欢的主题之一的指令:安全问责制。
该策略是在发布之后发布的 开创性的演讲 作者:CISA的网络安全和基础设施安全总监詹·伊斯特利在安全界造成了一些分歧,这是可以理解的。但是,我认为这是我们全面提高软件标准并最终开创安全技能开发人员新时代的最佳机会。
供应商应该 总是 被追究了对不安全软件的责任。
几十年来,在软件安全方面,问责制是任何团队都不想兼顾的棘手问题。高管和团队在谁对软件安全负有最终责任的问题上往往存在强烈分歧, Venafi 的一份报告 透露97%的高级IT高管认为软件构建过程不够安全,但在谁对实施安全最佳实践负有最终责任方面存在差异。61%的高管表示,IT安全团队应承担软件安全的责任,而31%的高管表示这应该是开发团队要承受的麻烦。而这只是方程式的一部分:软件版本中开源和第三方商业组件的问题是攻击面不断扩大。即使在 AppSec 和安全团队之间,尽管在更新、监控和测试中需要持续保持警惕,但也很少有明显的 “所有者”。
同一项调查还表明,尽管在谁应为软件安全和完整性负责方面存在内部冲突,但94%的高管认为,对于未能保护其建设管道免受威胁者侵害,并使客户和最终用户处于危险之中的软件供应商,应该受到处罚。
随着 最近对优步首席信息安全官的起诉 关于他们对2016年毁灭性网络攻击的管理不善,以及GDPR等监管举措,我们正在慢慢看到那些通过降低安全优先级而自欺欺人的供应商所面临的风险增加。但是,这还不够。我们正在输掉与网络犯罪分子的斗争,尽管这是一颗难以吞咽的药丸,但正是软件供应商的松懈做法为他们提供了无限的蓬勃发展机会。
国家网络安全战略旨在划清界限,将不安全软件的全部责任分配给供应商,从而制止循环的指责游戏。
让我们来看看:
战略目标 3.3 — 转移不安全软件产品和服务的责任:
”太多的供应商 “忽视了安全开发的最佳实践,发布的产品具有不安全的默认配置或已知漏洞,并集成了未经审查或来源未知的第三方软件。
我们必须开始将责任转移到那些未能采取合理预防措施保护其软件的实体身上,同时意识到即使是最先进的软件安全程序也无法防止所有漏洞。”
可以理解,这让一些人大吃一惊。但是,与大多数行业制定标准和法规的其他决定性时刻一样,确保更好的长期结果是中期的难题。我本人也是一名软件供应商,在安全性方面,责任必须不在我们身上,这是有道理的。这是我们的建造管道、我们的流程和质量控制,如果我们失误,那么我们有责任进行补救。
此外,我们应该努力创建尽可能高质量的软件,而安全编码必须是定义成功结果的指标的一部分。在一个不惜一切代价注重速度的世界中,实现这一目标是一项艰巨的任务,但安全领导者有责任指导我们的未来,确保软件创建过程中的每个人都经过充分的培训,能够根据自己的职责提供安全最佳实践,尤其是开发人员。
我们在长期最佳实践方面仍然缺乏指导。
战略目标3.3确实提到了公认的 NIST 安全软件开发框架 作为其一般最佳做法的基础, 这些都是全面的, 包罗万象的指导方针.它们确实规定了 “确保组织的人员、流程和技术为在组织层面进行安全软件开发做好准备” 的必要性,但没有特别规定安全意识经理在选择支持解决方案时应注意的因素。
为了使该方法真正具有变革性,应将开发人员视为安全计划不可或缺的一部分,并给予他们一切机会提升技能并分担漏洞检测和消除的责任。如果没有高度相关的背景学习和工具,如果将其视为年度合规活动而不是持续的技能发展途径,他们就无法以可衡量的方式实现这一目标。
在破解安全之谜时,开发人员是难题中的强大组成部分,而一支具有安全技能的开发人员团队本质上是大多数组织所缺少的组成部分。它们使快速安全成为可能,但前提是要花费时间和资源在团队中解锁安全保障。在此之前,世界上所有的通用最佳实践指南都将无法起到推动作用。
通往软件安全天堂的漫长道路。
拜登政府 已承诺向CISA提供30亿美元的资金,目的是实现关键基础设施的快速弹性。尽管来自政府最高层的资金和支持至关重要,但我们要想有机会阻止威胁行为者的前进,就需要全球的推动才能改写安全文化的故事。
前面还有很长的路要走,但首先,每个软件供应商都要勇敢地迈出组织层面的安全问责制的第一步。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
这篇文章最初是作为其中的一部分发表的 福布斯科技委员会。它已在此处更新和发布。
你认为2022年有多少数据记录遭到泄露?如果你猜到大概有5亿左右,你就会走上正轨。根据公开的泄露数据, 仅去年一年,就有大约480,014,323条记录被盗,但这个数字可能要大得多。无论如何,对于普通公民来说,这是一个发人深省的统计数据,对于任何企业安全专业人员来说,这都令人深感担忧。
我们已经到了这样的地步:发达国家的大多数人可能已经看到至少部分个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界政府自然会寻找解决方案来遏制这种破坏性的在线犯罪活动。最新一期来自拜登政府,其形式为 国家网络安全战略,我正怀着浓厚的兴趣看着。该策略中包括围绕我现在最喜欢的主题之一的指令:安全问责制。
该策略是在发布之后发布的 开创性的演讲 作者:CISA的网络安全和基础设施安全总监詹·伊斯特利在安全界造成了一些分歧,这是可以理解的。但是,我认为这是我们全面提高软件标准并最终开创安全技能开发人员新时代的最佳机会。
供应商应该 总是 被追究了对不安全软件的责任。
几十年来,在软件安全方面,问责制是任何团队都不想兼顾的棘手问题。高管和团队在谁对软件安全负有最终责任的问题上往往存在强烈分歧, Venafi 的一份报告 透露97%的高级IT高管认为软件构建过程不够安全,但在谁对实施安全最佳实践负有最终责任方面存在差异。61%的高管表示,IT安全团队应承担软件安全的责任,而31%的高管表示这应该是开发团队要承受的麻烦。而这只是方程式的一部分:软件版本中开源和第三方商业组件的问题是攻击面不断扩大。即使在 AppSec 和安全团队之间,尽管在更新、监控和测试中需要持续保持警惕,但也很少有明显的 “所有者”。
同一项调查还表明,尽管在谁应为软件安全和完整性负责方面存在内部冲突,但94%的高管认为,对于未能保护其建设管道免受威胁者侵害,并使客户和最终用户处于危险之中的软件供应商,应该受到处罚。
随着 最近对优步首席信息安全官的起诉 关于他们对2016年毁灭性网络攻击的管理不善,以及GDPR等监管举措,我们正在慢慢看到那些通过降低安全优先级而自欺欺人的供应商所面临的风险增加。但是,这还不够。我们正在输掉与网络犯罪分子的斗争,尽管这是一颗难以吞咽的药丸,但正是软件供应商的松懈做法为他们提供了无限的蓬勃发展机会。
国家网络安全战略旨在划清界限,将不安全软件的全部责任分配给供应商,从而制止循环的指责游戏。
让我们来看看:
战略目标 3.3 — 转移不安全软件产品和服务的责任:
”太多的供应商 “忽视了安全开发的最佳实践,发布的产品具有不安全的默认配置或已知漏洞,并集成了未经审查或来源未知的第三方软件。
我们必须开始将责任转移到那些未能采取合理预防措施保护其软件的实体身上,同时意识到即使是最先进的软件安全程序也无法防止所有漏洞。”
可以理解,这让一些人大吃一惊。但是,与大多数行业制定标准和法规的其他决定性时刻一样,确保更好的长期结果是中期的难题。我本人也是一名软件供应商,在安全性方面,责任必须不在我们身上,这是有道理的。这是我们的建造管道、我们的流程和质量控制,如果我们失误,那么我们有责任进行补救。
此外,我们应该努力创建尽可能高质量的软件,而安全编码必须是定义成功结果的指标的一部分。在一个不惜一切代价注重速度的世界中,实现这一目标是一项艰巨的任务,但安全领导者有责任指导我们的未来,确保软件创建过程中的每个人都经过充分的培训,能够根据自己的职责提供安全最佳实践,尤其是开发人员。
我们在长期最佳实践方面仍然缺乏指导。
战略目标3.3确实提到了公认的 NIST 安全软件开发框架 作为其一般最佳做法的基础, 这些都是全面的, 包罗万象的指导方针.它们确实规定了 “确保组织的人员、流程和技术为在组织层面进行安全软件开发做好准备” 的必要性,但没有特别规定安全意识经理在选择支持解决方案时应注意的因素。
为了使该方法真正具有变革性,应将开发人员视为安全计划不可或缺的一部分,并给予他们一切机会提升技能并分担漏洞检测和消除的责任。如果没有高度相关的背景学习和工具,如果将其视为年度合规活动而不是持续的技能发展途径,他们就无法以可衡量的方式实现这一目标。
在破解安全之谜时,开发人员是难题中的强大组成部分,而一支具有安全技能的开发人员团队本质上是大多数组织所缺少的组成部分。它们使快速安全成为可能,但前提是要花费时间和资源在团队中解锁安全保障。在此之前,世界上所有的通用最佳实践指南都将无法起到推动作用。
通往软件安全天堂的漫长道路。
拜登政府 已承诺向CISA提供30亿美元的资金,目的是实现关键基础设施的快速弹性。尽管来自政府最高层的资金和支持至关重要,但我们要想有机会阻止威胁行为者的前进,就需要全球的推动才能改写安全文化的故事。
前面还有很长的路要走,但首先,每个软件供应商都要勇敢地迈出组织层面的安全问责制的第一步。
这篇文章最初是作为其中的一部分发表的 福布斯科技委员会。它已在此处更新和发布。
你认为2022年有多少数据记录遭到泄露?如果你猜到大概有5亿左右,你就会走上正轨。根据公开的泄露数据, 仅去年一年,就有大约480,014,323条记录被盗,但这个数字可能要大得多。无论如何,对于普通公民来说,这是一个发人深省的统计数据,对于任何企业安全专业人员来说,这都令人深感担忧。
我们已经到了这样的地步:发达国家的大多数人可能已经看到至少部分个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界政府自然会寻找解决方案来遏制这种破坏性的在线犯罪活动。最新一期来自拜登政府,其形式为 国家网络安全战略,我正怀着浓厚的兴趣看着。该策略中包括围绕我现在最喜欢的主题之一的指令:安全问责制。
该策略是在发布之后发布的 开创性的演讲 作者:CISA的网络安全和基础设施安全总监詹·伊斯特利在安全界造成了一些分歧,这是可以理解的。但是,我认为这是我们全面提高软件标准并最终开创安全技能开发人员新时代的最佳机会。
供应商应该 总是 被追究了对不安全软件的责任。
几十年来,在软件安全方面,问责制是任何团队都不想兼顾的棘手问题。高管和团队在谁对软件安全负有最终责任的问题上往往存在强烈分歧, Venafi 的一份报告 透露97%的高级IT高管认为软件构建过程不够安全,但在谁对实施安全最佳实践负有最终责任方面存在差异。61%的高管表示,IT安全团队应承担软件安全的责任,而31%的高管表示这应该是开发团队要承受的麻烦。而这只是方程式的一部分:软件版本中开源和第三方商业组件的问题是攻击面不断扩大。即使在 AppSec 和安全团队之间,尽管在更新、监控和测试中需要持续保持警惕,但也很少有明显的 “所有者”。
同一项调查还表明,尽管在谁应为软件安全和完整性负责方面存在内部冲突,但94%的高管认为,对于未能保护其建设管道免受威胁者侵害,并使客户和最终用户处于危险之中的软件供应商,应该受到处罚。
随着 最近对优步首席信息安全官的起诉 关于他们对2016年毁灭性网络攻击的管理不善,以及GDPR等监管举措,我们正在慢慢看到那些通过降低安全优先级而自欺欺人的供应商所面临的风险增加。但是,这还不够。我们正在输掉与网络犯罪分子的斗争,尽管这是一颗难以吞咽的药丸,但正是软件供应商的松懈做法为他们提供了无限的蓬勃发展机会。
国家网络安全战略旨在划清界限,将不安全软件的全部责任分配给供应商,从而制止循环的指责游戏。
让我们来看看:
战略目标 3.3 — 转移不安全软件产品和服务的责任:
”太多的供应商 “忽视了安全开发的最佳实践,发布的产品具有不安全的默认配置或已知漏洞,并集成了未经审查或来源未知的第三方软件。
我们必须开始将责任转移到那些未能采取合理预防措施保护其软件的实体身上,同时意识到即使是最先进的软件安全程序也无法防止所有漏洞。”
可以理解,这让一些人大吃一惊。但是,与大多数行业制定标准和法规的其他决定性时刻一样,确保更好的长期结果是中期的难题。我本人也是一名软件供应商,在安全性方面,责任必须不在我们身上,这是有道理的。这是我们的建造管道、我们的流程和质量控制,如果我们失误,那么我们有责任进行补救。
此外,我们应该努力创建尽可能高质量的软件,而安全编码必须是定义成功结果的指标的一部分。在一个不惜一切代价注重速度的世界中,实现这一目标是一项艰巨的任务,但安全领导者有责任指导我们的未来,确保软件创建过程中的每个人都经过充分的培训,能够根据自己的职责提供安全最佳实践,尤其是开发人员。
我们在长期最佳实践方面仍然缺乏指导。
战略目标3.3确实提到了公认的 NIST 安全软件开发框架 作为其一般最佳做法的基础, 这些都是全面的, 包罗万象的指导方针.它们确实规定了 “确保组织的人员、流程和技术为在组织层面进行安全软件开发做好准备” 的必要性,但没有特别规定安全意识经理在选择支持解决方案时应注意的因素。
为了使该方法真正具有变革性,应将开发人员视为安全计划不可或缺的一部分,并给予他们一切机会提升技能并分担漏洞检测和消除的责任。如果没有高度相关的背景学习和工具,如果将其视为年度合规活动而不是持续的技能发展途径,他们就无法以可衡量的方式实现这一目标。
在破解安全之谜时,开发人员是难题中的强大组成部分,而一支具有安全技能的开发人员团队本质上是大多数组织所缺少的组成部分。它们使快速安全成为可能,但前提是要花费时间和资源在团队中解锁安全保障。在此之前,世界上所有的通用最佳实践指南都将无法起到推动作用。
通往软件安全天堂的漫长道路。
拜登政府 已承诺向CISA提供30亿美元的资金,目的是实现关键基础设施的快速弹性。尽管来自政府最高层的资金和支持至关重要,但我们要想有机会阻止威胁行为者的前进,就需要全球的推动才能改写安全文化的故事。
前面还有很长的路要走,但首先,每个软件供应商都要勇敢地迈出组织层面的安全问责制的第一步。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
这篇文章最初是作为其中的一部分发表的 福布斯科技委员会。它已在此处更新和发布。
你认为2022年有多少数据记录遭到泄露?如果你猜到大概有5亿左右,你就会走上正轨。根据公开的泄露数据, 仅去年一年,就有大约480,014,323条记录被盗,但这个数字可能要大得多。无论如何,对于普通公民来说,这是一个发人深省的统计数据,对于任何企业安全专业人员来说,这都令人深感担忧。
我们已经到了这样的地步:发达国家的大多数人可能已经看到至少部分个人数据通过成功的网络攻击落入犯罪分子手中,因此,世界政府自然会寻找解决方案来遏制这种破坏性的在线犯罪活动。最新一期来自拜登政府,其形式为 国家网络安全战略,我正怀着浓厚的兴趣看着。该策略中包括围绕我现在最喜欢的主题之一的指令:安全问责制。
该策略是在发布之后发布的 开创性的演讲 作者:CISA的网络安全和基础设施安全总监詹·伊斯特利在安全界造成了一些分歧,这是可以理解的。但是,我认为这是我们全面提高软件标准并最终开创安全技能开发人员新时代的最佳机会。
供应商应该 总是 被追究了对不安全软件的责任。
几十年来,在软件安全方面,问责制是任何团队都不想兼顾的棘手问题。高管和团队在谁对软件安全负有最终责任的问题上往往存在强烈分歧, Venafi 的一份报告 透露97%的高级IT高管认为软件构建过程不够安全,但在谁对实施安全最佳实践负有最终责任方面存在差异。61%的高管表示,IT安全团队应承担软件安全的责任,而31%的高管表示这应该是开发团队要承受的麻烦。而这只是方程式的一部分:软件版本中开源和第三方商业组件的问题是攻击面不断扩大。即使在 AppSec 和安全团队之间,尽管在更新、监控和测试中需要持续保持警惕,但也很少有明显的 “所有者”。
同一项调查还表明,尽管在谁应为软件安全和完整性负责方面存在内部冲突,但94%的高管认为,对于未能保护其建设管道免受威胁者侵害,并使客户和最终用户处于危险之中的软件供应商,应该受到处罚。
随着 最近对优步首席信息安全官的起诉 关于他们对2016年毁灭性网络攻击的管理不善,以及GDPR等监管举措,我们正在慢慢看到那些通过降低安全优先级而自欺欺人的供应商所面临的风险增加。但是,这还不够。我们正在输掉与网络犯罪分子的斗争,尽管这是一颗难以吞咽的药丸,但正是软件供应商的松懈做法为他们提供了无限的蓬勃发展机会。
国家网络安全战略旨在划清界限,将不安全软件的全部责任分配给供应商,从而制止循环的指责游戏。
让我们来看看:
战略目标 3.3 — 转移不安全软件产品和服务的责任:
”太多的供应商 “忽视了安全开发的最佳实践,发布的产品具有不安全的默认配置或已知漏洞,并集成了未经审查或来源未知的第三方软件。
我们必须开始将责任转移到那些未能采取合理预防措施保护其软件的实体身上,同时意识到即使是最先进的软件安全程序也无法防止所有漏洞。”
可以理解,这让一些人大吃一惊。但是,与大多数行业制定标准和法规的其他决定性时刻一样,确保更好的长期结果是中期的难题。我本人也是一名软件供应商,在安全性方面,责任必须不在我们身上,这是有道理的。这是我们的建造管道、我们的流程和质量控制,如果我们失误,那么我们有责任进行补救。
此外,我们应该努力创建尽可能高质量的软件,而安全编码必须是定义成功结果的指标的一部分。在一个不惜一切代价注重速度的世界中,实现这一目标是一项艰巨的任务,但安全领导者有责任指导我们的未来,确保软件创建过程中的每个人都经过充分的培训,能够根据自己的职责提供安全最佳实践,尤其是开发人员。
我们在长期最佳实践方面仍然缺乏指导。
战略目标3.3确实提到了公认的 NIST 安全软件开发框架 作为其一般最佳做法的基础, 这些都是全面的, 包罗万象的指导方针.它们确实规定了 “确保组织的人员、流程和技术为在组织层面进行安全软件开发做好准备” 的必要性,但没有特别规定安全意识经理在选择支持解决方案时应注意的因素。
为了使该方法真正具有变革性,应将开发人员视为安全计划不可或缺的一部分,并给予他们一切机会提升技能并分担漏洞检测和消除的责任。如果没有高度相关的背景学习和工具,如果将其视为年度合规活动而不是持续的技能发展途径,他们就无法以可衡量的方式实现这一目标。
在破解安全之谜时,开发人员是难题中的强大组成部分,而一支具有安全技能的开发人员团队本质上是大多数组织所缺少的组成部分。它们使快速安全成为可能,但前提是要花费时间和资源在团队中解锁安全保障。在此之前,世界上所有的通用最佳实践指南都将无法起到推动作用。
通往软件安全天堂的漫长道路。
拜登政府 已承诺向CISA提供30亿美元的资金,目的是实现关键基础设施的快速弹性。尽管来自政府最高层的资金和支持至关重要,但我们要想有机会阻止威胁行为者的前进,就需要全球的推动才能改写安全文化的故事。
前面还有很长的路要走,但首先,每个软件供应商都要勇敢地迈出组织层面的安全问责制的第一步。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
