蹩脚的安全还不如不做?
星期二, 七月 9, 2019
讨论公司安全需求就不得不谈到已有数字能力,谈到已有数字能力就避不开工具繁多却配置错误或买来不用的万年深坑。
于是问题来了:相比买来一堆安全工具要么用错要么没用却误以为自己受到足够保护,是不是根本没部署安全措施而保持警惕还更好些?换句话说:错误的安全感是不是比没做安全更糟糕?
对于这个问题,有两个方面需要考虑。一方面,有总比没有好。如果部署了安全解决方案,出问题的时候至少还有证据揭示问题位置和防止类似问题再次发生。
另一方面,伤害在发现的当时已经造成了。公司的敏感数据已被盗。知识产权已被曝。信誉已扫地。除了声明:“我们下次会更好”,并做出有望信守这一承诺的改变,公司毫无其他办法可以避免安全事件的种种恶劣后果。
但往系统上堆很多不常用或没正确配置的安全技术,并不意味着数据泄露后能有切实的安全升级。不止如此,从经济角度上看,这么做也相当不明智。
没有哪家公司受得了持续砸钱买一堆放着发霉的解决方案。也没有哪家公司顶得住不断聘用专业人员管理和操作这些工具的经济负担。
预算总是有限,大而无当的数字防御策略通常都没有足够的资源予以驱动。
所有没在用的/错误配置的安全解决方案统统扔掉扔掉。好钢用在刀刃上。应该把资金集中投入到单个工具上,再拨出专门的资源用好这个工具,让它可以抽取切实的证据。
然后就能以此调配能够处理手头安全过程的团队,根据雇主不断发展变化的业务需求做出精准的改变。
这种方式能为公司省下很多时间、精力和金钱。事实上,工具闲置或错误配置往往是公司不作为导致的。这种疏忽一旦暴露,往往就意味着有人要有麻烦了。
举个例子,高管层完全可以让某个团队、经理或雇员为整起安全事件背锅。GDPR 施行的现在,安全事件的后果可能极其严重。公司可能招致严厉的处罚,甚至正常的业务都无力开展。
而专攻一个解决方案并以之调配团队,则可以让公司所有人都参与进来,提升整体的责任感,也就能减少推诿个人责任的机会,创建员工相互支持的企业数字安全文化。
只要没那么多安全工具,没那么混乱,劲就能往一处使,安全态势也就会更好。
当然,不是随便哪个安全解决方案都能承担起护卫公司安全的重责。公司企业应该找寻的是专注基本安全控制功能的解决方案,比如资产发现、漏洞管理和安全配置管理。Tripwire 首席安全研究员 Travis Smith 揭示了为什么安全解决方案要专注基本安全措施:
基本安全控制切实有效。仅仅实现首要的五项基本控制,就能防止 85% 的常见网络攻击。实现 20 个安全控制措施能防止 97% 的常见网络攻击,只要遵循基本安全指南就行。
数字说明一切。很明显,找到集成了这些安全控制的解决方案最符合公司利益。
相关阅读