亚洲步兵一区二区三区,97视频精品久久观看,国产巨作在线无遮挡,亚洲AV无码不卡私人影院

“由內(nèi)而外”地看待網(wǎng)絡(luò)安全：四大理由

2019年03月29日

著名的軍事家和哲學(xué)家孫子曰：“知彼知己者，百戰(zhàn)不殆?！眱汕昵暗倪@句名言放在時下網(wǎng)絡(luò)安全格局里是再恰當(dāng)不過的了。私營部門和公共部門的安全領(lǐng)導(dǎo)者往往會忽略一些自己已經(jīng)擁有的網(wǎng)絡(luò)防御能力的基本問題。就網(wǎng)絡(luò)安全領(lǐng)域而言，這可以歸結(jié)為以下的問題：“我是否知道我的內(nèi)部控件在以應(yīng)有的工作方式運作?我們的網(wǎng)絡(luò)狀況是否安全?”

了解內(nèi)部弱點和漏洞在時下尤其重要。公司處于非活動期間時(例如美國最近的政府停擺時)，一些組織特別容易發(fā)生數(shù)據(jù)泄露。安全證書可能在非活動期間到期了，代理在此期間更虛弱更容易受到各種威脅的攻擊。而且由于需要處理大量的積壓工作，安全團隊也無暇處理基本的安全任務(wù)。

要真正做好應(yīng)對網(wǎng)絡(luò)威脅的準(zhǔn)備，各組織就必須開始實施由內(nèi)而外的安全視圖，同時要注重網(wǎng)絡(luò)的凈化。

網(wǎng)絡(luò)核心的凈化

傳統(tǒng)上業(yè)界的公司都傾向于基于以下的假設(shè)管理網(wǎng)絡(luò)安全：供應(yīng)商的產(chǎn)品正常運行及產(chǎn)品的部署和配置是正確的。

但在驗證組織的網(wǎng)絡(luò)防御信息是否準(zhǔn)確以及驗證無間隙或錯誤信息方面卻存在欠缺。代理商需要以連續(xù)的方式驗證控件，而不是將安全性測量視為單個快照。

美國國土安全部(DHS)最近通過推廣持續(xù)診斷和緩解(CDM https://www.dhs.gov/cdm)計劃也在強調(diào)這方面的工作。 CDM敦促政府機構(gòu)通過持續(xù)監(jiān)控達到實時了解自己的安全系統(tǒng)的目的。要拋棄靜態(tài)的滲透測試或?qū)徲嬣D(zhuǎn)用持續(xù)監(jiān)控，因為持續(xù)監(jiān)控可以在更長的時間里更全面地了解系統(tǒng)。如此代理商就可以針對控制是否可以保護關(guān)鍵資進行量化和驗證。而同時，安全領(lǐng)導(dǎo)者和團隊也可以使用更有意義的指標(biāo)來管理自己的網(wǎng)絡(luò)安全計劃，可以推動決策的制定、優(yōu)化運營并最終改善自己網(wǎng)絡(luò)的狀況。

“由內(nèi)而外”地看待網(wǎng)絡(luò)安全

盡管諸如CDM等計劃取得了一些進展，但持續(xù)監(jiān)控仍需要解決方案實施的驗證以及有關(guān)的數(shù)據(jù)。因此，私營公司和政府機構(gòu)亟需采取以下“由內(nèi)而外”的網(wǎng)絡(luò)安全方法：

1、確定攻擊生命周期里漏洞的精確點

第一個漏洞點是組織自己的人員。安全領(lǐng)導(dǎo)者應(yīng)該集中精力幫助自己的團隊了解團隊所需保衛(wèi)的網(wǎng)絡(luò)特定部分里攻擊者的行為。然后就是要通過測試事件響應(yīng)過程而達到測試防御的目的。測試成員是否知道應(yīng)該給誰打電話以及如何量化他們所看到的有關(guān)內(nèi)容?他們是否將釣魚郵件轉(zhuǎn)發(fā)給了正確的收件人?安全領(lǐng)導(dǎo)者在了解了團隊如何應(yīng)對實踐場景中的威脅后就可以確定要在哪些方面加強防御。

2、權(quán)衡網(wǎng)絡(luò)安全投資的投資回報率

政府花納稅人的錢時需謹而慎之，企業(yè)則須確保建立與合作伙伴和客戶的信任。組織必須在考慮網(wǎng)絡(luò)安全投資時驗證預(yù)期的投資回報率是可行的而不是假定預(yù)期的投資回報率是可行的，這一點尤為重要。安全領(lǐng)導(dǎo)者需要數(shù)據(jù)才能準(zhǔn)確地顯示安全漏洞位置以及要在何處做更多的投資。

3、要采取基于風(fēng)險的決策而不是基于合規(guī)性的決策

傳統(tǒng)模型在權(quán)衡網(wǎng)絡(luò)安全有效性時傾向于采用基于孤立的和基于合規(guī)性的做法，因此網(wǎng)絡(luò)安全措施是在不同的企業(yè)渠道中進行管理，而且重要的數(shù)據(jù)未被充分地利用。這也往往會導(dǎo)致“清單”心態(tài)，這可能會令公司容易受到攻擊。所以要反其道而行之，網(wǎng)絡(luò)安全必須與組織的最大風(fēng)險和關(guān)鍵任務(wù)業(yè)務(wù)需求保持一致，要確保關(guān)鍵任務(wù)業(yè)務(wù)所用到的產(chǎn)品可以提供全面且可操作的洞察。

4、需確定哪些技術(shù)可以進行改進、哪些技術(shù)可以從堆棧中刪除

網(wǎng)絡(luò)安全人員需要管理許多產(chǎn)品。重要的一點是，需要驗證環(huán)境里哪些產(chǎn)品可以運作及哪些產(chǎn)品不能運作。適合一家公司的解決方案可能不適合另一家公司。要確定哪些技術(shù)產(chǎn)品可以提供最大的價值及哪些產(chǎn)品適合當(dāng)前的架構(gòu)，如此就不會購買多余的產(chǎn)品。以自動方式映射安全控件也可以更輕松地標(biāo)出及列出可識別的威脅。

知己知彼之知己

用由外而內(nèi)的方式處理安全問題時做的是試圖拒入侵于外部。而由內(nèi)而外的方法則是利用基于風(fēng)險的策略先確定最重要的應(yīng)用程序達到保護關(guān)鍵任務(wù)數(shù)據(jù)的目的，而基于風(fēng)險的策略則是聚焦于最有價值和最脆弱的資產(chǎn)。采用由內(nèi)而外的方法應(yīng)對網(wǎng)絡(luò)安全不是件容易的事。但預(yù)算在不斷飆升——盡管數(shù)據(jù)泄露事件還是不斷發(fā)生，安全領(lǐng)導(dǎo)者必須將安全與問責(zé)掛鉤。不管是政府部門還是私營部門，歸根結(jié)底都是一個企業(yè)，由內(nèi)而外的方法是最具商業(yè)意義的方法

江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)、動漫設(shè)計、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型，從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案，業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。

江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。