COMENTARIU

Am avut plăcerea de a vorbi cu sute de echipe de securitate, iar cea mai mare greșeală pe care am văzut-o este că adesea confundă achiziția de instrumente cu gestionarea programului, ceea ce înseamnă că adesea se gândesc la instrumentul care conduce programul, mai degrabă instrumentul fiind o parte. a programului. În loc să se concentreze asupra instrumentului, echipele de securitate ar trebui să se concentreze asupra a ceea ce înseamnă pentru ei un program de securitate și a ceea ce încearcă să realizeze. Mai jos, vă împărtășesc informații care vă pot îmbunătăți strategia de securitate cibernetică.

Concepțiile greșite și limitările instrumentelor de securitate cibernetică

Neplanificarea unui program de la capăt la capăt poate duce la eșec. A fi capabil să detectezi ceva, dar să nu faci nimic în privința asta, nu este util. Prea des, echipele de securitate cad în concepția greșită că un instrument de securitate este un program de securitate cuprinzător. Dar îi putem da vina?

Instrumentele de securitate cibernetică sunt ambalate pentru a fi atrăgătoare: tablouri de bord elegante, integrări, API-uri, suport în mai multe limbi, promisiunea de a găsi totul. Aceste caracteristici dau iluzia unui pariu sigur pentru securitate. Echipele de securitate cumpără aceste instrumente așteaptă, apoi sperând, rugând în cele din urmă, că pariul lor va da roade. 

Încălcarea insectelor cunoscute

Organizațiile au nevoie de obicei de săptămâni până la luni pentru a remedia o vulnerabilitate software. Și mai uimitor, într-o treime din breșe de securitate, remedierea de securitate în așteptare era cunoscută înainte de a fi exploatată. De ce? Acest lucru se datorează adesea că biletele de securitate cad în prioritate din cauza incapacității de a conduce un program semnificativ de gestionare a vulnerabilităților și de a obține acceptarea părților interesate. 

Cele mai bune practici pentru construirea de programe eficiente de securitate cibernetică

Institutul Național de Standarde și Tehnologie (NIST) definește a program de securitate „ca menținerea conștientizării în mod continuu a securității informațiilor, a vulnerabilităților și a amenințărilor pentru a sprijini deciziile de gestionare a riscurilor organizaționale.” Un program de securitate răspunde: de ce, ce să facem, când, cum și cine. Simplifică aceste răspunsuri transformându-le în politici și instrucțiuni pe care să le urmeze toată lumea.

„În organizația mea”, mi-a spus un fost ofițer șef de securitate a informațiilor (CISO), „nu am dat undă verde pentru achiziționarea niciunui instrument până când a fost stabilit un plan de remediere pentru instrument”. Acest fost CISO înțelege că gestionarea bine a securității înseamnă gestionarea programului de securitate, care, la rândul său, este gestionarea, menținerea și construirea unei culturi de securitate. Pentru a fi eficient, trebuie să încorporați programul de securitate în fiecare nivel al afacerii.  

Sfatul meu: înainte de a cumpăra un instrument precum SAST, puneți bazele unui program de securitate.

Există atât de multe modele și definiții de amenințări, încât poate fi copleșitor. În schimb, păstrați-l simplu pentru a începe. Utilizați această formulă încercată și adevărată:

program = instrument + oameni + procese + obiective

Dacă faceți acest lucru, veți evita concepția greșită că un instrument este un program. Aceste bune practici susțin programele de securitate cibernetică mai eficiente, care sunt rezistente, adaptabile și capabile să remedieze erorile. 

În următoarele două secțiuni, vreau să menționez două părți importante și adesea trecute cu vederea din această ecuație care ar putea fi înțelese greșit.

Implicarea părților interesate în programele de securitate

Implicarea părților interesate este crucială pentru un program de securitate. Marea majoritate a succesului unei echipe de securitate se bazează pe relațiile și acceptarea pe care o obțin cu părțile interesate cheie, cum ar fi echipele de inginerie. Uitarea acceptării și angajamentului părților interesate va eșua marea majoritate a achizițiilor.

Implicarea părților interesate asigură că toată lumea înțelege importanța securității cibernetice și elimină ambiguitatea. Programul de securitate ajută fiecare persoană să-și înțeleagă rolul în securitate și importanța în îndeplinirea acestui rol. În cazul implementării unui instrument SAST, faptul că nu aveți acceptare din partea echipei dvs. de inginerie înseamnă că veți acumula un număr de vulnerabilități, deoarece nu puteți acționa în baza acestuia. 

Managementul vulnerabilităților 

Managementul vulnerabilităților este o componentă de bază a unui program de securitate puternic și, în general, se aplică majorității instrumentelor de securitate. Am descoperit că doar cea mai mare dintre întreprinderi va angaja un manager de vulnerabilități dedicat și, adesea, majoritatea organizațiilor nu au pe cineva care să dețină și să conducă aceste vulnerabilități.

Managementul vulnerabilităților implică identificarea, evaluarea, prioritizarea și apoi abordarea vulnerabilităților din sistem. Acesta este un proces continuu care necesită monitorizare și actualizare regulată. 

De exemplu, în remedierea vulnerabilităților de cod dintr-un instrument SAST, esențial pentru gestionarea vulnerabilităților este remedierea și, mai târziu, prevenirea. Există o mulțime de informații despre eforturile proactive. Marele plus pe care îl pot adăuga aici este utilizarea instrumentelor de ultimă generație pentru a obține o maturizare rapidă pentru programul dvs. de gestionare a vulnerabilităților - și anume, remedierea automată. Evoluțiile recente în IA au permis echipelor să se comporte ca omologii lor. De exemplu, managerii de produs pot face acum sarcini de știință a datelor. În plus, AI le permite echipelor să repare automat codul sursă vulnerabil. Echipele de securitate nu își pot extinde eforturile singure. Ei trebuie să investească în acțiuni și sisteme care îi ajută să conducă programe. 

Concluzie

Instrumentele de securitate cibernetică nu înlocuiesc un program robust de securitate. Nimeni nu cumpără unelte de construcție și începe să construiască vrând-nevrând. Fără un plan, ar ajunge cu un ansamblu haotic de șuruburi înșurubate, cuie ciocănite și scânduri tăiate. Asta nu este productivitate. E treaba ocupată. Din păcate, un instrument fără un plan robust în spate poate merge în același mod. Un program de securitate asigură că instrumentele de securitate sunt eficiente și oferă valoare pentru organizația dvs. și, în cele din urmă, crește securitatea organizației dvs.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cybersecurity-operations/biggest-mistake-security-teams-make-when-buying-tools