云安全评估
云安全评估
云安全既是一场冲刺赛,又是一场耐力赛。像冲刺赛的地方在于,安全团队必须迅速建立适当的防御措施,以应对短时间内的零日攻击和持续性威胁。像耐力赛的地方在于,安全团队需要定期评估和改善组织机构的安全态势,以化解新出现的和不断发展的威胁,并处理合规性监管。
虽然对于大多数运行在云上的组织来说,安全性是最为重要的,但是以正确的方式来处理云安全战略的开发也很重要。在高效地制定完整战略之前,不仅要把从投资者、技术到法律法规等一系列因素进行单独考虑,而且还要考虑各个因素之间的关系。
在本文中,我们分别介绍了六个领域,公司应该分析这六个领域来定义目前的安全态势。了解清楚一个组织现在的安全性处在什么水平,据此可以形成未来其需要处在什么水平上的一种理解,并且可以构建一个有效的战略来弥补中间的差距。
1. 投资者
根据所使用的技术,具体的实施过程以及所需预算的不同,不同的投资者可能会参与到云安全战略的不同部分中去。也就是说,只要能得到投资者的投资就能使云安全战略顺利实施。
要了解贵组织目前在人力资源方面的安全性,请提出下列问题:
- 目前组织中与安全有关的关键投资者是谁?
- 他们的责任是什么?关于谁做什么工作有什么疑惑吗?他们的责任有重叠的部分吗?
- 所有的投资者都能以一种流畅,连贯和高效的方式交流吗?
- 简化或合理化职责的机会有哪些?
- 有哪些职位是空缺的?
- 你需要雇佣更多的人吗?还是需要把安全战略中的某些方面外包给其它公司?
不仅在评估安全团队当前的状态时要考虑投资者,而且在着手构建云安全战略,选择正确的云安全解决方案,以及定义实现、操作和维持安全战略的过程同样也要考虑投资者。想要了解更多如何吸引投资者的信息,请看这篇文章。
2.漏洞
接下来,将会对贵公司现有的安全漏洞进行盘点。根据您所在的行业、组织、客户和数据的不同,安全漏洞可能会有所不同。对安全漏洞有一个清晰的了解有助于定义您在未来将如何塑造组织的云安全工作,这些工作包括将来需要实现的技术和流程。
下面是一些可以开始定义组织漏洞的问题:
- 组织现在有多容易受到攻击?你是怎么知道的?
- 组织最容易受到哪种类型的攻击?
- 您所在的行业作为整体正在解决什么样的漏洞?
- 在过去的一年左右出现了哪种意想不到的安全问题?
- 你还没有准备好面对哪种威胁?
因为从公司到公司、行业到行业的漏洞都有很大的不同,所以采用专门的方法来管理特定的漏洞是高效云安全战略的基础。
3. 遵从性
现今使用了众多的遵从性标准或法规,包括HIPAA,SOX,ISO,SOC2等其它的一些标准或法规。并且如果有需要维护的法规的话,您必须知道需要维护哪些法规。了解组织的遵从性需求将会帮助您确定安全战略中包括工作流,报告,底层技术等大量基本元素。
下面是一些评估贵组织目前遵守情况的问题:
- 组织应该遵守哪些法规?
- 为了确保遵守这些法规,目前做了哪些工作?
- 目前是如何报告遵从性的?
- 遵从性在哪方面落后了?
- 您是否面临过任何与遵从性有关的制裁或影响?
这一评估将有助于找出任何差距或有待改进的地方,以便您能够使用适当的安全技术和流程来系统地解决它们。从今往后,您可以有效地将兼容性问题集成到总体安全战略中。(关于如何简化成为兼容任务的讨论,请查看创建框架以便在云中实现遵从性。)
4. 优先顺序和目标
一旦检查完投资者,漏洞和遵从性需求,下一步就是对组织的安全目标和需求进行优先排序,以保持战略的专注和高效。这将使选择正确的技术和流程变得十分容易。
回答这些问题来帮助评估目前和未来的安全重点:
- 组织安全背后的业务驱动因素是什么(例如保护客户数据)?
- 什么类型的数据或信息必须受到绝对保护?它们现在被充分保护了吗?
- 什么样的安全故障会使公司陷入最危险的境地?
- 目前组织与云安全相关的目标是什么?
- 我们达到这些目标了吗?
- 这些目标在明年,三年后,甚至五年后将如何转变?
理解优先级将有助于确保所有的基础因素都包含在云安全战略中,并且能够在处理风险较低的问题之前处理风险最高的区域。
5.技术
随着一个组织的云安全需要不断变化和发展,评估使用云安全的技术是否继续保持下去是至关重要的。同样重要的是,要认识到当使用了太多的解决方案时,将会导致功能重叠,系统之间的间隙,臃肿的开销以及警惕疲劳等问题。
要开始总结当前贵组织中的安全堆栈,请回答下列问题:
- 为了保障安全目前已经使用了什么技术?
- 哪些技术在起作用?哪些没有?
- 有重叠或冗余的技术吗?
- 这些工具有很好的伸缩性吗?它们是否仍然符合组织的需要?
- 安全团队(以及任何相关的投资者)喜欢使用这些工具?
- 来自多个系统的信息容易关联吗?
- 您有考虑过一种一体化的集成平台吗?
对这些问题的回答将有助于决定保留和淘汰哪些技术,以及需要填补哪些差距。
6. 流程
安全流程将努力与结果挂钩。认真审视组织中现有的安全流程有助于发现改进效率的机会。
特别地,你应该问这些问题:
- 目前有哪些用于安全的流程?
- 它们起作用了吗?为什么起作用了或者为什么没有起作用?
- 合适的人选参与到事件检测和事件响应上了吗?
- 人们在安全上花费了多少时间?(花费的时间太多了还是太少了?)
- 任何领域都可以精简吗?
解决程序上的问题也将有助于简化新技术的实施和操作,同时这也将使得每个投资者的工作更加明确和直接。
还有一件事:在检查流程时,不只是考虑安全性本身。通过询问安全流程是否与开发团队和运维团队进行了整合,以确保这三个领域都协同工作,这样您的组织就能以云速安全地增长和操作。
实施成功的云安全战略
评估组织安全态势最好的方法是通过评估本文中提到的六个领域,有条不紊地创造一个清晰且详细的场景。在这项工作结束时,安全团队将知道,与实施云安全战略后应该处于何种水平相比,组织的安全性目前处于何种水平。因此他们能够在与开发团队和运维团队高效整合的同时,实施一种涵盖所有安全基础的包含战略。
想要了解更多关于如何实施一个成功适合组织独特需求的云安全战略,请查看我们的云安全策略。