随着网络环境的不断变化,入侵者总是在寻找新的方法来利用组织系统和应用程序中的弱点。因此,网络相关事件已成为企业试图了解其网络弹性和面临的威胁时面临的最大风险之一。因此,安全保证在帮助组织进行有效的网络风险管理、遵守法规和法律合规性要求以及防止代价高昂的安全漏洞方面变得至关重要。许多机构已经意识到这一转变:根据MarketsandMarkets的研究,到2023年,全球安全保证市场预计将增长到54.8亿美元。安全保证旨在通过各种方法为组织提供对其安全控制有效性的信心和信任例如基于证据的风险评估、控制差距分析和安全测试,以帮助识别对组织构成的风险。然而,越来越多的安全漏洞和一些组织未能遵守基本的安全卫生反映了我们当前安全保障模式的不足。当代安全保证模型的挑战我们当前的方法是被动的——证据表明,组织在大多数安全威胁发生后都会对其做出反应。主动的安全保证模型是提供有效运营模型的关键推动因素,该模型包含对人员、流程和技术的保护。实现可靠数字安全的主要障碍之一是组织流程的灵活性,这阻碍了主动防御策略。我们的模型的保质期也很短,因为威胁总是在变化。内部和外部审计根据演习时的风险趋势和主题评估针对威胁的控制措施的有效性。如果不持续监控、评估和更新保证模型,它们就会过时。最后,当前模型是静态的。随着云计算的普及和触觉互联网的出现,越来越多的企业通过数字技术寻找机会。敏捷方法正在加速数字化转型的交付。现代保证模型无法适应这种迭代增量开发和部署模型。成功的安全保证功能的几个要素考虑了合作。为使安全保证功能取得成功,组织需要打破孤岛并在主要利益相关者之间实现更多协作。它首先对业务关键资产进行识别、分类和优先级排序,这些资产如果被利用或访问,可能会对业务战略产生严重影响。接下来,您需要集中控制。组织应集中管理战略性企业安全控制,以更好地了解这些控制的运行有效性。最后,了解最新的安全策略、标准和合规性要求。了解政策、流程、标准和合规性如何影响所需的控制状态。这些必须由业务目标和组织的特定风险偏好驱动。构建主动和动态的安全保证模型为了适应现代挑战,组织必须重新定义和调整其安全保证操作模型以提高速度和敏捷性。有效的保证模型需要在主动和被动方法之间找到适当的平衡,以建立更安全的组织并维护利益相关者的信任。从以下步骤开始:将您的安全保障策略与业务目标联系起来,以改善您组织的安全状况;使您的安全保障运营模式与风险管理和治理工作保持一致,以实现运营效率;调整您的风险偏好,定义组织的控制成熟度路线图;进行基于证据的评估以产生信任。证据收集应侧重于关键控制目标;将保证集成到开发迭代中以协助敏捷交付。调整保证流程以培养DevSecOps文化并解决开发阶段的任何安全问题;确保从一开始就嵌入安全性。根据设计原则将安全性纳入产品交付。对于敏捷开发,这意味着确保安全计划包含在冲刺目标中;公司还应该有更智能、更平衡的保证活动,以帮助进行频繁的评估。安全保障应以务实和适当的方式进行,以防止网络攻击和入侵。这包括以下内容:将多个网络安全框架合理化为控制目标,并根据组织面临的威胁对它们进行优先排序,以提供更有针对性的评估;根据安全配置文件或资产/列表开发安全控制目录。根据组织的风险偏好实施响应式评估方法;在可能的情况下,利用自动化工具来支持安全评估,例如第三方网络安全风险和隐私影响评估;利用自动化测试(包括内部源代码和第三方代码评估)作为集成/持续交付(CI/CD)管道的持续部分,以支持敏捷开发;通过基于MITREATT&CK框架执行基于场景的安全测试来自动收集证据。应对关键安全控制进行测试,以持续评估控制的有效性并提供额外的信任级别。问问自己:“时间点、基于证据的评估能否真正得到检验?”总之,成功的数字安全保证模型必须有助于加速持续的、基于证据的安全评估,以有效管理网络安全风险,证明符合不断变化的监管要求,并使组织能够对其安全状况充满信心。
