当务之急6:架构安全是一个集成的、自适应可编程系统，而不是竖井

传统的安全基础设施在竖井中提供保护，将网络、端点、应用、数据安全和IAM分开。开发安全性也经常与运行时安全性分离。这种方法存在多个问题:

• 竖井控制创造了太多的供应商和主机，增加了复杂性，并增加了错误配置的机会。

• 每个筒仓本身没有足够的上下文来进行高保证检测，造成太多警报。其中许多是假阳性或代表低风险。

• 竖井控件中的事件经常被转发到SIEM, SIEM可能会也可能不会理解额外的事件(垃圾输入，垃圾输出)。这就产生了另一个警报来源，其中许多是误报或代表低风险。

现实是，先进的攻击跨越了我们的内部安全竖井。例如，攻击者发起基于电子邮件的攻击，其中包含链接到恶意内容的URL。该内容被加载到端点上，在端点上它攻击一个漏洞以启动有效负载来监视击键，以便获得凭据。然后，这些数据被用于横向扩散到其他系统，并最终访问和窃取敏感数据。就像盲人和大象的故事一样7，每个筒仓都有故事的一部分，但没有一个有完整的画面。最好的安全保护将作为一个系统结合这些竖井的可见性-或完全消除它们-以改进检测。当事件被发现时，违规实体(用户帐号、文件、URL、可执行文件等)可以立即通过所有渠道(端点、服务器、电子邮件、web和网络)进行沟通和封锁，以防止进一步感染。

这种功能的早期例子出现在学术研究8、OpenDXL等开放项目和pxGrid等商业产品中。

“如果你假设最初的限制决策是错误的，那么“将坏事拒之门外”和“将好事拒之门外”在本质上是相同的问题。”

扫描一个文件是否含有恶意软件或敏感内容，从根本上讲，与发现和识别类似于“好”或“坏”的比特模式是相同的问题。到最后，一切都是模式。向基于云的服务的转移将迫使一些安全控制的融合。例如，领先的casb在其产品中统一了威胁、身份和数据保护，从一个统一的平台上提供恶意软件检查、证书盗窃/滥用和敏感数据监控。

客户和合作伙伴“随时随地”访问数字业务服务和数据的愿景无法通过静态的安全基础设施实现，这些基础设施被困在一个盒子里，固定在一个不再相关的边界上。安全控制必须成为一种逻辑的“结构”，在需要的时候和地点放置它们，以便在可能的情况下监控和评估风险和信任。在许多情况下，这些控制将通过围绕工作负载或信息的控制从云本身交付，而不考虑位置。这是彻底的改变,如何交付安全控制和定价,进而重塑安全市场(见注4)。本地网络安全设备仍有作用,但随着时间递减,更多的企业工作负载和驻留在企业周边之外的信息。向系统安全性的转变将影响我们在几个关键领域选择安全解决方案的方式。安全平台必须:

• 基于软件，完全可编程，可通过应用程序编程接口访问。

• 能够交换上下文，使用标准，如STIX, TAXII或JSON，支持行业信息共享和分析中心，如FS-ISAC,OpenDXL或pxGrid。

• 从密集的一次性允许/拒绝评估转向基于风险的适应性结果的持续评估。

• 无缝集成到现代IT环境-云，容器和DevOps CI/CD管道。

• 不要惩罚客户存储和分析不断增加的数据量，因为高效和有效的安全决策需要越来越多的可见性(以及数据)。

• 不要依赖单一的分析方法。相反，使用多种方法和分析方法来提供保护，包括嵌入式机器学习和行为分析。

• 利用丰富的生态系统和威胁情报来源(TI)。理想情况下，在客户间使用相关的可见性来创建社区效应和网络效应，在客户间使用TI的可见性和共享。这应该涵盖本地情报(你的组织正在发生什么)和全球情报(在你的行业和你所在的地理位置有哪些规模相似的组织正在观察)。

当务之急7:将持续数据驱动的风险决策和风险所有权纳入业务单元和产品所有者

我们的风险治理和遵从性流程遭受了我们前面讨论过的一次性宏安全门评估的相同限制。我们使用严格而冗长的控制和合规检查表来衡量我们的安全程序的有效性。我们需要结合CARTA的风险管理战略方法，摆脱静态的检查清单，使数据驱动的风险可见性和评估成为一个持续的过程。这种思维模式被Gartner称为集成风险管理(IRM;和前面一样，可以主动和被动地评估这一数字业务风险(见表3)。

表3。主动和被动的数字业务风险评估

翻译上表

安全原则	主动风险发现	被动风险发现
风险管理	•计划推出哪些新的数字业务举措? •现有的声誉风险阈值较低的数字项目有哪些? •我面临哪些新的监管要求，满足这些要求的内部政治意愿是什么? •这会带来哪些网络风险? •这些网络风险有多严重? •新计划有多大价值(收入、成本、负债)? •如果我接受更多的风险，会有什么新的商业机会? •在与数字业务相关的风险决策中，需要对股东或其他利益相关者作出哪些承诺?	我对所有BUs、合作伙伴、项目和基础设施的总体风险状况如何? •高风险地区在哪里? •我在哪些方面违反了规定，这有多大影响? •哪些资产/服务处于风险之中，它们代表了什么价值? •缺少什么安全控制，这意味着什么风险?
Source: Gartner (April 2018)

采用业主问责原则是将CARTA引入风险管理的关键必要条件。最终的责任保护企业的信息资源，以及它的业务过程和结果，取决于业务所有者的信息资源。资源所有者必须有权做出数据驱动的、基于风险的决策，以履行他们的责任。期望安全团队代表业务在可接受的信任和风险水平上做出这些决定将阻碍CARTA战略方法的采用。新的技术类别正在出现，以解决一些风险可见性差距，如集成风险管理平台和通过控制差距分析的数字风险管理。领先的IT风险管理平台正在发展，为混合云工作负载提供风险可见性，并与ERP、CRM、配置管理数据库(CMDB)和SOAR平台集成，无论是在现场还是在场外。许多平台严重依赖分析、机器学习和可视化来确定风险的优先级和突出风险领域，并就如何补救提供建议。

根据DevOps的精神(它打破了开发和操作之间的壁垒，如图4所示)，我们需要将这种协作方法应用到风险管理中。我们必须拥抱“RiskOps”或“风险<构建>Ops”的心态，目标是拆除业务领导者和基于操作风险的可见性和影响之间的墙(见图6)。

图6 CARTA-Inspired Risk Management: RiskOps

在BU和产品所有者手中提供风险可见性和向数据驱动的风险决策的转变，完成了我们对CARTA战略方法的愿景。安全和风险管理必须成为一组相互交织、持续不断的和适应性过程(见注释6)。有了CARTA，我们的治理和规划过程创建了风险意识的心态，并成为数据驱动的。通过与业务单元合作，我们定义了可接受的信任和风险级别，这些级别转化为安全策略的指南。这些策略和可接受的风险水平贯穿我们的安全基础设施，改变:

•我们如何建立和获取新的it服务

•我们如何评估和评估新的数字商业生态系统伙伴

•我们如何保护和启用对我们的系统和数据的运行时访问

在做出安全决策时，会不断地对其进行评估，以确保风险/信任与业务(而不是IT)认为合适的风险级别相平衡。在运行时，我们不断地检查我们所观察到的与我们所期望的相对照，将持续监控、持续评估和持续改进的概念引入安全保护和风险管理。如果在运行时检测到过度的风险，这种可见性可以首先通过SOC显示出来，如果需要，最终会呈现给业务所有者。风险无法避免;它被监测，评估，与信任平衡，沟通和适应到可接受的水平-不断地。这是《CARTA》战略方针的体现。

额外的研究贡献由Ant Allan,Felix Gaehtgens和Khushbu Pratap。

证据

1 Wikipedia, “Situation awareness.”

2 UL, “Cybersecurity” and CATechnologies, VeracodeCommunity, “CA Veracode Verified.”

3 AWS, Amazon Macie.

4 Oracle, “Oracle Identity SOC Solution.”

5 Symantec, Cloud Access Security Broker.

6NguyenA,YosinskiJ,CluneJ.“DeepNeural NetworksareEasilyFooled:HighConfidence PredictionsforUnrecognizableImages.”In ComputerVisionandPatternRecognition,IEEE, 2015.

7 Wikipedia, “Blind men and an elephant.”

8E.N.Crane,“EmergentNetworkDefense,”The GeorgeWashingtonUniversity,2013.

注释

注1。“左移位”

许多供应商和一些行业出版物将此称为“左移”。虽然部分准确，但我们想要清楚的是，在运行时对操作进行保护的需求(图4的右侧)同样重要。“左移”并不能替代对运行时保护功能的需求;它加强了。

注2。数据保护和应用安全测试中的机器学习

数据保护平台、分析和机器学习将通过针对数据库的训练，建立哪些是敏感的、哪些不是的模型。在应用程序开发中，SAST工具传统上一直被假阳性所困扰，而机器学习的使用可以用来为开发人员智能地修剪结果(这被称为“智能发现分析”，或IFA)

注3。人工智能

Gartner通过组织所面临的数据量、多样性和速度来定义“大数据”。在信息安全方面尤其如此，因为我们将越来越多的IT堆栈(包括用户行为和数据流)纳入仪器。人工智能可以被看作是将这种压倒性的信息和数据流转化为人工智能驱动的系统可能采取自动行动的粒度洞察力-在本例中，是安全操作分析师。。

注4。软件和云交付的安全控制的巨变

改变的例子包括:

•从硬件转向基于软件的安全控制

•使用云访问安全代理来获得基于云的服务中敏感信息的可见性和控制

•转向基于云的网络安全服务交付，例如:

•远程和移动工人安全的web网关服务

•电子邮件保护

•casb服务

•后端检测和响应分析(以及企业间可见性)

•直连项目分支机构统一威胁管理服务

•采用软件定义的访问边界解决方案，取代传统非军事区(DMZ)和VPN架构

•云供应商直接进入安全市场，对云工作负载进行基于云的监控，以寻找可能的妥协迹象，如AWS GuardDuty和微软Azure安全中心

注5。综合风险管理

Gartner将“集成风险管理”定义为一组由风险意识文化和支持技术支持的实践和过程。它通过一个组织如何管理其独特的风险集合的集成视图来改进决策制定和性能。

注6。将安全和风险重新想象为不断改进，不断适应过程

连续的、自适应的安全决策连续的、集成的风险管理连续的、应用程序安全测试连续的资产、实体和服务发现连续的认证

持续授权持续合规持续数据监控持续暴露测试

持续的身份信任评估持续的监控和可见性持续的保护

连续风险评估连续风险发现连续风险优先响应

持续安全态势评估持续信任评估

持续脆弱性评估

​

标签：七个,风险,当务之急,持续,安全,CARTA,风险管理,评估
来源： https://blog.csdn.net/pengpengjy/article/details/118461852