隨著網絡環境的不斷變化，入侵者總是在尋找新的方法來利用組織系統和應用程序中的弱點。因此，網絡相關事件已經成為企業的最大風險之一，因為他們試圖了解自己的網絡彈性和面臨的威脅。

因此，安全保障在幫助組織進行有效的網絡風險管理、遵守監管和法律合規要求以及防范代價高昂的安全漏洞方面變得至關重要。許多機構已經意識到這一轉變：根據MarketsandMarkets的研究顯示，到2023年，全球安全保障市場預計將增長到54.8億美元。

[[326018]]

安全保障旨在通過各種方法(如基于證據的風險評估、控制差距分析和安全測試)，向組織提供對其安全控制有效性的信心和信任，以幫助識別對組織構成的風險。然而，越來越多的安全漏洞和一些組織無法遵守基本的安全衛生，反映了我們目前的安全保障模式的不足。

當代安全保障模式面臨的挑戰

我們目前的方法是反應性的——有證據表明，組織在大多數安全威脅發生后才作出反應。主動的安全保障模式是交付有效運營模型的關鍵支持因素，該操作模型包含對人員、流程和技術的保護。實現可靠數字安全的主要障礙之一是組織過程的靈活性，阻礙了主動防御策略。

我們的模型保質期也很短，因為威脅總是在不斷變化。內部和外部審計會根據演練時的風險趨勢和主題來評估針對威脅的控制措施的有效性。如果不持續監控、評估和更新保障模型就會變得過時。

最后，當前模型是靜態的。隨著云計算的普及和觸覺互聯網的出現，越來越多的企業正在通過數字技術尋找機會。敏捷方法正在加速數字轉換的交付?，F代的保障模型無法適應這種迭代增量開發和部署模式。

成功安全保障功能的幾個要素

考慮合作。為了安全保障功能獲得成功，組織需要打破豎井，并在關鍵的涉眾之間實現更多的協作。

• 首先，要對關鍵業務資產進行識別、分類和優先級排序，如果這些關鍵資產被利用或訪問，則會對業務策略產生嚴重影響。
• 接下來，您需要集中管控。組織應該集中管理戰略性企業安全控制，以便更好地了解這些控制的操作有效性。
• 最后，保持最新的安全策略、標準和合規性需求。了解策略、流程、標準和合規性如何影響所需的控制狀態。這些必須由業務目標和組織的特定風險偏好來驅動。

建立主動和動態的安全保障模型

為了適應現代挑戰，組織必須重新定義和調整其安全保證操作模型以提高速度和敏捷性，這一點很重要。有效的保障模型需要在主動和被動的方法之間找到適當的平衡，以建立更安全的組織并保持利益相關者的信任。從以下步驟開始：

• 將您的安全保證策略與業務目標關聯起來，以改進組織的安全狀況;
• 將您的安全保證運營模型與風險管理和治理工作結合起來，以實現運營效率;
• 根據您的風險偏好，定義組織的成熟度路線圖以進行控制;
• 進行基于證據的評估，以產生信任。證據收集應集中在關鍵的控制目標上;
• 將保證集成到開發迭代中以協助敏捷交付。調整保障流程以促進DevSecOps文化并在開發階段解決任何安全問題;
• 確保從一開始就嵌入了安全性。根據設計原則將安全性納入產品交付過程。對于敏捷開發，這意味著確保安全計劃包含在sprint目標中;

公司還應該進行更智能、更平衡的保障活動，以幫助進行頻繁的評估。安全保障應以務實和適當的方式進行，以防止網絡攻擊和入侵。這包括以下幾個方面：

• 將多個網絡安全框架合理化為控制目標，并根據組織面臨的威脅對目標進行優先排序，以提供更有針對性的評估;
• 根據安全配置文件或資產開發安全控制目錄/清單。根據組織的風險偏好實施響應評估方法;
• 在可能的情況下，利用自動化工具支持進行安全評估，如第三方網絡安全風險和隱私影響評估;
• 利用自動化測試(內部源代碼和第三方代碼評估)作為持續集成/持續交付(CI/CD)管道的一部分，以支持敏捷開發;
• 通過執行基于MITRE ATT&CK框架的基于場景的安全測試，自動化進行證據收集。應該對關鍵的安全控制進行測試，以持續評估控制的有效性，并提供額外的信任級別。問問自己:“時間點、基于證據的評估經得起真正的考驗嗎?”

總之，一個成功的數字安全保障模型必須有助于加速持續的、基于證據的安全評估，有效地管理網絡安全風險，證明符合不斷變化的監管要求，并授權組織獲得對其安全態勢的信心。