如今，不可否認(rèn)的是網(wǎng)絡(luò)犯罪已逐漸進(jìn)入人們的生活，為人們所重視。無論何時，隨意瀏覽新聞都能看到新漏洞的發(fā)現(xiàn)，或者是敏感信息的泄露、竊取等。因此，任何企業(yè)董事會都應(yīng)該盡早加強(qiáng)網(wǎng)絡(luò)安全防御。

[[320458]]

然而，即使現(xiàn)在網(wǎng)絡(luò)威脅來勢洶涌，但是網(wǎng)絡(luò)安全防御仍然不夠。通常而言，當(dāng)最佳安全實踐有可能干擾業(yè)務(wù)效率或整體生產(chǎn)力時，業(yè)務(wù)優(yōu)先級往往是高于安全優(yōu)先級的。對于許多CSO和CISO來說，資金不足是另一個值得普遍關(guān)注的問題，董事會根本沒有準(zhǔn)備好，沒有為他們提供真正需要的預(yù)算和資源，來確保他們的業(yè)務(wù)安全。

企業(yè)需要有長遠(yuǎn)考慮

在短期內(nèi)，減少安全資金以促進(jìn)業(yè)務(wù)的其他領(lǐng)域發(fā)展似乎是個好主意，但這是一個很大的風(fēng)險，一旦高管人員也受到攻擊，后果更加不堪設(shè)想。例如，盡管在年度預(yù)算周期內(nèi)，額外撥出50萬英鎊作為新的安全資源投入似乎并不可行，但與數(shù)據(jù)泄露后面臨的數(shù)百萬英鎊的罰款、法律費(fèi)用和緩解費(fèi)用相比，這顯得相形見絀。

英國航空公司(British Airways)在其網(wǎng)站上稱遭到“復(fù)雜的惡意犯罪襲擊”之后，就被信息專員辦公室(ICO)罰款1.83億英鎊，因為在此期間，約有50萬名客戶的詳細(xì)信息泄露。

這樣的例子強(qiáng)調(diào)了通過實施網(wǎng)絡(luò)安全實踐來確保長期安全性和合規(guī)性的重要性，這些實踐首先能做的就是防止此類數(shù)據(jù)泄露。另一種更為主動的方法就是將網(wǎng)絡(luò)安全實踐整合到更廣泛的業(yè)務(wù)策略中去，這可以大大減少數(shù)據(jù)丟失，并使安全團(tuán)隊能夠更迅速、更準(zhǔn)確地應(yīng)對任何真實存在的威脅。

隨著越來越多的組織依靠軟件應(yīng)用程序來發(fā)展業(yè)務(wù)，所以保護(hù)這些應(yīng)用程序變得十分必要。因此，采用一種系統(tǒng)的、基于風(fēng)險的方法在軟件開發(fā)生命周期(SDLC)的早期評估和解決網(wǎng)絡(luò)安全漏洞，而不是出現(xiàn)漏洞后才這樣做。

業(yè)務(wù)和安全目標(biāo)必須保持一致

安全方法與整個組織的方法結(jié)合才是最有效的。但是很多時候，一旦將安全性納入SDLC會對開發(fā)時間或者發(fā)布窗口有不利影響時，便會被重新考慮。

當(dāng)補(bǔ)救漏洞所需的時間威脅到重要應(yīng)用程序的發(fā)布時，安全團(tuán)隊就會承受壓力。如果不能通過令人信服的業(yè)務(wù)案例來推遲發(fā)布，并解決安全問題，那么風(fēng)聲將不脛而走。

風(fēng)險在有效安全決策中的作用

在上述情況下，安全團(tuán)隊需要能夠迅速讓高層決策者認(rèn)識到所涉及的風(fēng)險以及無法修復(fù)漏洞的潛在后果。這既需要對應(yīng)用程序的預(yù)期業(yè)務(wù)目標(biāo)有扎實的理解，又需要有以決策者能夠理解的方式來構(gòu)成論點的能力，而不是給他們一堆的安全術(shù)語。最好的方法之一是基于風(fēng)險的方法，該方法有兩個主要階段。

第一階段包括全面評估當(dāng)前正在開發(fā)的所有Web應(yīng)用程序，并建立嚴(yán)格的監(jiān)視流程以快速識別漏洞。在此階段進(jìn)行徹底檢查至關(guān)重要，因為如果只是遺漏了一個應(yīng)用程序，或者一個系統(tǒng)沒有安全保護(hù)，那么它將為網(wǎng)絡(luò)罪犯創(chuàng)造一個新的潛在風(fēng)險。

完成第一階段后，便可以開始第二階段，將業(yè)務(wù)影響納入戰(zhàn)略規(guī)劃過程。通過正確定義特定漏洞可能造成的潛在損失，并幫助高級管理人員以通俗易懂的方式理解這些損失。不僅可以幫助滿足對有效安全性的需求，還可以根據(jù)整個組織的風(fēng)險級別對活動進(jìn)行更精細(xì)的調(diào)整。

采用基于SaaS的方法進(jìn)行應(yīng)用程序掃描

在整個SDLC中采用基于SaaS的方法進(jìn)行應(yīng)用程序掃描，安全團(tuán)隊可以持續(xù)評估生產(chǎn)過程中的風(fēng)險，而不僅僅是幾個關(guān)鍵點。因此，當(dāng)與業(yè)務(wù)活動優(yōu)先級合理結(jié)合時，可以評估更為準(zhǔn)確的風(fēng)險狀況，公司各層級也可以接受。

關(guān)于有效的安全性，對于安全團(tuán)隊來說，讓整個組織企業(yè)理解是很重要的。采用基于風(fēng)險的方法可以做到這一點，通常將復(fù)雜的漏洞和分析轉(zhuǎn)換成對所有人，特別是對高級管理人員有意義的術(shù)語，有助于他們理解。然后進(jìn)行適當(dāng)?shù)挠懻?，采取合理的、正確的決策，從而使整個公司受益，并使公司免受眾多網(wǎng)絡(luò)威脅的侵害。