在 IT 安全领域,我们必须关心一切。任何问题,无论多么小,都可能成为远程代码执行的工具,或者至少成为威胁行为者在陆地上生活并利用我们自己的工具来对付我们的着陆点。 IT 安全人员面临倦怠和压力并不奇怪。根据 企业战略集团的研究 和 ISSA,大约一半的 IT 安全专业人员认为他们将在未来 12 个月内离开目前的工作。
安全团队具有专业责任感——现在,对于首席信息安全官 (CISO) 来说, 个人责任 - 为了他们组织的安全。然而,在 IT 和技术的其他领域,却存在着完全不同的思维方式。摘自马克·扎克伯格的口头禅“快速行动,打破局面” 直到埃里克·里斯 (Eric Ries) 精益创业 以及最小可行产品 (MVP) 模型,这些领域的想法是快速行动,但也要提供足够的服务,以便组织能够前进和改进。
现在,IT 安全团队无法接受这种模型。有太多的法规需要考虑。但是,我们可以从围绕最低可行合规性 (MVC) 的心理练习中学到什么,以及如何使用这些信息来帮助我们采取方法?
MVC 会涉及什么?
MVC 涉及掩盖有效安全所需的内容。为了实现这一目标,您必须了解您已采取哪些措施、什么对确保安全至关重要,以及您必须证明您遵守哪些规则或法规。
对于资产管理,理想情况下您必须了解已安装的所有资产。如果没有这种程度的监督,你怎么能称自己是安全的呢?对于 MVC 方法,您需要 100% 深入了解您所拥有的东西吗?
实际上,配置管理数据库 (CMDB) 等资产管理项目旨在提供 全面了解 IT 资产,但它们从来都不是 100% 准确的。过去,资产准确率徘徊在 70% 到 80% 左右,即使是当今最好的部署也无法实现完全可见性并保持在该水平。那么,我们应该把 MVC 预算花在这个领域吗?是的,但并不完全像我们传统上认为的那样。
一位副CISO告诉我,他理解全覆盖的理想,但这是不可能的;相反,他关心的是组织关键基础设施(约占总资产的 2.5%)的完整且持续的可见性,同时尽可能频繁地跟踪其他工作负载。因此,虽然可见性仍然是 IT 安全计划的必要元素,但应首先努力保护最高风险的资产。然而,这是一个短期目标,因为只需一次漏洞披露,低风险资产就会变成高风险资产。在完成此过程时,不要混淆合规性与安全性——它们不是同一件事。合规的企业可能并不安全。
监管规划
作为 MVC 的一部分,我们必须考虑法规以及如何遵守它们。安全团队面临的挑战是如何提前思考这些规则。典型的方法是制定立法,然后看看它适用于我们的应用程序,然后根据需要对系统进行更改。然而,这可能是一种走走停停的方法,每次引入新法规或发生重大变化时都会涉及变化,从而产生费用。
我们怎样才能让我们的团队更轻松地完成这个过程?我们是否可以不单独查看每项法规,而是看看适用法规的共同点,然后利用它来减少遵守所有法规所需的工作量?我们不应该让团队进行大量的练习来使系统合规,而是可以将哪些内容排除在范围之外或将其用作服务来以安全的方式提供基础设施?同样,我们是否可以使用云控制等常见的最佳实践来消除整组问题,而不是单独查看每个问题?
这种方法的核心是,我们必须减少安全方面的开销,并专注于对我们的业务构成最大风险的问题。我们可以将这些问题视为流程和人员问题,而不是考虑具体的技术,因为法规总是会随着市场的发展而发展和变化。采用这种思维方式可以使安全规划变得更加容易,因为当构建流程来查看 CVE 和威胁数据时,它不会陷入一些可能困扰我们团队的细节,而不是围绕真正问题的实际风险术语。
从表面上看,以最低限度的要求来满足市场需求或通过一套规则的想法可能很有吸引力。但 MVP 的心态不仅仅是达到特定水平然后就安定下来。相反,它是要达到最低标准,然后尽快迭代以进一步改善情况。对于安全团队来说,这种持续改进和寻找降低风险方法的心态可以成为传统 IT 安全模型的有用替代方案。通过关注哪些改进会在最短的时间内产生最大的风险影响,您可以提高效率并降低总体风险。
