您是消防员还是建筑检查员
作者:Joe Basirico
发布日期:2020年3月11日
阅读时间:3分钟
消防员是英雄。他们冲进燃烧的建筑物,从灾难中拯救我们的家人和传家宝。他们在风暴中心提供帮助。
建筑检查员是官僚。他们告诉我们如何安全地建造和改造,同时减轻可能永远不会发生的意外威胁。
但谁拯救了更多的生命和财产?
很难确定建筑规范或建筑检查员的建议和要求避免了多少灾难,但我怀疑通过他们仔细的建筑计划、流程和程序避免的灾难比消防员应对火灾要多得多。
家庭火灾主要由人为错误和建筑问题引起。人为错误包括烹饪和粗心行为,如让蜡烛无人看管燃烧。建筑问题包括电气和暖通空调(HVAC)的复杂问题。人为错误通过教育来解决,建筑问题通过更好的建筑政策和指南来解决。
在现代企业中,我们痴迷于扑灭最近的火灾:最新的数据泄露、恶意软件攻击、网络钓鱼攻击。我们购买和使用的产品和服务与这种思维一致。许多这些产品和服务专注于阻止我们认为不可避免的事情。我们假设数据泄露是司空见惯的世界。这意味着我们在数据丢失预防、渗透测试和网络安全保险上花钱。
如果不是这样呢?如果我们能构建一个系统,在攻击和漏洞发生之前预测它们呢?我们有足够的数据表明防御性支出没有奏效,让我们处于被动状态。我们需要将建筑检查员和建筑规划者的思维应用到软件构建中。
当我们应用这种思维时,我们必须从头开始。这是一个我经常被问到的问题。可能是从哪里开始网络安全职业生涯,从哪里开始寻找软件或网络中的漏洞,从哪里开始防御企业。
这些问题的答案有两个部分,第一部分是开始思考可能发生的坏事。问自己,从攻击者的角度来看,这个功能是什么样子的?最坏的情况是什么?攻击者最想得到什么,目前是什么阻碍了他们?在我们的房屋火灾场景中,这相当于制定建筑规范,有助于确保我们的电气系统和暖通空调不会自发起火,我们的建筑材料更耐火。
第二部分是通过教育帮助用户做出更好的决策。这可以通过基于风险的方法来完成。您可以根据员工当前的教育水平决定从哪里开始;也许您想从知识最少的员工开始,或者根据他们对组织的影响;也许最好从能够访问最关键系统的员工开始。无论哪种情况,您都可以积极决定开始改善员工做出的决策。
威胁建模是帮助理解和减少应用程序和组织风险的最有影响力的事情之一。开始了解您想要保护的系统的资产、入口点、用户、角色、组件和威胁,是知道在哪里应用资源的一大步。您可以使用威胁建模作为镜头来查看任何威胁。一旦您意识到面临的威胁,您就可以决定每个威胁的风险级别和风险处理方式。
在考虑构建战略性安全计划时,问自己:您想成为追逐最新火灾的消防员,还是成为在威胁发生之前预测和减轻威胁的领导者?
请订阅我们的新闻通讯。每月我们会发送一份新闻摘要和最近几篇文章的链接。不要错过!
另请参阅
深度防御,我应该做什么来避免严重伤害
分享与讨论
归档于
威胁建模、领导力、培训
Joe Basirico & Jason Taylor © 2023