在過去十年中，網(wǎng)絡(luò)安全一直是最重要的趨勢之一，現(xiàn)在變得更加重要，這主要是因?yàn)檎谶M(jìn)行更多的遠(yuǎn)程工作。從勒索軟件到網(wǎng)絡(luò)間諜，黑客已經(jīng)開發(fā)出復(fù)雜的技術(shù)來侵入企業(yè)的項(xiàng)目/數(shù)據(jù)，獲取關(guān)鍵信息或索要贖金。

就連佳能、Garmin、Twitter、本田和Travelex等知名企業(yè)也曾成為惡意攻擊者的受害者。數(shù)據(jù)泄露對企業(yè)或項(xiàng)目來說可能是一場災(zāi)難，破壞客戶的信任，破壞公司的聲譽(yù)。

許多項(xiàng)目經(jīng)理仍然認(rèn)為項(xiàng)目安全是其他人的責(zé)任——軟件架構(gòu)師、DevOps、信息安全專家等。然而，項(xiàng)目經(jīng)理的任務(wù)是確保您創(chuàng)建的產(chǎn)品或您交付的服務(wù)是安全的。

如何檢查安全性，以及在啟動新項(xiàng)目時(shí)可能面臨哪些意外的安全性問題?以下是確保開發(fā)安全產(chǎn)品并使項(xiàng)目更安全的五種方法。Sigma Software公司團(tuán)隊(duì)有一些關(guān)于在SDLC中實(shí)現(xiàn)安全實(shí)踐的有價(jià)值的技巧。

安全不再是一個(gè)“擁有就好”的選擇。每一家與第三方咨詢公司合作啟動新項(xiàng)目的企業(yè)都希望確保供應(yīng)商遵守安全實(shí)踐。最簡單的方法是讓供應(yīng)商完成一份評估清單，其中有一部分專門用于提供項(xiàng)目安全性。這樣的清單只不過是一個(gè)公司對其安全程序有多好的想法。情況可能大不相同。

有時(shí)，公司對這些清單中提供的信息感到滿意?，F(xiàn)在，企業(yè)正在尋找的不僅僅是文字——證明已經(jīng)實(shí)施了安全措施，并在日常工作中遵循了這些措施。如何才能確切地證明這一點(diǎn)?以下是五種最常見的方法。

1.在互聯(lián)網(wǎng)上追蹤公司

收集公司信息主要有兩種途徑。第一個(gè)是OSINT(開源情報(bào))，建議從公開可用的來源收集數(shù)據(jù)，包括媒體(報(bào)紙、廣播和電視等)、在線出版物、博客、討論組、YouTube和其他社交媒體網(wǎng)站、公共政府?dāng)?shù)據(jù)(報(bào)告、預(yù)算、聽證會、電話簿、新聞發(fā)布會、網(wǎng)站和演講)、技術(shù)報(bào)告、專利、工作文件、商業(yè)文件、通訊等。

這是很多的信息，分析需要大量時(shí)間，但是，這是一種有效的方法，可以找出公司過去或現(xiàn)在在數(shù)據(jù)安全方面存在的任何弱點(diǎn)。

企業(yè)還可以借助專門的平臺和工具進(jìn)行第三方風(fēng)險(xiǎn)評估。這些解決方案(例如Risk Recon、BitSight等)提供了現(xiàn)成的評估程序，幫助評估供應(yīng)商，并決定是否與他們合作。

所以，看到公開的每件事都會影響整個(gè)畫面。一個(gè)包含漏洞的應(yīng)用程序會影響企業(yè)的聲譽(yù)，即使它是內(nèi)部使用的，即使它發(fā)生在幾年前，即使它只發(fā)布了一個(gè)小時(shí)。可能會忘記上傳到網(wǎng)絡(luò)上的內(nèi)容?；ヂ?lián)網(wǎng)不會忘記。你有能力減少受攻擊的區(qū)域，并盡量減少可以用來對付你的信息。仔細(xì)看看你公開的東西。

2.進(jìn)行獨(dú)立評估

外部評估是確認(rèn)供應(yīng)商遵循所有安全實(shí)踐的最常用方法之一。企業(yè)必須確保這樣的評估結(jié)果與清單中指定的結(jié)果相匹配。否則，你會發(fā)現(xiàn)自己處于一個(gè)脆弱的位置。因此，在填寫清單時(shí)，可以省略虛假信息，避免美化事實(shí)。如果意識到自己不夠好，無法與現(xiàn)有的競爭對手成功競爭，這是一個(gè)行動呼吁——提高企業(yè)的安全性，因?yàn)闊o論如何你都必須這樣做。這是不斷變化的現(xiàn)實(shí)的要求。

3.審核內(nèi)部測試報(bào)告

為了檢查項(xiàng)目是否安全，企業(yè)的潛在客戶可能會要求提供有關(guān)滲透測試的內(nèi)部報(bào)告。這樣的測試應(yīng)該至少每年進(jìn)行一次，或者在任何重要的發(fā)布之前進(jìn)行。因此，如果企業(yè)的項(xiàng)目運(yùn)行了三年，應(yīng)該向客戶提供三份報(bào)告，并且最好都有。

讓它成為每次進(jìn)行滲透測試的規(guī)則。定期控制這個(gè)問題，這樣你就不必在時(shí)間到來的時(shí)候急于找到擺脫困境的方法。

4.檢查網(wǎng)絡(luò)釣魚意識

當(dāng)宣稱企業(yè)實(shí)施了安全實(shí)踐，并教導(dǎo)員工如何開發(fā)安全軟件和防御現(xiàn)代威脅時(shí)，需要記住，你的客戶可能想要檢查這是否屬實(shí)。一種方法是發(fā)送網(wǎng)絡(luò)釣魚郵件。如果企業(yè)收到一封網(wǎng)絡(luò)釣魚郵件，而員工回應(yīng)了，這意味著安全措施并不像你想象的那么好。

對于企業(yè)的團(tuán)隊(duì)不了解或不遵守基本安全規(guī)則的客戶來說，這是一個(gè)危險(xiǎn)信號，這會使您當(dāng)前的客戶處于危險(xiǎn)之中。確保企業(yè)培訓(xùn)團(tuán)隊(duì)識別網(wǎng)絡(luò)釣魚電子郵件以及如何在收到它們時(shí)采取行動。

5.直接溝通

直接溝通在任何情況下都是非常重要的。

關(guān)于安全的交流也不例外。無論是對企業(yè)的安全措施說了什么，怎么說，是檢驗(yàn)是否了解這個(gè)主題的試金石。爭取該領(lǐng)域?qū)＜彝碌闹С帧?/p>

不要冒險(xiǎn)讓你的客戶知道的和你一樣多。這很有趣，但這是雙向的;如果是一個(gè)安全專家，這并不重要。即使在這個(gè)領(lǐng)域很明智，其任務(wù)是確保能開發(fā)出一種安全的產(chǎn)品，而不是讓客戶對他們在這個(gè)領(lǐng)域的知識水平感到不安。