消防员还是建筑检查员 | 重新思考安全
作者:Joe Basirico
发布日期:2020年3月11日
阅读时间:3分钟
消防员是英雄。他们冲进燃烧的建筑物,从灾难中拯救我们的家人和传家宝。他们在风暴中心提供帮助。
建筑检查员是官僚。他们告诉我们如何安全地建造和改造,同时减轻可能永远不会发生的意外威胁。
但谁拯救了更多的生命和财产?
很难确定建筑规范或建筑检查员的建议和要求避免了多少灾难,但我怀疑通过他们仔细的建筑计划、流程和程序避免的灾难比消防员响应火灾要多得多。
家庭火灾主要由人为错误和建筑问题引起。人为错误包括烹饪和粗心行为,如让蜡烛无人看管。建筑问题包括电气和暖通空调并发症。人为错误通过教育解决,建筑问题通过更好的建筑政策和指南解决。
在现代企业中,我们痴迷于扑灭最近的火灾:最新的数据泄露、恶意软件攻击、网络钓鱼攻击。我们购买和使用的产品和服务与这种思维一致。许多这些产品和服务都专注于阻止我们认为不可避免的事情。我们假设数据泄露是司空见惯的世界。这意味着我们在数据丢失预防、渗透测试和网络安全保险上花钱。
如果不是这样呢?如果我们可以构建一个系统,在攻击和泄露发生之前预测它们呢?我们有足够的数据表明防御性支出不起作用,让我们处于被动。我们需要将建筑检查员和建筑规划者的思维应用到构建软件中。
当我们应用这种思维时,我们必须从头开始。这是我经常被问到的问题。可能是从哪里开始网络安全职业,从哪里开始寻找软件或网络中的漏洞,从哪里开始防御企业。
这些问题的答案有两个部分,第一部分是开始思考可能发生的坏事。问自己,这个功能从攻击者的角度看是什么样子?最坏的情况是什么?攻击者最想得到什么,目前什么阻碍了他们?在我们的房屋火灾场景中,这相当于制定建筑规范,帮助确保我们的电气系统和暖通空调不会自发起火,我们的建筑材料更耐火。
第二部分是通过教育帮助用户做出更好的决策。这可以通过基于风险的方法来完成。您可以根据员工当前的教育水平决定从哪里开始;也许您想先从知识最少的员工开始,或者根据他们对组织的影响;也许最好从能够访问最关键系统的员工开始。无论哪种情况,您都可以积极决定开始改善员工做出的决策。
威胁建模是帮助理解和减少应用程序和组织风险的最有影响力的事情之一。开始了解您想要保护的系统的资产、入口点、用户、角色、组件和威胁,是在知道在哪里应用资源方面迈出的一大步。您可以使用威胁建模作为镜头来查看任何威胁。一旦您意识到面临的威胁,您就可以决定每个威胁的风险级别和风险处理。
在考虑构建战略性安全计划时,问自己:您是想成为追逐最新火灾的消防员,还是成为在威胁发生之前预测和减轻威胁的领导者?
请订阅我们的新闻通讯。每月我们发送一份新闻通讯,包含新闻摘要和我们最近几篇文章的链接。不要错过!
另请参阅
纵深防御,我应该做什么来避免严重伤害
分享与讨论
归档于
威胁建模、领导力、培训
Joe Basirico & Jason Taylor © 2023