企業必備的Top 10安全列表,你做了嗎?
原創【51CTO.com快譯自8月11日外電頭條】請你按照優先級為企業建立一份安全列表,它可以把每個人都集中在解決重要的問題上。
從SANS Institute開始發布Top 10漏洞列表起,我就一直是它的忠實擁護者,并且隨著它演變為Top 20漏洞列表。SANS還發布著許多其他有用的清單,比如Top 20編程錯誤和Top 20最關鍵的安全控件,另外OWASP的Top 10網絡應用安全漏洞也同樣非常有用。從這些列表中可以得出一個事實,即大多數列表中的項目在過去的十多年中并沒有怎么改變過,這很能說明問題。這些類型的列表對企業的意義重大,能夠幫助他們搞清楚最大的問題是什么,盡快達成共識,并且使他們能夠集中力量處理重大的問題。51CTO編者按:記得最早在一個網絡公司里上班的時候,領導是要求我們把每個月最重要的10件事情寫出來貼墻上,這樣可以讓自己隨時看到。現在想起來,這個和安全漏洞Top 10還真是很像。把威脅列出來,以后就能有個心理準備,也可以防患于未然。
現在我有個問題問你,你的企業是否也有一個Top 10計算機安全問題列表呢?如果你有的話,這個列表是否是眾所周知的,是否所有的IT管理成員、計算機安全工作人員、程序員和底層架構的支持員工都能夠知道?如果你還沒有我所說的列表——或者沒有其他人知道它——那么你拿什么來確保IT部門的工作重點,怎樣確保正確的資源放在了正確的問題上?
我經常碰到企業不能充分處理高風險問題的案例,一般情況是,他們把太多的精力用于解決中低檔的次要問題,把自己搞得焦頭爛額。例如,一個企業的最大問題可能是最終用戶被安裝了特洛伊木馬,但同時它卻把大把的資金和人力投入到阻止遠程緩沖區溢出,或者努力實現百分百遵守補丁這些地方上,而這些吃力不討好的解決方案只能解決這家企業整體計算機安全問題中的很小一部分。
請為你的企業建立起Top 10計算機安全列表,先從識別威脅開始,把它們按照嚴重性排列,使用你可以用到的最好的指標,然后讓開發團隊和管理層審批,最后確定列表。這能迫使每個人都參與進來,并把目光放在最重要的問題上。
一旦你建立起Top 10列表,要確保把它通知到每個人,使用最普通的計算機安全方法(如電子郵件、海報、newsletter等等),以確保所有相關的團隊都可以用他們自己的獨特方式來盡力解決你的十大安全問題。
舉例來說,假設JavaScript漏洞是企業目前最大的問題,那么工作站配置團隊可以集中精力鎖定瀏覽器防止惡意的JavaScript程序;編程/開發團隊可以編寫自己的代碼盡力阻止XSS(跨站點腳本)攻擊;負責購置新軟件的團隊也可以在尋找基于JavaScript的應用時和潛在的供應商就JavaScript攻擊問題進行溝通。如果你不把大家集中到重要問題上,他們仍然可能在各自的范圍迷戀于解決自己的問題。Top 10列表能夠幫助每個人在管好自己的樹苗的同時,看到一大片健康成長的森林。
跟蹤進展也是成功的關鍵。應該有人來負責對列表中的每個項目進行指標測量,并每年向上一級審查團隊提供進度報告。這時,審查團隊應審查安全列表,確定是否有些問題可以去掉,或者是否有新的安全問題應該補充進來。如果某一特定項目的指標變得糟糕,審查團隊將需要制定新的攻擊計劃,建立更有效的戰略來對付這一問題。
一旦建立后,你的Top 10計算機安全列表就絕不應該消失,列表中的項目可能會演化或變為其他更為緊迫的問題。然而,這種想法提供給企業一種應對風險的良好方式,把重點放在最重要的地方,在沙灘上劃出一條警戒線,每年進行衡量。
【51CTO.com譯稿,非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com,且不得修改原文內容。】
原文:What's on your top 10 security list? 作者: Roger Grimes
【編輯推薦】
