安全性:其他注意事项


为了了解网络安全的现状和未来,我们采访了50名安全专业人士,并收到了他们的书面答复。在进行访谈时,我们总是以这样一个问题来结束讨论:“在本研究指南中,我们没有讨论过哪些重要的问题?”

从答复的数量和深度来看,人们仍有许多想法。

教育

  • 我们需要对人员,开发人员,实施者,供应商和客户进行更多的培训--更全面的支持和教育。我们需要思考有什么样的学校和大学课程,以及青少年如何学习和采用安全和隐私方面的最佳做法。
  • 每个程序员都应该对这些东西充满好奇心--阅读和思考它--所以我们不会盲目飞行。你不能在最后一秒派保安进来撒保安灰尘--这不管用。归根结底,键盘上的人做的是对的还是错的--这需要意识和教育。
  • 我们的教育制度需要做更多的工作,为下一代做好准备。我们看到了一些将STEM引入K-12的努力,但还可以做更多的工作来增强这些数字原住民在软件开发,机器人技术,人工智能和网络安全方面的流动性。这些话题可以而且应该在我们的学校里无处不在,从小学和中学开始,一直延续到整个高中和大学。今天的技术可以帮助教师在这些主题上跟上时代的步伐。然而,学校资源匮乏,助学金是很小的一部分。大的公司实体可以在这里应用他们的慈善倡议,但是各州或联邦政府也应该考虑在我们为孩子们提供的服务上进行革命性的改变。让我们在那里也应用解决方案。
  • 网络安全角色的人才缺口和技能短缺是当今组织面临的最关键问题之一。安全团队必须投资于受过最佳培训的人员,并为他们提供现代化的工具集,以确保他们的所有应用程序都受到保护,同时避免给已经捉襟见肘的团队造成不应有的负担。
  • 最大的问题是,“谁该为行业中网络安全的缺失负责……制造商,ISP,还是用户自己?”消费者的意识正在增强,使得网络安全解决方案更加成为一个优先事项。这一问题需要得到解决和分享,以便消费者能够控制和保护自己。
  • 技能和专业知识对于成功执行一个组织的网络战略是至关重要的。在人才和雇用方面,根据技术能力和部门经验将网络安全团队组织成矩阵是一种最佳做法。我们需要招聘和培训,以发展在网络战略,身份和访问管理,数据保护和隐私,网络分析,应用安全,攻击和渗透测试,威胁检测和响应以及威胁和漏洞管理方面的深厚经验。

    我们需要通过部门,培训和经验轮换团队成员,使这些技术从业者能够成功地降低业务风险,以便他们能够更好地理解他们的行动的含义和他们的客户利益相关者的业务需求。

    最后,在IT之外管理的网络安全风险如此之多的情况下,在转型时代取得成功所必需的网络技能必须成为企业每一个数字化方面的DNA的一部分。从产品设计到服务管理和制造本身,都不能忽视网络安全。

法规/遵守情况

  • 例如,欧洲,英国和美国的立法机构和机构制定了越来越多的法规和正式指导,这使我们感到不安,因为我们无法跨越不同的地理区域使用软件和数据。这将对我们能够为客户提供的规模经济技术解决方案产生负面影响。
  • 同样的事情在过去的50年里一直在发生,信息安全的状态没有改变。还是很糟糕--但为什么呢?这个问题的根本原因是什么?为什么,我们经历了50年,经历了数千亿美元的损失,却没能改造信息安全领域?我认为这是一个巨大的,将成为一个引人注目的讨论话题。
  • 导航规则一开始就是一项累赘的工作;增加一层规则的复杂性,特别是与数据安全有关的规则,那么房间里只有很少的人完全理解合规意味着什么。欧洲的《通用数据保护条例》(GDPR)应该给美国企业敲响了一个警钟,即美国也将出台新的法规。每一个处理非公开信息(NPI)的企业都应该有一个指定的个人,即合规官,其角色包括研究新的和现有的法规,确定您的组织需要做什么以保持合规,并提供执行流程更改的计划。
  • 鼓励客户考虑他们的组织需要遵守哪些法规要求(例如:NIST SP800-*,FIPS 140-2,PCI-DSS等)。让客户思考如何处理日志管理和事件响应。

AI/ML/自动化

  • 2019年,AI/ML深陷幻想破灭的低谷,但它将在现代安全创新中占有一席之地,因为在现代安全创新中存在大量数据和有限的改进安全结果。
  • 我希望我们能有自动化的分析和分析,但我们仍有一段路要走。信息的价值将不断增加。它最终将进入数据市场,因此数据和信息的验证将增加额外的成本。
  • 当我们讨论AI/ML时,它仍然处于这个过程的早期。根据MMC Ventures的一项研究,40%被归类为人工智能创业公司的初创企业实际上并没有使用人工智能。这在安全领域经常发生;我们在RSA看到的。当供应商谈论AI/ML时要小心。要求查看更多细节或证明他们正在做什么。

其他

  • 安全是一个模糊不清,飘渺的概念,而且总是在变化--就在你认为你得到了它的时候;你再也没有了。几年前,说到安全还很奇怪,但现在变化非常快。
  • 尽管云计算已经成为企业的主流,但它仍处于发展的早期,未来的变化将比过去大得多。为你负责保护的环境的快速和戏剧性变化做好准备。采用安全工程和编程方法来解决最大的安全挑战。我们看到的最成功的安全性转换发生在安全性成为组织其余部分的服务提供者而不是网关守护者时。构建帮助应用程序团队快速移动并保持安全的解决方案。
  • 利用网络安全之外的商业价值。最好的公司关注风险和信息的价值。信息必须是可用的,可获取的和可靠的。如果你把这种观念和风险因素的关键拿来,那就是未来的方向。CISO和CTO生活在同一个世界里,传递高价值的信息。
  • 紧盯新兴网络安全风险管理。厂商将重点放在基础设施--云和容器上的移动安全上。确保风险管理实践的发展也包括这些内容。
  • 肯定还有更多。它是如何与整个DevOps管道联系在一起的。在开发阶段进行的任何扫描都无法取代在企业管道中进行的再次扫描。使用“信任但验证方法”。相信开发人员在他们的IDE中拥有一切,并且他们正在插入Jenkins。验证所有需要做的事情都是通过审计跟踪来完成的。对于参与审计的安全专业人员,始终具有企业管道的可见性。
  • 有一个通用的数据模型来捕获所有的安全事件是很重要的。关键是要有一个系统,以可操作的洞察力实时处理所有事件。将数据和分析转移到云中,并在很短的时间内构建复杂的数据流,这样您就可以在几天而不是几周内交付价值。使数据流通现代化,驾驭大数据快数据的世界。
  • 我认为,突出供应链在it世界中的重要性可能很重要。最终的系统包含了许多组件,这些组件来自许多不同的公司和开源开发人员。我们都应该尽自己的一份力,但我们也应该检查供应给我们的组件。如果我们都要求我们的供应商遵循更严格的安全准则,最终我们都将受益。让我们通过供应链传播我们的安全知识和成果。
  • 当您与DevOps协作实现Shift Left和Shift Up时,请记住您实现的安全措施必须是平台无关的。我知道这是个挑战。与我们的客户交谈时,他们中的许多人正在试验来自多个供应商的技术,包括AWS,Google,Azure,Docker,OpenShift和Kubernetes。组织战略的一个关键部分必须是保持所有选择的开放性。不要被锁定,在无服务器级别更是如此,在无服务器级别,像Amazon Lambda或Google Functions这样的工具处于低得多的级别--提供灵活性的好处,但创建的代码可能不那么可移植性。
  • 组织以保护生产环境的方式保护开发工具和环境是绝对关键的。在过程的早期保护应用程序很重要,但是保护使它们通过整个CI/CD管道的基础设施也很重要。
  • 我注意到近年来安全行业变得更加分散。过去有一些安全专家,我认为他们是多面手,他们对安全领域的各个方面都有广泛的了解。纵观今年的大型安全事件,从业人员的版图被分割成许多专业领域,无论是应用安全,红色团队,安全编排等等。我不再看到很多知识渊博的安全从业人员是通才。这种趋势可能会对安全团队的组织和管理方式产生影响。
  • 除了分享安全知识的必要性之外,我想强调的是,安全专业知识不应属于任何一个组织。它属于社区。安全是一项共同的责任,开发人员,安全研究人员和整个社区需要共同努力才能取得成果。

这是一系列安全文章中的最后一篇,这些文章分享了IT专业人员对当前和未来安全状态的看法。我们期待得到您的想法和反馈。

以下是分享他们见解的人: