信息來(lái)源：FreeBuf

每年六月，Gartner 都會(huì)在華盛頓附近召開(kāi) Gartner 安全與風(fēng)險(xiǎn)管理峰會(huì)。 這場(chǎng)峰會(huì)主要面向 CISO、首席風(fēng)險(xiǎn)官、建筑師、IAM 和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)等高級(jí) IT 和安全專業(yè)人員。 今年，有超過(guò) 3000 名與會(huì)者，120 場(chǎng)分析師會(huì)議可供選擇，還有 200 名供應(yīng)商參加了展會(huì)并發(fā)表演講。

今年 5 月底正式生效的 GDPR 無(wú)疑成為了會(huì)議的熱門議題，區(qū)塊鏈也有頗多討論。但縱觀整個(gè)峰會(huì)，分析師們更加強(qiáng)調(diào)的是“回歸本源”，注重基礎(chǔ)設(shè)施、開(kāi)發(fā)過(guò)程中的安全性。

本源很重要

許多分析師都在會(huì)上談到了數(shù)據(jù)相關(guān)的問(wèn)題。GDPR 生效之后，數(shù)據(jù)不斷升值。 Gartner 研究總監(jiān) Brian Lowans 在會(huì)議上拋出了“數(shù)據(jù)已經(jīng)成為新一類石油”這個(gè)觀點(diǎn)，強(qiáng)調(diào)了數(shù)據(jù)的重要性，并分享了 Gartner  關(guān)于“數(shù)據(jù)安全狀況”的分析結(jié)果。當(dāng)前形勢(shì)下，建立一個(gè)管理結(jié)構(gòu)并讓各個(gè)組織共同協(xié)作，有助于識(shí)別數(shù)據(jù)、將數(shù)據(jù)分類并采用戰(zhàn)略性方法保護(hù)數(shù)據(jù)。 一些分析師使用了相同的圖表（如下圖）來(lái)表明，黑客攻擊導(dǎo)致的數(shù)據(jù)泄露持續(xù)增長(zhǎng)，而內(nèi)部威脅和意外泄露等問(wèn)題則比較平穩(wěn)?；谶@種趨勢(shì)，可以采取針對(duì)性的手段來(lái)確保安全。

此外，Gartner 研究總監(jiān) Gorka Sadowski 和 Pete Shoard 還展示了 2018 年的威脅狀況（見(jiàn)下圖）。 回顧威脅狀況不僅能展示新攻擊媒介、腳本小子工具和韓國(guó)黑客帶來(lái)的噩夢(mèng)般的攻擊場(chǎng)景，而且有助于控制風(fēng)險(xiǎn) 。 通過(guò)類比來(lái)看待“風(fēng)險(xiǎn)”，可以發(fā)現(xiàn)人工可以控制以及無(wú)法控制的部分。而利用那些可控的部分，就能減小風(fēng)險(xiǎn)。

我們通常無(wú)法預(yù)防威脅，但是，我們可以通過(guò)搭建良好的基礎(chǔ)設(shè)施，來(lái)降低已知漏洞的風(fēng)險(xiǎn)，最好是為業(yè)務(wù)制定“優(yōu)先處理風(fēng)險(xiǎn)進(jìn)而處理漏洞”的策略。這個(gè)策略也是整場(chǎng)峰會(huì)幾天來(lái)一直持續(xù)的主題。 以現(xiàn)場(chǎng)講解的“通過(guò)代碼庫(kù)中的惡意軟件注入將惡意軟件傳播到組織代碼中”為例，演講者不僅在 GitHub 中演示了詳情，還列舉了一些自我保護(hù)的方法。例如：不使用開(kāi)源代碼改變流程并在使用代碼之前檢查 MD5 值。 代碼簽名是避免泄露的簡(jiǎn)單而有效的方式，但它必須通過(guò)流程或技術(shù)來(lái)執(zhí)行。因此，執(zhí)行過(guò)程中可能出現(xiàn)問(wèn)題，而安全研究員必須盡力在這個(gè)過(guò)程中來(lái)降低風(fēng)險(xiǎn)，確保安全。

DevOps 行之有效

Trend Micro 云研究副總裁 Mark Nunnikhoven 表示：DevOps  一直在被濫用，導(dǎo)致這個(gè)詞失去了原本的意義。目前已經(jīng)有很多 DevOps 工具，不少組織還推出了專業(yè)“DevOps 人才”，但 DevOps 的核心其實(shí)是平衡組織內(nèi)部的開(kāi)發(fā)和運(yùn)營(yíng)環(huán)節(jié)。

DevOps 重點(diǎn)關(guān)注人員、流程和產(chǎn)品，并已經(jīng)在企業(yè)和交付環(huán)節(jié)持續(xù)取得成功，獲得良性反饋和循環(huán)。從安全角度來(lái)看，DevOps 有助于創(chuàng)建“一種協(xié)作文化，通過(guò)減少生產(chǎn)環(huán)境的變化來(lái)降低風(fēng)險(xiǎn)”。

Nunnikhoven 說(shuō)，公司如果能反應(yīng)迅速，做出更小的變更，就能降低風(fēng)險(xiǎn)。以前，較大的組織部署可能包含數(shù)千行代碼，從中找出漏洞根源可能很難。但是，隨著 DevOps 發(fā)展出更多形態(tài)，企業(yè)可以每天多次部署，推出多次小的更新，舍棄以前一次性發(fā)布的較大更新。最重要的是，安全應(yīng)當(dāng)嵌入到開(kāi)發(fā)過(guò)程中，不能作為一個(gè)額外的審計(jì)步驟。

這就要求安全部門需要發(fā)揮真正的作用，提高員工對(duì) DevSecOps 的認(rèn)識(shí)，打破孤島，讓安全團(tuán)隊(duì)更早地成為開(kāi)發(fā)流程的一部分，讓更多問(wèn)題在生產(chǎn)中就能捕獲，從而降低產(chǎn)品發(fā)布后的風(fēng)險(xiǎn)。

安全融入用戶體驗(yàn)

數(shù)字化時(shí)代，越來(lái)越多的用戶開(kāi)始重視個(gè)性化體驗(yàn)，安全領(lǐng)導(dǎo)者若想成功，也需要重視這一點(diǎn)。Gartner 研究副總裁 Leigh McMullen 在峰會(huì)上表示，雖然作為安全人員希望事事都在掌控之中，但是人往往是不受控制的因素。因此，安全領(lǐng)導(dǎo)者在與業(yè)務(wù)部門溝通時(shí)以及在推出安全產(chǎn)品時(shí)，可能要改變參與方式，適當(dāng)放棄控制來(lái)獲得話語(yǔ)權(quán)，讓領(lǐng)導(dǎo)者真正重視安全問(wèn)題。在這一部分，他們所指的用戶主要是企業(yè)組織的高管與領(lǐng)導(dǎo)者等。

安全不應(yīng)該破壞用戶體驗(yàn)，但很多情況下安全的確妨礙了良好的用戶體驗(yàn)。 用戶，以及企業(yè)中的每一個(gè)人，都希望他們的付出獲得相應(yīng)的回報(bào)。如果你的用戶體驗(yàn)不好，就可能被用戶淘汰。

Gartner 表示，安全和風(fēng)險(xiǎn)領(lǐng)導(dǎo)者可以通過(guò)五種方法來(lái)提升用戶（高管）體驗(yàn)：

與管理者談?wù)劙踩@件重要的事情：Gartner 分析師表示，研究表明，對(duì)風(fēng)險(xiǎn)和安全的擔(dān)憂會(huì)對(duì)創(chuàng)新產(chǎn)生重大影響。很多組織因?yàn)閾?dān)心安全問(wèn)題而放緩腳步，安全領(lǐng)導(dǎo)者需要與企業(yè)高管談?wù)摪踩珜?duì)于高管所看重的業(yè)務(wù)的影響，讓他們意識(shí)到業(yè)務(wù)需要依賴于安全。同時(shí)，如果能夠提升高管對(duì)于風(fēng)險(xiǎn)與安全的意識(shí)及容忍度，就能讓公司發(fā)展得更快，實(shí)現(xiàn)商業(yè)價(jià)值。

通過(guò)基于運(yùn)營(yíng)的風(fēng)險(xiǎn)評(píng)估策略幫助高管做出決定：Gartner 建議，安全領(lǐng)導(dǎo)可以從一個(gè)業(yè)務(wù)流程開(kāi)始，與執(zhí)行該流程的人面談，進(jìn)而讓業(yè)務(wù)進(jìn)行得更加順暢；

做好防御，讓高管有方案可選：企業(yè)高管一般不直接管控技術(shù)風(fēng)險(xiǎn)和安全。但是，當(dāng)一個(gè)組織遭到黑客攻擊時(shí)，公眾依然希望高管能為安全漏洞后果負(fù)責(zé)。因此，最好為高管設(shè)計(jì)特定的防御策略，以防在真正遇到問(wèn)題時(shí)手足無(wú)措；

不要談?wù)摷兗夹g(shù)內(nèi)容：高管往往更關(guān)心業(yè)務(wù)而非具體的技術(shù)，因此在與高管對(duì)談時(shí)，最好不要談?wù)摷兗夹g(shù)內(nèi)容，而是應(yīng)當(dāng)盡量抽走技術(shù)，根據(jù)業(yè)務(wù)成果做出決策，讓決策更加可靠。

把項(xiàng)目管理改為產(chǎn)品管理：項(xiàng)目管理是安全領(lǐng)導(dǎo)一直以來(lái)的事情。他們優(yōu)先考慮和資助活動(dòng)。例如，項(xiàng)目管理流程包括開(kāi)始、執(zhí)行、實(shí)施、驗(yàn)收測(cè)試、集成和部署等，往往有開(kāi)始和結(jié)束周期。而產(chǎn)品管理則是連續(xù)的環(huán)節(jié)，大多圍繞業(yè)務(wù)流程進(jìn)行組織，同時(shí)為相關(guān)業(yè)務(wù)流程提供 IT 支撐。產(chǎn)品管理沒(méi)有具體結(jié)束日期，會(huì)在產(chǎn)品生命周期中不斷把控、保護(hù)、管理。

做好這幾項(xiàng)，就能提升用戶（高管）體驗(yàn)，讓組織在安全方面做得更好，實(shí)現(xiàn)安全管理者的目標(biāo)和責(zé)任。

參考來(lái)源：

https://www.businesswire.com/news/home/20180607005836/en/Gartner-Identifies-Steps-Security-Leaders-Implement-Create

https://www.ciodive.com/news/why-devops-is-the-answer-to-reducing-security-flaws-and-risk/525149/

https://securityboulevard.com/2018/06/gartner-security-risk-management-summit-2018-trip-report/