首席信息安全官應(yīng)該回答的3個云安全態(tài)勢問題

如今，爭論是否采用云計算技術(shù)的日子已經(jīng)結(jié)束了。大多數(shù)企業(yè)都將業(yè)務(wù)遷移到云計算平臺中，遷移了應(yīng)用程序、數(shù)據(jù)和服務(wù)，以響應(yīng)技術(shù)的進(jìn)步和業(yè)務(wù)轉(zhuǎn)變。

隨著消費者期望和技術(shù)的發(fā)展繼續(xù)影響企業(yè)收集、存儲和共享有價值數(shù)據(jù)的方式，保護(hù)數(shù)據(jù)免受現(xiàn)有和高級的持續(xù)威脅的工作變得更加復(fù)雜。

首席信息安全官必須準(zhǔn)備好幫助IT團(tuán)隊和安全團(tuán)隊?wèi)?yīng)對不斷變化的云安全威脅。以下是每個首席信息安全官都應(yīng)該回答的關(guān)于云安全態(tài)勢的三個問題。

1.企業(yè)的風(fēng)險偏好是否與云計算策略一致?

企業(yè)需要了解自己的風(fēng)險偏好，這是一個很好的機(jī)會，但是從云計算策略的角度考慮風(fēng)險偏好是很重要的，因為云計算運營模式固有地引入了新的安全風(fēng)險。

許多因素會影響企業(yè)的風(fēng)險偏好，其中包括以下因素：

·行業(yè)監(jiān)管和合規(guī)情況;

·全體員工的知識和經(jīng)驗;

·員工人數(shù)和地點;

·硬件、軟件現(xiàn)代化狀況;

·IT和業(yè)務(wù)目標(biāo);

·治理過程和程序的成熟度;

·先前的網(wǎng)絡(luò)威脅事件;

·獨特的客戶基礎(chǔ)。

各個行業(yè)組織的風(fēng)險偏好都是不同的，例如醫(yī)療設(shè)備初創(chuàng)公司的首席信息官與傳統(tǒng)銀行的首席信息官有著不同的風(fēng)險偏好。

一旦企業(yè)建立了風(fēng)險偏好概況，就要評估該度量是否與企業(yè)的治理、風(fēng)險和合規(guī)性需求相一致。

云計算戰(zhàn)略和網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)該同步運行。至少，IT安全團(tuán)隊?wèi)?yīng)該理解不同的云部署模型帶來的挑戰(zhàn)。他們還應(yīng)該接受云安全最佳實踐方面的教育，包括支持資產(chǎn)管理可見性的云原生安全平臺。

如果網(wǎng)絡(luò)安全戰(zhàn)略和云計算戰(zhàn)略不一致，那么是重新審視這兩方面的時候了。

2.企業(yè)的網(wǎng)絡(luò)安全模型是否足夠成熟和是否適合云計算?

根據(jù)企業(yè)的安全能力和先前的投資，這個問題可能很難回答。

將云集成到現(xiàn)有的企業(yè)安全程序中并不是要添加更多的控件或工具。這需要對企業(yè)的資源和業(yè)務(wù)需求進(jìn)行評估，以便為其企業(yè)文化和云安全策略開發(fā)一種新的方法。

管理內(nèi)聚混合云或多云安全程序，建立可見性和控制，并通過有效的威脅管理編排工作負(fù)載部署。

使用正確的工具獲得可見性對于每個安全團(tuán)隊來說都是至關(guān)重要的。然而，首席信息安全官在監(jiān)督日常安全操作時并不知道確定云安全模型是否足夠成熟。與其相反，答案應(yīng)該在很大程度上取決于安全態(tài)勢管理評估的結(jié)果。

在持續(xù)的基礎(chǔ)上進(jìn)行安全態(tài)勢管理演習(xí)。這種評估旨在通過持續(xù)的監(jiān)控和審計，提供有關(guān)企業(yè)現(xiàn)有安全操作方案和總體違約準(zhǔn)備情況的可操作情報。

并非所有的網(wǎng)絡(luò)安全模型都是為支持當(dāng)今的云計算運營模型而設(shè)計的。安全態(tài)勢管理工具可以自動識別和糾正跨云基礎(chǔ)設(shè)施環(huán)境的風(fēng)險，包括IaaS、PaaS和SaaS。此外，企業(yè)可以使用云安全態(tài)勢管理進(jìn)行風(fēng)險可視化和評估、事件響應(yīng)、合規(guī)監(jiān)控和DevOps集成。這種評估還可以將云安全的最佳實踐統(tǒng)一應(yīng)用到混合云、多云和容器環(huán)境中。

通過花費時間評估云網(wǎng)絡(luò)安全模型的成熟度，企業(yè)更接近于預(yù)測IT團(tuán)隊和安全團(tuán)隊可能需要采取的措施，以保護(hù)數(shù)據(jù)不受下一個技術(shù)進(jìn)步或消費者行為變化的影響。企業(yè)離優(yōu)化安全策略以符合云計算相關(guān)業(yè)務(wù)需求又近了一步。

3.企業(yè)的網(wǎng)絡(luò)安全模式左移了嗎?

安全左移涉及在整個應(yīng)用程序開發(fā)生命周期中整合網(wǎng)絡(luò)安全措施和測試最佳實踐。其目的是在過程中更早地識別和修復(fù)安全漏洞。這種方法需要在DevSecOps思維和能力上進(jìn)行投資。如果實施得當(dāng)，它可以加快上市時間，同時節(jié)省時間和費用。

以下是評估DevSecOps成熟度的問題:

·企業(yè)的云環(huán)境是否優(yōu)化了配置以通過自動化降低風(fēng)險?

·企業(yè)是否采用了“基礎(chǔ)設(shè)施即代碼”、“安全即代碼”或“合規(guī)性即代碼”的框架，將安全威脅建模納入到架構(gòu)設(shè)計中?

由于敏捷開發(fā)最佳實踐的流行和云計算技術(shù)的進(jìn)步，應(yīng)用程序開發(fā)已經(jīng)經(jīng)歷了這種左移。例如，自動化持續(xù)集成/持續(xù)交付測試、容器平臺和易于使用的公有云供應(yīng)資源都變得越來越普遍——擴(kuò)展檢測和響應(yīng)、安全編排、自動化和響應(yīng)工具也是如此。這些工具可以處理日常的安全操作中心警報，編排適當(dāng)?shù)捻憫?yīng)，并對服務(wù)票據(jù)基礎(chǔ)設(shè)施進(jìn)行分類，以便對事件進(jìn)行解釋，而無需人工干預(yù)。

隨著應(yīng)用程序開發(fā)和安全操作變得更加自動化，這種左移的轉(zhuǎn)變將繼續(xù)獲得動力。確保企業(yè)網(wǎng)絡(luò)安全模型跟上發(fā)展潮流。