企业基础设施
对于世界各地的组织来说,安全仍然是一个不断发展的挑战,新的威胁和漏洞正在给供应商带来越来越大的压力,以改善他们的网络安全配置文件。客户、政府和组织比以往任何时候都更有可能询问公司产品和流程的安全性。
虽然没有单一的策略、实践、流程或技术可以保证安全,但重要的是开始实施或升级基本实践以改进安全基础设施。但这可能是一项艰巨的任务,尤其是在产品保证方面。
为了提供帮助,这里为希望创建或改进其网络安全配置文件的公司提供了一些实用建议。
改善您的网络安全档案
在过去几年中,安全性在产品开发生命周期(PDL) 中发挥着越来越重要的作用。因此,开发人员、工程师和产品团队现在正专注于创建安全产品。
在产品保障方面,在努力改善公司的网络安全状况时,需要重点关注三个主要领域——集成、自动化和社区参与。
集成安全和产品开发生命周期
集成是产品开发过程中的关键。 但是今天,许多组织没有将产品开发生命周期与安全开发生命周期 (SDL) 集成在一起。
有一种趋势是在生命周期的早期将安全性从运营转向开发,以帮助发现和预防漏洞。这可能包括公司增加价值之前的生命周期。
在第三方硬件或软件未经过审查的情况下,漏洞可能更难发现,但分布范围更广,这会使它们更难修复。例如,据报道 2017 年的 Equifax 漏洞是由开源软件中的漏洞造成的。最近,全世界对Log4j中的另一个开源漏洞做出了反应。
从一开始就设计产品时就考虑到安全性,并要求供应商提供安全实践的透明度,这是提高安全性的一个很好的起点。
包括强大的威胁建模
在开发过程开始时包括强大的威胁建模。作为该过程的一部分,了解什么对客户最有价值,以及它如何受到威胁。
创建用例,同时训练开发人员像黑客一样思考,以评估意外使用中的危险。此外,设置产品必须通过的检查点才能进行发货准备。
如果没有全公司高管的支持,这将是行不通的,因此通常最好认识到会有豁免请求并预先分配包括产品和安全主管签字的升级路径。
最终,PDL 和 SDL 应该合并为一个流程,包括来自安全、隐私、功能和质量的元素。
培训员工产品安全基础知识
对所有开发人员和工程师进行产品安全基础知识培训,并确保他们了解安全是他们工作的一部分。另外,让他们知道有专家可以帮助他们。
如果公司不能为每个产品团队指定一名安全专业人员,则应考虑培训和指定“安全冠军”,以帮助产品团队掌握安全最佳实践和工具。这些拥护者还可以帮助保持公司投资组合中预期的一致性。虽然今天这个角色通常是一项副业,但预计它在未来作为全职职位会变得更加普遍。
自动化威胁和漏洞检测
当正确应用于安全保证时,自动化提供了巨大的价值。它允许产品团队检查已知漏洞,同时减轻工程师的负担。
手动扫描代码可能很费力。自动化简化并加速了发现威胁和漏洞的过程。考虑以下:
首先检查您自己的代码是否有错误。许多现成的静态分析工具可以扫描代码以查找代表开发人员可能遗漏的可能漏洞的模式,例如缓冲区溢出、整数溢出或算术错误。
接下来,使用成分分析工具检查第三方组件是否存在已知漏洞。
然后,投资网络安全工具来检查公开披露的漏洞,例如扫描仪和模糊器。虽然从高级工具开始可能很诱人,但通常最好从简单开始,并在需要时构建更高级的功能。有几种现成的和开源的扫描仪和模糊器可用。
参与社区参与
最后一个建议领域是社区参与。任何组织都不应该孤立地行动。安全社区包括标准机构,例如美国国家标准与技术研究院 (NIST)、可信计算组织 (TCG) 和国际标准化组织 (ISO)。
研究和学术界也是对抗网络威胁的重要合作伙伴。甚至美国国防部也投资于“破解卫星”,让安全研究人员破解实时卫星。
社区参与是关于建立关系。在协调漏洞披露方面,创建一个框架以支持确保及时向学者发布,并考虑补偿准确的漏洞发现。补偿可以是货币或名义上的(例如,T 恤)。
您应该考虑的其他社区参与领域包括:
创建产品安全事件响应团队
建立接收和管理漏洞报告的流程。产品安全事件响应团队 (PSIRT) 可以管理从发现到分类、缓解和披露的整个过程。
PSIRT 将由善于理解工程师或开发人员的复杂技术方法以及与客户和生态系统其他成员沟通的人员组成。
理想情况下,单个 PSIRT 成员将监控从第一份报告到披露的问题。有关如何开始的想法,请查看PSIRT 服务框架。
鼓励道德黑客帮助发现漏洞
拥有成熟漏洞披露计划的组织应鼓励道德黑客帮助发现漏洞。这可以从用于提交的通用电子邮件地址开始。要使此过程更易于访问,请创建一个 Web 地址,其中包含有关如何报告这些漏洞的特定说明和支持信息。
最先进的方法包括创意活动,如黑客马拉松或夺旗比赛,个人或团队在时间线上寻找漏洞。
结论
世界各地的组织都在努力改善其网络安全状况,以提供更好的产品并履行有关社会责任的义务。微软、Salesforce 和谷歌等公司正在树立很好的榜样。当涉及到组织可以采取的措施来提高跨产品团队的安全保障时,这个实用的建议只是冰山一角——但它们是一个很好的起点。
标签:
版权声明:本文由用户上传,如有侵权请联系删除!