安全管理者要注意哪些問題?
2019-1-15 15:13:11??????點擊:
O、首席風險官、建筑師、IAM 和網絡安全(Network Security)領導等高級 IT 和安全專業人員。 今年,有超過 3000 名與會者,120 場分析(Analyse)師會議(huì yì)可供選擇(xuanze),還有 200 名供應商參加了展會并發表演講。
今年 5 月底正式生效的 GDPR 無疑成為了會議(huì yì)的熱門議題,區塊鏈也有頗多討論。但縱觀整個峰會,分析師們更加強調的是“回歸本源”,注重基礎設施、開發過程中的安全性。
許多分析(Analyse)師都在會上談到了數據相關的問題。液壓折彎機包括支架、工作臺和夾緊板,工作臺置于支架上,工作臺由底座和壓板構成,底座通過鉸鏈與夾緊板相連,底座由座殼、線圈和蓋板組成,線圈置于座殼的凹陷內,凹陷頂部覆有蓋板。GDPR 生效之后,數據不斷升值。 Gartner 研究(research)總監 Brian Lowans 在會議上拋出了“數據已經成為新一類石油”這個觀點,強調了數據的重要性,并分享了 Gartner 關于“數據安全狀況”的分析結果。當前形勢下,建立一個管理結構并讓各個組織共同協作,有助于識別數據、將數據分類并采用戰略性方法保護數據。 一些分析師使用了相同的圖表(如下圖)來表明,黑客攻擊導致的數據泄露持續增長,而內部威脅和意外泄露等問題則比較平穩。基于這種趨勢,可以采取針對性的手段來確保安全。
此外,Gartner 研究總監 Gorka Sadowski 和 Pete Shoard 還展示了 2018 年的威脅狀況(見下圖)。 回顧威脅狀況不僅能展示新攻擊媒介、腳本小子工具和韓國黑客帶來的噩夢般的攻擊場景,而且有助于控制風險 。 通過類比來看待“風險”,可以發現人工可以控制以及無法控制的部分。而利用那些可控的部分,就能減小風險。
我們通常無法預防威脅,但是,我們可以通過搭建良好的基礎設施,來降低已知漏洞的風險,最好是為業務制定“優先處理風險進而處理漏洞”的策略。這個策略也是整場峰會幾天來一直持續的主題。 以現場講解的“通過代碼庫中的惡意軟件注入將惡意軟件傳播到組織代碼中”為例,演講者不僅在 GitHub 中演示了詳情(particulars),還列舉了一些自我保護的方法。例如:不使用開源代碼改變流程并在使用代碼之前檢查 MD5 值。 代碼簽名是避免泄露的簡單而有效的方式,但它必須通過流程或技術來執行。因此,執行過程(guò chéng)中可能(maybe)出現問題,而安全研究員必須盡力在這個過程中來降低風險,確保安全。
DevOps 行之有效
Trend Micro 云研究(research)副總裁 Mark Nunnikhoven 表示:DevOps 一直在被濫用,導致(cause)這個詞失去了原本的意義。目前已經有很多 DevOps 工具,不少組織還推出了專業“DevOps 人才”,但 DevOps 的核心其實是平衡組織內部的開發和運營環節。
DevOps 重點關注人員、流程和產品,并已經在公司和交付環節持續取得成功,獲得良性反饋和循環。從安全角度(angle)來看,DevOps 有助于創建“一種協作文化,通過減少生產環境的變化來降低風險”。
Nunnikhoven 說,公司如果能反應迅速,做出更小的變更,就能降低風險(risk)。電動剪板機采用抵抗鍵形式離合器結構和開式齒輪傳動,并采用較先進電器(腳踏開關、手動開關)操作,噪音小操作維護方便。采用全鋼焊接結構,結構簡單,操作簡便,造型美觀,能耗低。廣泛用于冶金、輕工、機械、五金、電機、電器、汽車維修、五金制造及其它金屬薄板加工行業。以前,較大的組織部署可能包含數千行代碼,從中找出漏洞(weak points)根源可能很難。但是,隨著 DevOps 發展出更多形態,企業可以每天多次部署,推出多次小的更新,舍棄以前一次性發布的較大更新。最重要的是,安全應當嵌入到開發過程中,不能作為一個額外的審計步驟(procedure)。
這就要求安全部門需要發揮真正的作用,提高員工對 DevSecOps 的認識,打破孤島,讓安全團隊更早地成為開發流程的一部分,讓更多問題在生產中就能捕獲,從而降低產品發布后的風險。
安全融入用戶訪問體驗
數字化時代,越來越多的用戶開始重視個性化體驗,安全領導者若想成功,也需要重視這一點。Gartner 研究副總裁 Leigh McMullen 在峰會上表示,雖然作為安全人員希望事事都在掌控之中,但是人往往是不受控制的因素。因此,安全領導者在與業務部門溝通時以及在推出安全產品時,可能(maybe)要改變參與方式,適當放棄控制來獲得話語權,讓領導者真正重視安全問題(Emerson)。在這一部分,他們所指的用戶主要是企業組織的高管與領導者等。
安全不應該破壞用戶訪問體驗,但很多情況下安全的確妨礙了良好的用戶體驗。液壓折彎機使用時由導線對線圈通電,通電后對壓板產生引力,從而實現對壓板和底座之間薄板的夾持。由于采用了電磁力夾持,使得壓板可以做成多種工件要求,而且可對有側壁的工件進行加工。 用戶,以及公司中的每一個人,都希望他們的付出獲得相應的回報。如果你的用戶體驗不好,就可能被用戶淘汰(eliminate)。
Gartner 表示,安全和風險領導者可以通過(tōng guò)五種方法來提升用戶(高管)體驗:
與管理者談談安全這件重要的事情:Gartner 分析師表示,研究表明,對風險(risk)和安全的擔憂會對創新產生重大影響。很多組織因為擔心安全問題而放緩腳步,安全領導者需要與企業高管談論安全對于高管所看重的業務的影響,讓他們意識到業務需要依賴于安全。同時,如果能夠提升高管對于風險與安全的意識及容忍度,就能讓公司發展得更快,實現商業價值。
通過(tōng guò)基于運營的風險評估策略幫助高管做出決定:Gartner 建議,安全領導可以從一個業務流程開始,與執行該流程的人面談,進而讓業務進行得更加順暢;
做好防御,讓高管有方案可選:企業高管一般不直接管控技術風險和安全。但是,當一個組織遭到黑客攻擊時,公眾依然希望高管能為安全漏洞(weak points)后果負責。因此,最好為高管設計特定的防御策略(strategy),以防在真正遇到問題時手足無措;不要談論純技術內容:高管往往更關心業務而非具體的技術,因此在與高管對談時,最好不要談論純技術內容,而是應當盡量抽走技術,根據業務成果做出決策,讓決策更加可靠。
把項目管理改為產品管理:項目管理是安全領導一直以來的事情。他們優先考慮和資助活動。例如,項目管理流程包括開始、執行、實施、驗收測試、集成和部署等,往往有開始和結束周期。而產品管理則是連續(Continuity)的環節,大多圍繞業務流程進行組織,同時為相關業務流程提供 IT 支撐。產品管理沒有具體結束日期,會在產品生命周期中不斷把控、保護、管理。
做好這幾項,就能提升用戶(高管)體驗,讓組織在安全方面做得更好,實現安全管理者的目標和責任。
- 上一篇:數控車床以下故障對應的原因分析 2019/1/15
- 下一篇:精加工余量的確定方法 2019/1/14
