CIO宝典之IT安全的几条最佳实践

      虽然每家公司缓解安全风险的控制措施大不一样,但这几条最佳实践将把安全纳入你的信息管理和应用生命周期中。即使你只采用其中的一两条,也会大大提高对信息安全的了解程度,而且更有可能在时间和资源投入方面做出明智决策。

  自我评估

  这一步既迅速、又花费不多。

  你只要与负责应用开发的副总裁开一次简单的会议,请对方列出某个软件开发流程的不同阶段,然后问对方在每个阶段如何处理更安全,确定这些活动的结果是不是适用于你的风险管理流程;如果结果不适用,你就可以考虑采用不同的评估指标。而大多数情况下,你得到的答案会是“嗯,我们刚开始考虑如何把安全纳入应用开发,所以目前其实没有任何具体的东西可以给你。”

  而这个时候就是你与开发团队讨论需求的理想时机。

  这时你只需要一份简单的核对表,就可以迅速进行差距分析(gap analysis),了解你在信息和应用安全成熟度模型上所处位置。

  威胁建模也是自我评估过程中一个的重要步骤。公司层面和应用层面的威胁建模是风险分析及风险管理的一部分,可以确定对贵公司而言最大的威胁在何处——定义一组攻击或者负面场景,然后评估每种威胁的概率、潜在危害、严重程度以及对公司的影响。这种方法可在任何阶段(如设计到部署阶段)运用;运用得越早,带来的回报就越大。

  威胁模型开发出来后就成了贵公司的具体、永久的资产。如果检测到新的漏洞或者威胁,你可以重复使用威胁模型,确定风险是有所增加、减少还是没变。

  重视应用安全

  虽然有人担心厂商和媒体在应用安全方面有炒作之嫌,但应用安全确实值得重视。我们可以从一连串新闻事件中发现它的重要性:Lexis-Nexus公司的数据泄密、零售商TJX近期出现的问题,甚至T-Mobile和CardSystems遭遇的风波,这些信息安全事件都是应用安全漏洞引起的。

  那么,如何辨别这是炒作还是真实危机?一个要点就是关注应用层。据Gartner集团声称,网络层和系统层的安全漏洞在漏洞总数中所占比例不到30%;而据美国标准与技术研究所(NIST)声称,这个比例不到10%。

  另外要考虑到:网络安全比应用安全成熟得多;你在这方面的投入可能已经比在应用安全方面的投入多出几个数量级。如果应用安全的投资不是至少是网络安全投资的两三倍,那么你在缓解的漏洞数量就会出现不平衡。

  接下来可以考虑何处、何时落实应用安全成本最大。大约两年前,IDC和IBM两家公司联合开展了一项调查,列出了软件开发生命周期中解决问题所需的成本。结果发现,假如设计阶段发现了缺陷,修复成本为1X;那么编码阶段发现同一个缺陷,成本为6.5X;如果在部署前的测试阶段发现,成本为15X;如果部署之后被客户发现,成本高达100X。

  牢记这一点:这只是考虑了用来解决问题的时间和人力(内部成本);甚至还没有考虑声誉受损、修补及部署的成本以及安全缺陷通常带来的其他损失(如市场份额和股价下跌)等因素。

  多提棘手问题

  向商家采购软件之前,可以向对方问这些实用问题。你在开发及维护公司使用的应用软件时,也要向自己问同样的问题。最后,也可以利用这些问题完善你与外包合作伙伴(尤其是软件开发合作伙伴)签署的服务级别协议。

  供参考的问题如下:

  •你的漏洞响应流程是什么?

  •你的补丁发布战略是什么?

  •你使用哪些方法向客户通知漏洞?

  •你为产品的安全部署/维护提供哪些指导?

  •你的开发团队得到什么样的安全培训?

  •你同时给所有版本的应用软件打上补丁吗?

  •你的安全支持协议有什么样的条款和期限?

  •你在软件开发生命周期的每个阶段(需求、设计、编码、测试和部署)都评审安全吗?

  •你聘请独立的第三方公司对产品进行安全评估吗?

  成立“红色战队”

  红色战队来自军事领域。这里是指,你专门派一个小队(通常是两三个人)充当攻击者,由内部的道德黑客组成。

  他们的任务是攻击你的应用系统和网络,好像他们是坏人。不要让他们仅仅充当“外人”。内部威胁往往更容易被忽视;如果你从内部用户的角度模拟攻击场景,会有许多发现。

  如果你没有成立红色战队的资源或者技能,许多第三方咨询公司可以替你做这项工作。从最关键的应用软件开始,然后对不同风险大小的系统进行测试。

  教育你的团队

  这一做法的意义和重要性再怎么强调都不为过。大多数公司在这方面遇到的难题分为两方面:如何最有效地教育团队,他们可能分散在不同地区,有着不同技能;对哪些团队进行安全培训最有成效。

  决定哪支团队进行培训(或者按什么顺序来培训),这完全取决于贵公司的具体情况。不过,我在最近帮助几家公司成功推行安全意识计划后,注意到了几个关键的成功因素:

  •管理人员的支持――安全意识可能会导致贵公司的行为和政策发生变化。为了出现积极变化,管理人员必须参加进来。如果确保计划当中有些方面吸引管理人员、从而让他们支持变革,那再好不过了。

  •确保政策得到执行――制订内容清晰、易懂、通行及可以评估的政策。自然,政策需要体现公司、威胁和监管等环境。除了顾及安全事件给公司可能带来的财务和声誉方面的影响外,意识和培训计划还不能忘了遵守政策的重要性。

  •评估及报告――利用定性指标和量化指标来获得反馈;评估及比较安全意识和培训计划的成效。最重要的是,把这些指标和结果(无论好坏)告知管理团队,以便获得他们的看法、支持和深刻见解。

  尽量不要把教育只放在安全意识方面,还要为欠的工程师、审计员及其他人提供技术安全培训。这种培训更难进行,不过一些出色的安全专家能够通过灵活多样的方式(如远程学习)为管理人员和技术人员提供培训。