编者按: 以下是a - lign赞助的博客文章.
保持强大的网络安全态势是一项持续的努力,而不是你真正可以从你的待办事项列表中检查出来的事情. 这不仅仅是遵循框架或购买和部署安全端点解决方案:威胁参与者正在不断发展,并寻找绕过这些现有控制和端点安全解决方案的方法.
采取积极和持续的方法来发现和解决不断变化的威胁至关重要. 虽然这不是一个新概念, 我们最近看到了流行的网络安全标准和最佳实践的演变,以承认和解释持续的威胁情报.
标准和最佳实践正在转移焦点,以鼓励组织:
- 收集有关当前威胁的信息
- 为内部信息的分析和使用制定一个计划
- 定期评估新工具和流程,以解决安全漏洞,作为对威胁趋势和观察策略的响应
为了保持领先地位,请注意变化并创建流程来管理持续的威胁.
H2. ISO 27001
ISO 27001 它是世界领先的信息安全标准吗?它是一个很好的例子,是一个不断发展的标准,关注不断发展的安全危险吗. 最新版本的ISO 27001, 2022年推出, 包括对“威胁情报”(ISO27001附件5a)的全新控制.7 / ISO27002: 2022条款5.7威胁情报).
这种控制要求组织不断地收集和分析有关安全威胁的信息,以主动降低风险.
这是一个相关的变化,代表了ISO和其他网络安全领域的主要声音如何解决暴露问题. 它表明威胁在不断演变. 降低风险是一个持续的过程,而不是“一劳永逸”的任务.
H2. 十佳
OWASP(开源应用程序安全基金会)前十名 是应用程序开发人员的意识文档,解决应用程序安全性的威胁吗. 不仅开发人员使用它, 但该文件被大量引用于开发渗透测试模型——模拟破坏策略以发现组织系统和流程中的漏洞. 许多安全工具, 比如静态代码分析工具, 利用引用OWASP Top 10的规则集.
一个更新引入了一个新的类别:不安全的设计. 此类别直接关注应用程序中的架构缺陷,并要求更多地使用威胁建模, 安全的设计模式, 以及安全的参考体系结构.
OWASP将安全设计描述为“一种不断评估威胁的文化和方法,并确保代码得到可靠的设计和测试,以防止已知的攻击方法。. Threat modeling should be integrated into refinement sessions (or similar activities); look for changes in data flows and access control or other security controls.”
该描述涉及到持续威胁评估的思想. 类似于我们在ISO 27001:2022中看到的更新, OWASP十大威胁中这一新类别的目标是提高人们对主动威胁管理重要性的认识.
如何保护您的组织
您是否正在使用ISO 27001:2022标准建立信息安全管理体系, 根据OWASP十大标准测试您的应用程序, 或者完全集成一个功能来评估对组织的持续威胁是至关重要的. 黑客们不断地进化和改变他们的战术, 而且一次审计(或每年一次渗透测试)根本不足以确定所有的弱点,因为它们没有考虑到审计或测试之后的时间.
这些标准和检查应该被视为构建的基础. 最好是整合一个强大的战略,结合遵守领先的网络安全标准, 正在进行的渗透测试 (至少每季度一次),以及积极分析和管理威胁的文化.
