Securing the Unsecured: State of Cybersecurity 2019 – Part I 最近,HCL Technologies 的Straight Talk Insights團隊邀請了一個社交小組在當今數字化轉型的中心討論一個關鍵問題:公司如何瞄準投資並改變文化,避免成為網路攻擊的下一個受害者?
除了來自HCL,Oracle,Clarify360,Duo Security和TCDI的出色領導者和技術戰略家,我們還探索了當今超連接和擴展的安全團隊所面臨的挑戰。
如今,企業在這樣一個世界中運作,在過去的幾年中,戴爾和Dimensional Research調查的超過85%的企業領導者表示,他們認為,如果儘早加入安全團隊,則可以更好地實施數位化轉型計劃。此外,有90%的人說,如果有更多的資源,他們可以更好地開展業務。然而,這些領導人中的大多數人都斷言,為了實現數位化轉型計劃,引入安全措施為時已晚!這些數位化轉型趨勢(雲端,數據,分析,設備)對於下一代客戶和員工體驗至關重要,而對於絕大多數公司而言,價值鏈的過渡已經在進行中! 我們整理討論過程中的見解... 問題1:2019年的IT安全趨勢是什麼?是否存在與數位趨勢相關的特定網路安全挑戰? 數位化不是一種趨勢,而是多種趨勢。另外,我們今天不能停止經營業務。這迫使公司獲得技能投資的一部分,MSSP和系統集成商可以承擔一部分。最大的挑戰是多雲世界中的資訊安全擴展。所有大型企業都是多雲和混合的。但是,很少有安全操作團隊為此做好準備。 解決這一挑戰的部分方法是採用新興的方法來識別異常並擴大規模,例如,通過圖論技術,對於找到代表防禦能力的小痕跡至關重要。機器學習將很快遍及整個資訊安全技術堆棧。這種轉變必需發生,因為挑戰不僅僅是新環境。雲中的日誌量很重要-順便說一下,您需要為此付費-格式不同,集合不同且可見性分散。 更加困難的是,資訊安全團隊必須在ONCE適應所有這些情況。太好了,您有了AWS Cloud Trail。讓我問你一個問題:您的哪個安全堆棧可以看到AND進行了調整,並且可以通過內部派生的可見性統一那裡確定的風險?如果您能以肯定的方式回答該問題,那麼當我向Azure提出相同的問題時該怎麼辦?您是開始考慮向彈性的轉變,還是仍在專門考慮防禦和控制? 不過,我想問一下,當您的團隊投資於雲端時,他們是否在投資於理解和準備保護數據科學?您是否正在為安全團隊準備項目週期,使其甚至可以迭代以提供這些服務?身份和訪問管理是解決方案的重要組成部分。有效的治理和策略可以幫助您確定哪些平台具有與安全相關的數據。說“查看並保存所有內容”很容易,但是您很快就會發現它的價格以及其中有多少垃圾。此時,您可以開始考慮自動化。 關注數據存儲和動態數據使我們考慮了更多的零信任關係,以減少插頁式安全性的複雜性。為了實現這一願景,令牌化和索引以及許多其他技術必須繼續擴展。使數據在數位化員工體驗和客戶體驗中有用的保密性和可訪問性之間,我們面臨著奇怪的雙重性。 這不僅僅是增加自動化以克服複雜性。自動化必須具有智能,並且其運行方式必須超過“我用時髦的術語購買技術”。許多平台和產品都說它們能夠完成這些工作,但是在購買和實施時,您需要專注於如何,以及建立和鏈接在一起的難度。另外,您將如何維護它們?在進行調整以保持數位化轉型的步伐時要小心,不要將一個問題換成另一個問題。 最後,我要指出的是,在資訊安全組織的各個級別(而不是CISO),人們都需要有目標感。作為安全專家,您為客戶體驗增加了什麼價值?你為什麼存在?我們需要記住這一點,因為客戶旅程是數字化轉型的展現方式。我們必須端點到端點思考。 問題2:公司可以採取哪些措施保護自己免受IoT設備造成的漏洞的侵害? 從採購開始。看,我很想告訴您IoT安全是一個軟體問題,但這只是其中的一部分。這實際上始於購買經過精心設計的技術,客戶和上游供應商都必須在內部實施安全開發生命週期(SDLC)。 在某種程度上,我們需要將物聯網視為完全不受信任的。對於整個組織的零信任高層願景,Google的BeyondCorp是一個不錯的目標。因此,數據自省和設備行為需要進行高度檢查,而不是性能假設。我們的優勢在於,我們現在生活在一個充滿工具的社會中,現實情況是,基於RISC的網路接口級別資產增強功能,加密開銷幾乎可以忽略不計。組織可以(相對)以相對較低的加密成本來降低延遲和性能,從而對這種世界中的數據保護有所不同。 當我想到物聯網安全性時,我會繼續回顧一個使我印象深刻的示例:如果宜家的團隊可以廉價出售具有基本隨機性,鎖定服務和最小平台的物聯網燈條,建立……我必須認為,我們當然可以在保健技術,工業控制系統和製造技術方面做得更好。 在治理方面,物聯網有潛力將資產管理問題在關注的10點範圍內提高到“ 11”。您如何定義授權設備?授權不受信任的設備將數據發送到系統?您認為什麼是託管設備?您的組織將如何制定條件訪問決策以使用,匯總和修改數據?“企業架構”(EA)必須成為有效治理計劃的一部分。在某些方面,作為一個行業,EA席捲了特定的架構分析師模型的興衰,但並未在許多組織中證明其價值案例。在當今的迭代數字世界中,架構和簡單性必須成為物聯網項目“最低可行產品”的一部分,以實現以後所需的規模。 我們無法像筆記本電腦一樣管理物聯網-這些設備的功能較少。取而代之的是,我們需要更多可肯定的方法,以可預測和定義的方式集成生態系統的各個組成部分,例如可信雲。打算在簡化的管理環境中使用的設備的默認期望應該具有高強度的加密,PKI驗證,並且內置在應用程序控制的鎖定範圍之外。 當您退後一步,將問題視為社會問題而不是特定公司產品或實施的縮影時,公共政策必須大規模地進入法律與手段的交匯處。我們必須解決困難的問題,例如責任的作用和商業激勵措施,以負責任的方式構建和部署設備平台。例如,當機器學習主導的物聯網決策造成災難時,誰負責?擁有公司?軟件供應商?系統集成商?以上全部?在公用事業和醫療保健等關鍵空間中,我們需要集中精力滿足某種級別的標準,以使設備具有最低的合理安全性。 即使在如此規模的情況下,對於圖論和機器學習主導的方法來解決諸如選舉等社會層面的設備挑戰,這也可能是一個好地方。它可以很容易地表達為數學形式,很容易識別出基因座和基線偏差。但是,我們需要來自政府或非傳統來源的投資,因為州/地方政府和教育部門的購買週期很長,而針對此問題的可用預算尚未證明此類技術變革的研發費用會增加。 即使在出現這些公共政策轉變的同時,本地化隱私法的更大傾向也為企業帶來了運營障礙。作為一個縮影,在印度數據本地化法中引入隱私保護措施代表了試圖以一種方法尋求平衡的許多不同利益。這給外部跨國公司增加了成本,因為他們創建了重複存儲,甚至減慢了數位化轉型,並拖慢了印度諮詢和業務流程外包經濟引擎的增長。您可以對CCPA或GDPR進行相同的分析,但是這些相同的措施可能有助於保護公民的隱私。 為了幫助公司應對這些挑戰,我們看到ENISA等組織和NCSC安全機構提供諮詢指導。這導致對合理實踐狀態的定義。當我們在27000系列,互聯網安全中心的前20名等ISO標準中添加此類實用維度時,我們將幫助組織了解IoT和安全性中實用安全性實用性的基本面。 在本系列的第二部分中,我們將探討加密犯罪的威脅,不久的將來網絡安全威脅的性質以及中小型企業可以採取的自我保護措施。 資料來源:https://securingtomorrow.mcafee.com/business/cloud-security/securing-the-unsecured-state-of-cybersecurity-2019-part-i/ |
