2018 Gartner安全与风险管理峰会:安全管理者要注意哪些问题?

每年六月,Gartner 都会在华盛顿附近召开 Gartner 安全与风险管理峰会。 这场峰会主要面向 CISO、首席风险官、建筑师、IAM 和网络安全领导等高级 IT 和安全专业人员。 今年,有超过 3000 名与会者,120 场分析师会议可供选择,还有 200 名供应商参加了展会并发表演讲。

今年 5 月底正式生效的 GDPR 无疑成为了会议的热门议题,区块链也有颇多讨论。但纵观整个峰会,分析师们更加强调的是“回归本源”,注重基础设施、开发过程中的安全性。

本源很重要

许多分析师都在会上谈到了数据相关的问题。GDPR 生效之后,数据不断升值。 Gartner 研究总监 Brian Lowans 在会议上抛出了“数据已经成为新一类石油”这个观点,强调了数据的重要性,并分享了 Gartner 关于“数据安全状况”的分析结果。当前形势下,建立一个管理结构并让各个组织共同协作,有助于识别数据、将数据分类并采用战略性方法保护数据。 一些分析师使用了相同的图表(如下图)来表明,黑客攻击导致的数据泄露持续增长,而内部威胁和意外泄露等问题则比较平稳。基于这种趋势,可以采取针对性的手段来确保安全。

此外,Gartner 研究总监 Gorka Sadowski 和 Pete Shoard 还展示了 2018 年的威胁状况(见下图)。 回顾威胁状况不仅能展示新攻击媒介、脚本小子工具和韩国黑客带来的噩梦般的攻击场景,而且有助于控制风险 。 通过类比来看待“风险”,可以发现人工可以控制以及无法控制的部分。而利用那些可控的部分,就能减小风险。

我们通常无法预防威胁,但是,我们可以通过搭建良好的基础设施,来降低已知漏洞的风险,最好是为业务制定“优先处理风险进而处理漏洞”的策略。这个策略也是整场峰会几天来一直持续的主题。 以现场讲解的“通过代码库中的恶意软件注入将恶意软件传播到组织代码中”为例,演讲者不仅在 GitHub 中演示了详情,还列举了一些自我保护的方法。例如:不使用开源代码改变流程并在使用代码之前检查 MD5 值。 代码签名是避免泄露的简单而有效的方式,但它必须通过流程或技术来执行。因此,执行过程中可能出现问题,而安全研究员必须尽力在这个过程中来降低风险,确保安全。

DevOps 行之有效

Trend Micro 云研究副总裁 Mark Nunnikhoven 表示:DevOps 一直在被滥用,导致这个词失去了原本的意义。目前已经有很多 DevOps 工具,不少组织还推出了专业“DevOps 人才”,但 DevOps 的核心其实是平衡组织内部的开发和运营环节。

DevOps 重点关注人员、流程和产品,并已经在企业和交付环节持续取得成功,获得良性反馈和循环。从安全角度来看,DevOps 有助于创建“一种协作文化,通过减少生产环境的变化来降低风险”。

Nunnikhoven 说,公司如果能反应迅速,做出更小的变更,就能降低风险。以前,较大的组织部署可能包含数千行代码,从中找出漏洞根源可能很难。但是,随着 DevOps 发展出更多形态,企业可以每天多次部署,推出多次小的更新,舍弃以前一次性发布的较大更新。最重要的是,安全应当嵌入到开发过程中,不能作为一个额外的审计步骤。

这就要求安全部门需要发挥真正的作用,提高员工对 DevSecOps 的认识,打破孤岛,让安全团队更早地成为开发流程的一部分,让更多问题在生产中就能捕获,从而降低产品发布后的风险。

安全融入用户体验

数字化时代,越来越多的用户开始重视个性化体验,安全领导者若想成功,也需要重视这一点。Gartner 研究副总裁 Leigh McMullen 在峰会上表示,虽然作为安全人员希望事事都在掌控之中,但是人往往是不受控制的因素。因此,安全领导者在与业务部门沟通时以及在推出安全产品时,可能要改变参与方式,适当放弃控制来获得话语权,让领导者真正重视安全问题。在这一部分,他们所指的用户主要是企业组织的高管与领导者等。

安全不应该破坏用户体验,但很多情况下安全的确妨碍了良好的用户体验。 用户,以及企业中的每一个人,都希望他们的付出获得相应的回报。如果你的用户体验不好,就可能被用户淘汰。

Gartner 表示,安全和风险领导者可以通过五种方法来提升用户(高管)体验:

与管理者谈谈安全这件重要的事情:Gartner 分析师表示,研究表明,对风险和安全的担忧会对创新产生重大影响。很多组织因为担心安全问题而放缓脚步,安全领导者需要与企业高管谈论安全对于高管所看重的业务的影响,让他们意识到业务需要依赖于安全。同时,如果能够提升高管对于风险与安全的意识及容忍度,就能让公司发展得更快,实现商业价值。

通过基于运营的风险评估策略帮助高管做出决定:Gartner 建议,安全领导可以从一个业务流程开始,与执行该流程的人面谈,进而让业务进行得更加顺畅;

做好防御,让高管有方案可选:企业高管一般不直接管控技术风险和安全。但是,当一个组织遭到黑客攻击时,公众依然希望高管能为安全漏洞后果负责。因此,最好为高管设计特定的防御策略,以防在真正遇到问题时手足无措;

不要谈论纯技术内容:高管往往更关心业务而非具体的技术,因此在与高管对谈时,最好不要谈论纯技术内容,而是应当尽量抽走技术,根据业务成果做出决策,让决策更加可靠。

把项目管理改为产品管理:项目管理是安全领导一直以来的事情。他们优先考虑和资助活动。例如,项目管理流程包括开始、执行、实施、验收测试、集成和部署等,往往有开始和结束周期。而产品管理则是连续的环节,大多围绕业务流程进行组织,同时为相关业务流程提供 IT 支撑。产品管理没有具体结束日期,会在产品生命周期中不断把控、保护、管理。

做好这几项,就能提升用户(高管)体验,让组织在安全方面做得更好,实现安全管理者的目标和责任。

参考来源:

https://www.businesswire.com/news/home/20180607005836/en/Gartner-Identifies-Steps-Security-Leaders-Implement-Create https://www.ciodive.com/news/why-devops-is-the-answer-to-reducing-security-flaws-and-risk/525149/ https://securityboulevard.com/2018/06/gartner-security-risk-management-summit-2018-trip-report/

*作者 AngelaY,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏钱塘大数据

工业物联网与大数据融合的四个重点

导读:很多的制造性企业早已获得了大量的数据以及数据采集的相关经验,随着成熟度日益上升,加之使用案例的延展,制造性企业在享受过去的成果的同时,也在慢慢掌握并且启用...

5028
来自专栏速成应用小程序开发平台

微信小程序最新盈利模式 你的企业或店铺是否已经开启了?

今年以来,新零售备受瞩目,但是绝大部分人仍然不清楚马云所指的“五新”具体是什么,但理解了小程序,似乎新零售三个字,理解起来就简单多了。

3185
来自专栏安恒信息

浅谈云计算以及私有云服务的优势和问题

最近几年除了网络热词不断的出现,IT领域也冒出了许多新鲜的名词。“云计算”、“大数据”、“物联网”等“热词”也越来越频繁的走进我们的视线。现在我们着重讨论这...

5326
来自专栏互联网数据官iCDO

如何衡量品牌营销效果?

译者:骆姿亦 审校:董梁 本文长度为1865字,预估阅读时间4分钟。 关键词:品牌知名度、品牌价值、响应率、转化率 I.W. Lynett曾说过,应对变化最...

3455
来自专栏云计算D1net

风起云动 四点让云计算引发全球变革

技术的进步来自源源不断的创新,而我们的日常生活和工作也会被这些创新所改变。从移动互联到智能设备,创造性和实用性并存的设备不断调整我们的行为。而这一趋势依然存在,...

3418
来自专栏ThoughtWorks

IoT与智能时代|商业洞见

[摘要] IoT(物联网)是一个由来已久的科技趋势,以往它只是一个流行的概念词,缺少实际的案例支撑。但是随着智能科技的成熟,硬件设备有可能作为人工智能的数据源泉...

3313
来自专栏云市场·精选汇

小程序给我们带来了哪些改变

以前你的手机里可能安装了很多APP,有些APP根本就不常使用,但如果卸载了又可能用得上,重复安装显然很麻烦。所以你只能留着这些使用频率低的APP,任由它们占据手...

1133
来自专栏企鹅号快讯

物联网云平台及其未来发展前景

物联网云平台处于物联网四个逻辑层(感知层、网络层、平台层、应用层)中处于平台层这一环,平台层于物联网的作用在于收集、处理数据等。根据云平台的功能将其分为CMP、...

51010
来自专栏人工智能

机器人是人工智能的完美搭档

近20年来,人工智能通过更强大的硬件实现了更快的运算,能够在更短的时间处理更多的信息。更重要的是,随着计算机由单机时代进入互联网时代,整个互联网都能够为人工智能...

1919
来自专栏人称T客

新版支付宝集成公众服务和IM,该如何看待

自从来往败兴而归之后,阿里一直没有放弃移动IM这块肥肉,此次卷土重来,从影响力最大的支付宝平台入手,再入国内IM战局,一是想抵抗微信的垄断地位,二是阿里想在IM...

3587

扫码关注云+社区

领取腾讯云代金券