为了解网络安全领域的当前和未来状态,我们采访了50名安全专业人员并收到了书面回复。我们问他们:“应用程序和数据安全中最重要的元素是什么?” 以下是他们告诉我们的可见性,补救和优先级。我们将介绍他们在第二部分中与我们分享的其他内容。
能见度
如果我们将范围限制在您的组织访问数据所构建的应用程序,那么请关注现代方法,以便不断查找和修复漏洞,同时让您了解API服务,移动和现代Web应用程序。
编目所有API,消除盲点,评估风险,确定敏感数据暴露,并在变化时保护它们。区分合法行为和攻击者。检测有针对性的攻击,以帮助安全团队专注并消除攻击源。利用攻击者作为渗透测试人员,深入了解如何修复漏洞。
了解你的环境。大多数客户对他们的环境了解不够。我们一直在处理网络中的恶意设备问题,具有对应用程序的未知访问权限,对用户的未知访问权限,身份管理问题。对现代复杂企业的可见性很难实现。IT没有这些工具。IT转向安全性以帮助他们找到丢失的部分,访问数据库的服务器,谁是所有者,谁正在修补,为什么这些用户可以访问?对现代复杂企业的可见性比安全性更重要。
从安全的角度了解数据和皇冠上的宝石在飞行中或静止时的位置,以便通过控制,检测和监控来降低风险。
1) 全面覆盖: 随着企业构建和连接更多应用程序并将其迁移到云,他们必须专注于利用非常有限的资源从不断变化的威胁中获取更大的攻击面。(即您的所有申请都应受到保护,而不仅仅是皇冠上的珠宝)。2)对安全数据(攻击媒介,响应)的 可见性,以便为安全决策提供信息: 您希望优秀安全团队做的最后一件事就是倾注安全事件数据,以便在攻击者和漏洞发生后尝试攻击他们 - 这些数据理想情况下应该是不断推动您的安全策略和工具的优化。应该使安全团队能够更有效地运作并做出更明智的决策。
应用程序和数据安全最重要的元素包括完整的数据可见性(不仅仅是安全数据)以及强大的威胁搜索和事件响应。强大而现代的SOC应该可以访问所有数据,直播; 完整的测井系统; 以及所有应用程序和系统的定期渗透测试和代码审查。
可见性和上下文信息是基本的安全性。团队需要深入了解应用程序及其数据中发生的情况。他们需要在正确的时间获得洞察力,并使用正确的上下文信息来对其采取行动。这既适用于主动降低开发/构建时的风险,也适用于在运行时响应实时威胁。
减轻
应用程序安全性最重要的元素是加强应用程序的安全攻击。这可以使用业界公认的最佳实践来实现,例如Web应用程序安全联盟(WASC)第2版框架[http://projects.webappsec.org/f/WASC-TC-v2_0.pdf]。对于数据安全性,最重要的元素是使用加密数据保护和数据传输,有效的访问控制系统以及数据访问的有效监视和记录来保护数据。
对我而言,最重要的元素是检测和防止漏洞进入生产环境,并具有可以检测零日应用程序漏洞的实时和运行时安全性。
每天都有应用程序和数据安全漏洞和攻击。随着物联网设备的增加,这种风险增加,并且他们有更多的方式来访问网络以控制用户的应用程序并访问私有数据。每个应用程序都可能存在安全漏洞,因此能够尽快对它们做出反应非常重要。
一旦识别出漏洞或您不合规的地方,请专注于解决问题的速度。我们拥有大型,高度分散的客户端,具有高度分布式的基础架构,需要解决边界问题。他们需要能够提供可视性,自动化和补救功能的工具来解决问题,而无需在每个设施中安装IT和安全人员。
应用程序和数据安全的最重要元素之一是能够实时识别安全风险并采取适当措施在攻击之前解决它们。公司需要统一查看其基础架构占用空间,使用持续监控安全漏洞和漏洞的工具,如错误配置,恶意内部人员,帐户劫持,弱身份验证,不安全的接口和API,滥用云服务等。这些类型的工具,专注于自动,用户定义的修复工作流程来修复已发现的问题,最好是因为它们可以降低人为错误的风险。
1)一个是需要在整个应用程序生命周期中嵌入安全性,因为应用程序继续以前所未有的速度构建和部署。将安全检查和控制从开发一直嵌入到生产中对于尽早评估和降低风险至关重要。2)第二是需要监控正在运行的应用程序或工作负载中的威胁,并获得快速响应以缓解这些威胁的能力。新的零日在容器和业务流程堆栈中变得越来越普遍,并等待解决这些漏洞的供应商更新,并且要部署的新版本的应用程序会创建潜在的风险窗口。
优先级
我们是NIST网络安全框架的坚定支持者。我们相信他们在整体网络安全方面做得对,包括应用程序和数据安全。NIST CSF主张组织首先确定其关键网络地形并确定其优先级,从而突出显示对业务最重要的数据和应用程序。这使组织能够量化网络风险,并深入了解如何保护最重要的应用程序和底层数据。将毯子形式的网络安全建议很难应用于企业,但如果您优先考虑关键地形,那么加密静态和传输中的数据,以及对漏洞进行压力测试应用程序是非常可能的。
1)确保没有信息丢失且没有数据泄漏。2)企业应用程序套件需要捕获来自网络的所有活动,并通过可操作的见解将复杂数据上下文/转换为安全知识。3)开放数据模式 l通过入门任何数据实现高价值使用 - 结构化/非结构化/半结构化。流经开放数据模型的所有数据都被上下文化并标记为实时评分,机器学习和分析。
了解您需要保护的内容。不要将安全性丢给错误的数据。了解环境中的内容。想想遗留数据。50年前没有保护数据的借口。数据是一种负债而不是资产 - 它等待被盗。
最重要的元素涉及几个步骤 - 而且它不是灵丹妙药。1)安全团队应该问自己:可能发生哪些事件或事件会对业务产生重大影响?企业关心的数据是什么?我们如何从CEO和CFO层面识别出来?我们如何识别这些东西并确保我们的安全计划是围绕保护这些数据而建立的?2)一旦了解了对业务的重要性,您就需要了解 这些系统所面临的威胁 - 而且每个公司的威胁都不同。3)第三步是“哪里” 网络安全方面。现在,我们知道什么是重要的,我们知道它们会受到什么威胁,但这些数据在哪里存在?它是在公共云,S3存储桶,blob存储,文件共享还是数据库中?4)第四步涉及可见性和缓解。团队需要做些什么来减轻董事会认为重要的数据资产的威胁 - 他们如何做到这一点?他们是否需要了解网络流量?他们是否需要了解谁在访问他们的S3存储桶?这个过程是数据安全中最重要的元素。最重要的是安全程序需要有这样的标准化流程。
保护代码以及由该代码操纵的数据的最重要任务是称为“威胁建模”的活动。我们不仅要仔细检查软件本身,还要仔细检查软件本身的使用环境。这意味着,例如,准确识别哪些数据是敏感的并且必须受到保护,以及指定软件系统中哪些输入可能来自不受信任的来源。可悲的是,“威胁建模”经常是临时性的 - 相反,我们需要的是分担所有不同软件组件中的威胁建模负担的方法,因此建模组件的每个用户都可以从中受益。
加密
我们认为存储公司战略可以在消除数据破坏和腐败方面发挥重要作用。我们提供了一个硬化存档,可以完整准确地存储数据。它是一个本地硬件档案,旨在符合HIPPA,FINRA,医疗记录保存和数据保存的要求。我们在存储在受密码保护的系统中的元数据中创建全局唯一的序列号。我们对文件进行了清点,以确保它们都在那里,这一切都是不可变的。这允许我们在系统顶部叠加一层完整性和真实性。客户端可以使用不同的加密密钥为每个文件加密文件,无需人工干预。
领取专属 10元无门槛券
私享最新 技术干货