网络安全和风险管理已成为董事会工作议程的重中之重。据Gartner的调查显示,61%的首席信息官(CIO)加大了对网络和信息安全的投入。这家全球研究和咨询公司预测,到今年年底,信息安全和风险管理技术和服务方面的支出将增长12.4%。更具说服力的是,许多公司开始直接向董事会增派网络安全专家。

根据我与SAP客户打交道方面的经验,下面5个行之有效的策略可保护任何云环境中的业务运营:

1. 关注端到端安全监控

拥有防病毒程序和某种类型的内部安全流程再也不足以保护公司远离网络攻击和安全泄密事件。没有合适的技术堆栈和娴熟的团队,实际上不可能获得正确的可见性;没有可见性,也就没有效率。

如今,企业需要三个要素来确保端到端安全监控:良好的网络威胁情报、高效的安全监控系统以及用于检测和遏制活动的技术堆栈。这还包括基于实际威胁情报的威胁建模,以评估某个特定的指标或活动是否可疑。

2. 采取基于风险的漏洞管理方法

人们普遍倾向于过于关注零日漏洞和简单的漏洞扫描流程,比较感觉的威胁与实际的威胁时尤其如此。零日漏洞是重要的指标,但对于大多数组织而言,它们不是大的问题。

通过采取基于风险的漏洞管理方法,公司可以识别真正有威胁的方面。这种方法根据威胁被利用、用来攻击公司的难易程度来评估威胁,并确定轻重缓急。它让公司可以针对可能被当前IT环境所特有的近期威胁所利用的漏洞,撤除或实施控制措施。

一种好的做法是在一份实际的漏洞利用图表中直观地显示威胁,该图表反映了根据应用程序状态表明威胁在具体的公司环境下有多适用。几乎每个漏洞都有限制适用性级别、因而限制风险评分或影响的先决条件。

3. 加强特权身份和访问管理概念

分配和管理公司数据访问权对于防止数据泄漏和泄密至关重要。公司需要一个专门的特权身份和访问管理概念,这包括以下元素:职责、角色和授权的身份分离,专门针对客户环境的特权访问的监控,以及与安全监控平台直接集成。

应针对特定的安全流程(比如加密流程)讨论职责、角色和授权的分离。举例说,如果所有加密密钥都安全地托管在硬件安全模块中,可能访问它们或访问该特定密钥管理系统云服务的特权用户不应该拥有管理系统的特权访问权限。

4. 注重云安全态势管理

对公共云而言最重要的安全要求之一是避免环境中的错误配置,并在需要时迅速修复。错误配置会使云环境无意中暴露无遗、易受攻击。越早检测到错误配置越好。这不只是事关拥有合适工具的问题。光凭工具无法解决问题,人才能解决问题。

通过对团队进行云安全态势管理方面的培训,公司可以在开发和测试管道期间以及整个部署和集中扫描期间及早发现错误配置。它还使公司能够少依赖默认的控制措施。他们可以扩大安全覆盖范围,以监控与环境密切相关的特定用例,不管云平台是哪种类型。

5. 自动化事件响应

需要及早发现并迅速解决事件。此外,根本原因分析需要与安全监控架构完全整合起来。自动化可以加快事件分析和响应。战略手册(playbook)和操作手册(runbook)消除了重复,并提供了快速的修复解决方案。自动化事件响应要与关注端到端安全监控(第一个策略)相结合。

没有可见性,就没有效率;没有效率,就没有真正的事件响应。公司在界定监控范围时,应确保数据可用性,用于关联和攻击至少持续一年的慢速攻击。我还建议采用混合或半自动的事件响应方法,使用战略手册和操作手册以快速响应,同时将最后的响应决策交到团队的安全分析员手中。

如果遵循这五个优秀实践,公司可以建立坚实的安全和风险管理治理基础,从而在任何云环境中保护自身。切记,网络安全和风险管理并非是一成不变的。

像园艺一样,安全和风险管理需要不断维护,因为网络犯罪分子在不断寻找漏洞。一个良好的安全和风险管理治理系统可迅速适应变化,从而帮助贵公司面向未来。

原文标题:5 Cybersecurity Tactics To Protect The Cloud,作者:Roland Costea

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-07-12 08:51:42
云安全 奇安信齐向东:面对数智时代新挑战,企业更需重视内生安全
数智化时代,安全防护面临新的变化,遇到了新的挑战。不仅有流动的数据带来的防护挑战,还有人工智能大爆发给企业带来的生产挑战。 <详情>
2023-07-04 14:13:37
市场情报 如何在云中实现安全与合规的规模化?
本文将通过一些关键策略和最佳实践,介绍亚马逊云科技在保持创新文化的同时,如何实现安全与合规的规模化。 <详情>
2023-06-02 10:49:30
云安全 全国信安标委“标准周”在昆明召开,腾讯安全受邀分享标准实践经验
腾讯安全一直以来积极参与网络安全标准的制定,将腾讯安全的经验、方法分享给行业。自2016年开始,腾讯云积极参与国家在云计算安全方面的标准建设,包括不限于关键信息基础 <详情>
2023-05-26 15:21:00
云安全 攻击面管理(ASM)成热门赛道,腾讯安全携手合作伙伴共探行业创新
在企业数字化转型的浪潮下,丰富的数字资产为企业带来了巨大的机遇。然而,随之而来的是风险暴露面的扩大和安全盲点的增多,企业必须采取有效的措施来应对不断进化的威胁。 <详情>
2023-04-14 09:41:26
云资讯 信通院董航等:基于内生安全的云服务平台安全度量指标体系研究
随着5G商用落地,伴随云计算、人工智能等新兴技术逐步研究发展,网络将面临更加复杂的内生安全问题,迫切需要建立新的实践规范来应对网络空间中“未知的未知”安全威胁。 <详情>