ciso需要知道雲安全效能的真實資料。因為c級別的高管和董事會會一直問安全管理者風險暴露相關的問題——「我們需要多高階別的安全?我們距離滿足合規要求還有多少距離?」——ciso們也在尋找能夠高效度量基於戰略目標的雲控制的方式,並且匯報這些發現。
如果沒有深入風險和花費,以及**們實際關心的其他資訊保安度量的儀錶盤,那麼怎麼才能正確度量雲上的安全運維呢?
緩慢但堅定地,it部門正在調整安全控制(文件化的流程)和架構模型來適應公有和私有雲環境裡的資訊系統。隨著預防性的,檢測性的和響應式的控制正在進入混合雲模型,ciso們現在必須思考雲裡的管控以及新的資訊保安度量標準,為了內部跟蹤以及服務級別協議(sla)。
有一些監控活動,資訊保安度量基本上都在內部資料中心和雲裡。機會在於引入雲環境的安全工具能夠大量抓取相同的資料,並且提供目前收集的任何資訊保安度量。比如,虛擬防火牆裝置日誌丟棄或者堵塞的連線;基於雲的漏洞掃瞄能夠報告基礎架構即服務或者平台即服務系統的系統以及補丁和暴露的狀態;基於主機的安全監控工具記錄檔案的訪問和配置的變化。
新的infosec雲度量
技術控制不足
必須密切跟蹤這些合同義務並且向運維和執行管理層匯報。還必須仔細監控並且匯報雲**商審計的任何變化和鑑證報告。如果**商的soc 2報告裡的控制宣告的重大變更是相關的,那麼就必須由安全和法務團隊公告並且評估。
雖然雲服務花費更多地和運維以及開發團隊相關,大多數成熟的部署現在也包括很多安全相關的費用。花費包括由安全技術導致的額外消耗到和「雲上」工具和產品相關的許可證,到新的類似雲訪問安全**的服務。花費還可能包括認證和加密服務,以及為這些環境提供控制的其他雲服務。安全團隊不能忽略雲使用的財務和預算方面,因為資訊保安控制和服務現在已經是部署和運維的不可缺少的一部分。雲度量可能包括隨時間產生的費用和預算,不可預見的變更(可能是積極也可能是消極的)以及花費在雲上vs本地的整體安全預算的百分比。
模型還未成熟
另乙個需要跟蹤的重要領域是雲安全專案的整體成熟度。所有企業都想要知道和業界其他公司相比,他們的表現如何。並且該領域還缺少這一類別的比較基準,我們需要從**先開始。
大多數安全團隊使用類似的控制框架,比如國家標準技術局 800-53(national institute of standards and technology (nist) 800-53),nist網路安全框架,以及雲安全聯盟雲控制度量,和傳統的成熟模型,比如通用成熟度模型相結合。從任何角度看這都不是什麼完美的方案,但是至少企業能夠將本地控制的成熟度和雲上的相對比,並且研究能夠改進的領域。目前,一些控制方法在雲上還不太成熟。需要時間等待雲**商改進他們的能力,並且等待雲環境裡的原生整合更加穩定。
無論你選擇哪種雲度量,都需要確保收集反饋,並且確認這些是否真的對利益相關者有用。安全資深管理趨向報告超級複雜的資訊保安度量,或者僅僅是未整理的資料,這些對於業務高管來講並沒什麼用處。這是我們在雲上推進時可以有意識阻止的不好趨勢。
關注於真正重要的事情:改進安全控制的狀態,發現流程或者策略弱點並且修復它們,報告花銷並且滿足合規需求和成熟度目標。關注於這些領域,那麼一定能收穫很多。
安全基礎 什麼是資訊保安?資訊保安怎麼防護?
安全基礎 什麼是資訊保安?資訊保安怎麼防護?1 資訊保安指的是保護可用資訊或資訊資源不會受到未授權訪問 攻擊 盜竊 或資料損壞等的威脅 2 資料 在計算機系統中,檔案就是資料 3 資源是指虛擬或物理系統元件,物理資源是指任何直接連線到計算機系統中的裝置,虛擬資源是指檔案型別 記憶體位置 或網路連線 ...
什麼是統計資訊以及收集檢視方法
概念 oracle的統計資訊 儲存在資料字典裡,且從多個維度描述了oracle資料庫裡物件的詳細資訊。cbo會利用這些統計資訊來計算各條路徑的成本。分類 表 索引 列 系統 資料字典 內部物件的統計資訊 收集統計資訊 analyze 命令和dbms stats包。表 索引 列 資料字典都可以用兩個 ...
WEB安全基本的資訊收集
敏感目錄 1 收集方向 robots.txt 後台目錄 安裝包 上傳目錄 mysql管理介面 安裝頁面 phpinfo 編輯器 iis短檔案 2 常用工具 字典爆破 御劍 dirbuster wwwscan iis shortname scanner等 蜘蛛爬行 爬行菜刀 webrobot burp...