以上内容纯属今日交流的有感,仅代表个人观念和感想。
长久以来,网络安全技术产品和市场需求都聚焦于在“右侧”防护,即在各种系统、业务已经投入使用的网络环境外围或边界,检测进出的流量、行为等是不是存在风险,并对其进行管控或调整。
![安全左移与右侧的防护]( "探讨!安全左移与右侧的防护,今日有感。")
网络安全服务是都是对已经形成了的信息化环境,扮演着亡羊补牢的消防员和维护者。
然而事实上,安全风险不仅是“跑”起来之后才会产生,在业务流程的设计中、某个应用服务的编码中、内部数据的交换中等等早期阶段就可能出现缺陷,如果仅仅在后期查缺补漏围追堵截,成本、效率和效果都不够理想。
鉴于网络安全的木桶效应,“左侧”的安全短板逐渐引起安全行业和企业用户的共同关注,安全左移的思想迅速形成业界共识——人们需要将安全能力注入到业务流程的上游,并尽可能覆盖全生命周期,以便更早地发现并解决潜藏的风险点。
安全左移是一个相对的概念,我们认为,较之于传统的右侧防护,将安全能力前置的策略和措施都包含着安全左移的思想,考虑到网络安全体系的庞杂,需要保护的对象众多,其实远不止软件开发领域,针对安全左移的应用场景拥有非常广阔的空间。
讲到软件设计的前置安全考虑就考虑到了供应链安全,相关的内容还请各位粉丝看如下文章
作为软件供应商、网络安全产品与服务商、三方测评等多方参与的网络安全生态,应该共同一致的观念是为了网络更安全,应当促成更多的新建系统本身的安全属性,而不是因为不安全所以才有商业化的机会。
作为需求方和建设方,我们应该有清晰的认知,就是我们建设的系统一定是在设计阶段就考虑到了安全属性,而不是等系统上线以后,去做逻辑缺陷的修正,无论从成本、实施难度、业务连续性多个角度都是一种成本的增加,有可能造成资源的浪费。
提倡左移不是否定右侧的工作,右侧的工作是需要的有必要的,所以我们尽可能在左侧考虑到安全属性,能更好的减少右侧上的资源浪费,和对工作的影响。
明确管理工作的重点目标:企业在开展网络安全管理工作时,应首先确定那些可能危及网络完整性的基础性风险,并清楚地了解希望通过网络安全管理实现的目标。这可能包括防范数据泄露、识别配置错误或监控违规行为等。明确的工作目标将有利于指导接下来的网络安全管理工作。
全面摸清企业的网络资产情况:网络资产识别是做好网络安全管理工作的基础,只有全面了解网络中所有的资产,才能更好地进行网络安全管理。网络安全管理策略必须覆盖网络上的所有资产,并考虑与所有资产相关的网络安全风险。
建立统一的管理框架:网络安全管理包含了管理措施、人员安排、评估考核、安全培训等多方面工作。建立统一的网络安全管理框架,能够为用户提供一种可靠方法,以帮助其实现网络安全建设计划。
资产管理:建立企业资产和软件资产管理政策,使用工具如服务台软件、IT资产管理(ITAM)工具、IT库存管理工具等,确保对所有资产进行跟踪和管理。
数据管理:执行数据管理流程政策,编制敏感数据的清单,并加密数据以保护机密性。使用治理、风险与合规(GRC)工具、数据防丢失(DLP)工具等。
安全配置:确保系统的安全配置正确,防止配置错误导致的安全漏洞。
账户和访问控制管理:建立严格的账户和访问控制管理机制,确保只有授权的用户才能访问系统资源。
漏洞管理:定期检测和修补系统中的漏洞,防止被利用。
日志管理:记录系统操作日志,以便在发生安全事件时进行追踪和分析。
恶意软件防御:安装防病毒软件和防火墙,防止恶意软件的入侵。
数据恢复:建立数据备份和恢复机制,确保在系统遭受攻击后能够快速恢复。
安全培训:定期对员工进行网络安全培训,提高他们的安全意识和操作技能。
通过以上措施,企业可以在系统建设初期就考虑到网络安全问题,从而降低后期可能面临的风险。
原文始发于微信公众号(三沐数安):探讨!安全左移与右侧的防护,今日有感。
评论