Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Tuân thủ khả thi tối thiểu: Bạn nên quan tâm đến điều gì và tại sao

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 70

Trong lĩnh vực bảo mật CNTT, chúng tôi phải quan tâm đến mọi thứ. Bất kỳ vấn đề nào, dù nhỏ đến đâu, đều có thể trở thành phương tiện thực thi mã từ xa hoặc ít nhất là điểm dừng chân cho các tác nhân đe dọa sống ngoài đất liền và sử dụng các công cụ của chính chúng ta để chống lại chúng ta. Không có gì đáng ngạc nhiên khi nhân viên an ninh CNTT phải đối mặt với tình trạng kiệt sức và căng thẳng. Dựa theo nghiên cứu của Enterprise Strategy Group và ISSA, khoảng một nửa số chuyên gia bảo mật CNTT cho rằng họ sẽ rời bỏ công việc hiện tại trong 12 tháng tới.

Các nhóm bảo mật chịu trách nhiệm về mặt chuyên môn — và giờ đây, đối với các giám đốc an ninh thông tin (CISO), chịu trách nhiệm cá nhân — vì sự an toàn của tổ chức của họ. Tuy nhiên, trong các lĩnh vực CNTT và công nghệ khác, lại có một tư duy hoàn toàn khác. Từ câu thần chú của Mark Zuckerberg về “di chuyển nhanh và phá vỡ mọi thứ”thông qua Eric Ries' Lean Startup và mô hình sản phẩm khả thi tối thiểu (MVP), ý tưởng trong các lĩnh vực này là di chuyển nhanh chóng nhưng cũng cung cấp vừa đủ để tổ chức có thể tiến lên và cải thiện.

Giờ đây, các nhóm bảo mật CNTT không thể áp dụng mô hình này. Có quá nhiều quy định cần xem xét. Nhưng chúng ta có thể học được gì từ bài tập tinh thần về việc tuân thủ khả thi tối thiểu (MVC) và làm cách nào chúng ta có thể sử dụng thông tin đó để hỗ trợ chúng ta trong cách tiếp cận của mình?

MVC sẽ liên quan đến điều gì?

MVC liên quan đến việc che đậy những gì cần thiết để được bảo mật một cách hiệu quả. Để đạt được điều này, bạn phải hiểu những gì bạn có và những gì quan trọng cần giữ an toàn cũng như những quy tắc hoặc quy định nào bạn phải chứng minh rằng bạn tuân thủ.

Để quản lý tài sản, lý tưởng nhất là bạn phải biết tất cả tài sản mà bạn đã cài đặt. Nếu không có mức độ giám sát đó, làm sao bạn có thể gọi mình là an toàn? Đối với cách tiếp cận MVC, bạn có cần hiểu biết sâu sắc 100% về những gì bạn có không?

Trong thực tế, các dự án quản lý tài sản như cơ sở dữ liệu quản lý cấu hình (CMDB) nhằm mục đích cung cấp khả năng hiển thị đầy đủ về tài sản CNTT, nhưng chúng không bao giờ chính xác 100%. Trước đây, độ chính xác của tài sản dao động trong khoảng 70% đến 80% và ngay cả những triển khai tốt nhất hiện nay cũng không thể đạt được khả năng hiển thị đầy đủ và duy trì ở đó. Vì vậy, chúng ta có nên dành ngân sách MVC của mình cho lĩnh vực này không? Có, nhưng không hoàn toàn theo cách mà chúng ta thường nghĩ.

Một phó CISO nói với tôi rằng anh ấy hiểu lý tưởng về việc đưa tin đầy đủ, nhưng điều đó là không thể; thay vào đó, anh quan tâm đến khả năng hiển thị đầy đủ và liên tục đối với cơ sở hạ tầng quan trọng của tổ chức — khoảng 2.5% tổng tài sản — trong khi các khối lượng công việc khác được theo dõi thường xuyên nhất có thể. Vì vậy, mặc dù khả năng hiển thị vẫn là yếu tố cần thiết cho các chương trình bảo mật CNTT, nhưng trước tiên, nỗ lực cần tập trung vào việc bảo vệ các tài sản có rủi ro cao nhất. Tuy nhiên, đây là mục tiêu ngắn hạn vì bạn chỉ cần tiết lộ một điểm yếu duy nhất là tài sản có rủi ro thấp sẽ trở thành tài sản có rủi ro cao. Trong khi thực hiện quá trình này, đừng nhầm lẫn giữa việc tuân thủ với bảo mật — chúng không giống nhau. Một doanh nghiệp tuân thủ có thể không phải là một doanh nghiệp an toàn.

Lập kế hoạch quy định

Là một phần của MVC, chúng tôi phải suy nghĩ về các quy định và cách tuân thủ chúng. Thách thức đối với các nhóm bảo mật là làm thế nào để suy nghĩ trước về các quy tắc này. Cách tiếp cận điển hình là đưa luật vào, sau đó xem nó áp dụng ở đâu cho các ứng dụng của chúng tôi và sau đó thực hiện các thay đổi đối với hệ thống nếu cần. Tuy nhiên, đây có thể là một cách tiếp cận bắt đầu từ đầu và liên quan đến sự thay đổi - và do đó tốn kém - mỗi khi một quy định mới được đưa ra hoặc một thay đổi đáng kể diễn ra.

Làm cách nào chúng tôi có thể làm cho quá trình này trở nên dễ dàng hơn cho nhóm của mình? Thay vì xem xét từng quy định một cách riêng biệt, liệu chúng ta có thể xem xét những điểm chung của các quy định hiện hành và sau đó sử dụng những điểm chung đó để giảm bớt khối lượng công việc cần thiết để tuân thủ tất cả các quy định đó không? Thay vì yêu cầu nhóm thực hiện các bài tập lớn để đảm bảo hệ thống tuân thủ, thay vào đó, chúng tôi có thể loại bỏ những gì ngoài phạm vi hoặc sử dụng làm dịch vụ để cung cấp cơ sở hạ tầng theo cách an toàn? Tương tự, liệu chúng ta có thể sử dụng các phương pháp hay nhất phổ biến như kiểm soát đám mây để loại bỏ toàn bộ các vấn đề thay vì xem xét từng vấn đề riêng lẻ không?

Trọng tâm của phương pháp này là chúng tôi phải giảm chi phí liên quan đến vấn đề bảo mật và tập trung vào những gì gây ra rủi ro lớn nhất cho doanh nghiệp của chúng tôi. Thay vì nghĩ về các công nghệ cụ thể, chúng ta có thể xem những vấn đề này là vấn đề về quy trình và con người, bởi vì các quy định sẽ luôn phát triển và thay đổi khi thị trường tiếp tục phát triển. Áp dụng tư duy này giúp việc lập kế hoạch bảo mật trở nên dễ dàng hơn vì nó không bị sa lầy vào một số chi tiết có thể gây khó khăn cho nhóm của chúng tôi khi các quy trình được xây dựng để xem xét CVE và dữ liệu về mối đe dọa thay vì xem xét các thuật ngữ rủi ro thực tế xung quanh vấn đề thực sự là gì.

Ý tưởng thực hiện mức tối thiểu cần thiết để đáp ứng nhu cầu thị trường hoặc vượt qua một bộ quy tắc có thể hấp dẫn về mặt giá trị. Nhưng tư duy của MVP không chỉ là đạt đến một cấp độ cụ thể rồi ổn định ở đó. Thay vào đó, vấn đề là đạt được tiêu chuẩn tối thiểu đó và sau đó lặp lại càng nhanh càng tốt để cải thiện tình hình hơn nữa. Đối với các nhóm bảo mật, tư duy cải tiến liên tục và tìm cách giảm thiểu rủi ro có thể là một giải pháp thay thế hữu ích cho mô hình bảo mật CNTT truyền thống. Bằng cách tập trung vào những cải tiến nào sẽ có tác động rủi ro nhiều nhất trong khung thời gian ngắn nhất, bạn có thể tăng hiệu quả và giảm thiểu rủi ro nói chung.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.