2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
在加拿大一些大公司從事網(wǎng)絡(luò)安全21年的職業(yè)生涯中,Vivek Khindria見證了潮流的起起伏伏。但他在周二的一次會議上表示,做好基礎(chǔ)工作仍是確保企業(yè)安全的最重要部分。
在多倫多舉行的年度國際網(wǎng)絡(luò)風(fēng)險管理會議(International cyber risk Management Conference)上,洛布洛公司(Loblaw Companies)網(wǎng)絡(luò)安全與風(fēng)險副總裁欣德里亞(Khindria)表示:“衛(wèi)生是根本。”
“許多公司被最新的銀彈技術(shù)分散了注意力,忘記了基本面:供應(yīng)商管理、資產(chǎn)管理、了解你的王冠上的寶石在哪里,等等?!?/p>
Khindria和另一位小組成員、戴爾公司的副首席技術(shù)官Nick Steele一起參加了一個關(guān)于安全從業(yè)人員觀點的小組討論,他們的建議包括衛(wèi)生、如何與董事會溝通以及人工智能在安全領(lǐng)域的前景。
衛(wèi)生問題是由主持人Doug Howard提出的,他是RSA的全球服務(wù)副總裁,他指出今天許多數(shù)據(jù)泄露并沒有復(fù)雜的原因,但是可以歸咎于補丁管理和開放端口等問題。
除了衛(wèi)生,Khindria說,他認為確保企業(yè)安全的首要任務(wù)包括尋找IT安全人才,包括讓更多的女性進入IT部門,使部門多樣化。
專家們正在向一些機構(gòu)發(fā)出警告,稱他們必須圍繞這些基礎(chǔ)工作(包括對網(wǎng)絡(luò)上的所有東西進行準確的盤點)來構(gòu)建網(wǎng)絡(luò)安全戰(zhàn)略。但如果…
鑒于網(wǎng)絡(luò)安全意識月,我認為這可能是有用的高管看到一個可采取行動的名單…
另一個問題是許多公司轉(zhuǎn)向敏捷軟件開發(fā),在一個或兩個星期的工作沖刺之后,進行小的增量更改來修復(fù)問題。他指出,敏捷給安全和風(fēng)險帶來了壓力。
此外,云服務(wù)的使用也在不斷增加。他說,在很多情況下,云就是新的影子IT。他指的是員工悄悄注冊未經(jīng)批準的服務(wù)。
不過,“我毫不猶豫地說,除了大型銀行或大型組織之外,云架構(gòu)的安全性潛力比任何組織都要高得多。大多數(shù)公司沒有足夠的資源來應(yīng)對所有的復(fù)雜情況,所有的資源,技術(shù)……來保持衛(wèi)生,以應(yīng)對我們所看到的威脅?!?/p>
他補充說,云提供商正在競相在默認情況下提供更多的安全性。
斯蒂爾并不反對衛(wèi)生很重要,但他說,衛(wèi)生必須有一定的背景:組織最關(guān)心的是什么,如何保護它?所以對他來說,衛(wèi)生是風(fēng)險管理的一部分。他說,確定你的底線,這樣你就可以在整個企業(yè)中實施衛(wèi)生措施。
由于補丁如此重要,Howard不禁要問CSO如何決定補丁的優(yōu)先級。
“每家公司都需要建立自己的威脅模型,”欣德里亞回答。例如,如果持有公司“皇冠上的寶石”的資產(chǎn)是優(yōu)先考慮的,那么想想是誰在攻擊它們,為什么要攻擊它們,有哪些減輕措施。
“當(dāng)你開始計算漏洞時,你就陷入了一個陷阱,”他說。但威脅模型將是設(shè)定補丁優(yōu)先級的指南。
環(huán)境也是一個因素,他補充道。如果一家公司有12臺虛擬服務(wù)器,那么6臺服務(wù)器可以在不停機的情況下通過補丁關(guān)閉。然后把它們提出來,對后面的6個進行修補。在虛擬環(huán)境中,“人們的愿望是更快地修補,冒更大的風(fēng)險,因為你可以更快地修復(fù)它”。
漏洞掃描只是CSO工具的一部分,他說,其中包括滲透測試、代碼掃描、日志分析、行為分析——所有這些都有助于檢測異常,同樣,也是補丁決策的因素。數(shù)據(jù)需要以自動化的方式編織在一起?!叭绻麤]有這種儀器,如果你管理著數(shù)千臺服務(wù)器,你永遠都趕不上。”
他補充道,Loblaws通常每周會合成10億件物品,并將其濃縮為30件可操作的物品。
斯蒂爾說,風(fēng)險管理是一個好的決策,“但你不可能把所有事情都決定下來?!叭绻考露甲兂梢粋€冒險的決定,你最終會陷入癱瘓……如果你知道什么是重要的,那就明確你的計劃并堅持下去?!?/p>
在與董事會和非技術(shù)經(jīng)理打交道時,兩人都強調(diào)了公民社會組織學(xué)習(xí)如何使用非技術(shù)語言的重要性。
斯蒂爾說:“如果你不學(xué)習(xí)商務(wù)語言,不學(xué)習(xí)用他們能理解的語言與他們交流,你很快就會失去那些聽眾?!?/p>
Khindria同意了?!拔以行抑笇?dǎo)過數(shù)百人(進行安全管理),我可以說,最優(yōu)秀的安全人員都具有商業(yè)頭腦,因為最重要的是能夠與企業(yè)溝通……學(xué)習(xí)安全比較容易,學(xué)習(xí)業(yè)務(wù)比較困難?!?/p>
最后,Khindria說,將加拿大在人工智能方面的專業(yè)知識與當(dāng)前計算平臺的能力相結(jié)合,應(yīng)該會使加拿大成為減輕infosec團隊負擔(dān)的領(lǐng)導(dǎo)者。
“讓我感到興奮的是,它(人工智能)進入了下一個階段,”他將其定義為將異常檢測與欺詐檢測聯(lián)系起來。“我認為我們即將迎來偉大的時刻。持續(xù)的監(jiān)控、持續(xù)的測試和持續(xù)的分析是一個前所未有的機會?!?/p>
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。