自动化在现代安全中的运用
作者:Gartner 添加时间:2019-07-04
Gartner三位专家在本文探讨了自动化在现代安全中的运用。
(文/Gartner研究副总裁Katell Thielemann、Gartner顾问总监Beth Schumaecker、Gartner高级研究总监David Mahdi)当一家医疗服务机构的首席信息安全官Amy仔细查看全公司的云安全时,她意识到默认访问控制模型正在引起各种访问问题。BeWell的基础设施即服务(IaaS)提供商默认设置成只允许企业主访问的安全状态。
另一方面,软件即服务(SaaS)提供商默认设置成完全开放访问。在使用多个云的情况下,Amy无法手动放宽IaaS的权限,也无法对SaaS进行充分的控制。那么该如何解决这个问题呢?答案是自动化。
当前,首席信息安全官不会再遇到“你们如何提供安全并管理风险”这样的简单问题,而遇到的是“你们如何帮助企业实现更多价值,同时评估和管理风险、安全、甚至安防?”等更复杂的问题。使用自动化是为企业机构带来价值的最佳方式。
自动化所带来的影响
自动化正在通过两种方式影响世界。第一,自动化实现了安全和风险功能;第二,自动化是一项需要被承认和理解的新型安全前沿技术。
随着业务的各个部分都开始采纳云、区块链、数字孪生、沉浸式技术等新兴技术,像Amy这样的首席信息安全官将会因各种优先任务而不知所措。
其他业务部门可能会在没有就安全问题咨询安全和风险管理领导者的情况下构建解决方案。这意味着他们每天都在做出与技术相关的选择,而且往往没有意识到他们正在做的事情所具有的潜在风险。安全和风险管理领导者无法控制并且有时无法得知这些业务选择,而这些业务选择可能带来严重的后果,尤其是在数字化业务潜力不断增长的情况下。
数字化转型改变了安全需求以及所需的技能组合与能力,它带来了难以填补(甚至不可能填补)的新人才缺口。
业务中的自动化
许多自动化工具都是临时的,但也有一些是针对流程关键部分的正规自动化工具。有些工具使用一种技术,有些类型的自动化工具则使用多种技术。例如机器人流程自动化最适合用于以任务为中心的环境以及使用预测建模、回归分析、预报和模式匹配回答“可能发生什么”这一问题的预测分析。
有些公司准备使用自动化降低成本,规范或提高生产效率。有些公司准备使用它来提高风险控制的质量和一致性,同时减少人为错误。企业机构还准备使用自动化提高速度或灵活性。
持续自适应风险与信任评估成为重要推手
无论如何使用自动化,安全和风险管理领导者都不会再依赖传统的安全策略。持续自适应风险与信任评估(CARTA)是一种承认没有完美保护方法,因此需要随时随地调整安全策略的策略方法。
安全和风险管理领导者要有意识地采取既能最大程度降低自身所在企业机构的风险,又能帮助企业机构获得回报的自适应自动化方法。安全和风险管理领导者必须根据情况平衡风险和信任,在自动化蓝图中找到自己的位置,实现自己的价值。
自动化的确会增加风险。例如算法中可能有来自创建者的隐式和显式偏差,或者不可信操作系统上的算法可能被外界秘密地操控。因此,任何有关自动化的选择都必须谨慎并且符合当前和未来的情况。
虽然有风险,但如果能够作出正确的选择,自动化会给安全团队和业务带来巨大的益处。
通过自动化实现价值
安全和风险专业人员必须在三个领域使用自动化实现价值,分别是:身份识别、数据和新产品或服务开发。
身份识别是所有其他安全控制的基础
在任何情况下,有关身份识别的决定都应该保持在安全和风险团队的控制范围内。随着越来越多的业务迁移到云环境,这一点变得更加重要。由于系统和公司变得日益复杂,单纯依靠几个密码进行身份确认已十分困难且危险。
可以考虑使用智能风险引擎自动执行流程中的特定部分。持续自适应风险与信任评估身份识别方法将成为确保风险引擎既不会过于放松,也不会过于严格的关键,而且该方法也适用于用户。
数据已成为企业价值的重要组成部分
业务如同“数据生产工厂”。如果无法保护和监控数据,则会产生高昂的代价,甚至损害企业机构的价值。
可以检查所有IaaS和SaaS应用程序的访问控制模型,考虑使用云访问安全代理(CASB)对数据和文件进行识别和分类。同时使用云访问安全代理和企业数字版权管理将控制延伸到整个企业,覆盖所有位置的数据。
新产品或服务开发是公司关注的焦点
为了获得竞争优势,各家公司正在开发新的产品和服务,同时使用新兴技术把握新的商机。由于公司越来越需要加快产品进入市场的速度,开发运维(DevOps)流程可能会违反安全协议。自动化可以帮助实现安全开发运维(DevSecOps)的终极目标,在一开始就将安全集成到流程中,不产生任何负面影响。
可以考虑自动化选项,例如交互式应用程序安全测试这一基于机器的解决方案可以让您从内部观察应用程序的行为。之后,您的团队就可以将安全测试放在质量检测之上并且避免使用单一的安全测试用例。
在这些至关重要的优先任务中,安全和风险管理领导者必须将他们想要处理的任务、其他团队可以合理完成的任务以及无法保证时间或精力的任务按优先级别排序。安全团队还必须考虑如何将自动化集成到系统中以及如何在持续自适应风险与信任评估安全方法中合理使用自动化。
为了管理和支持价值保护并实现价值创造,安全和风险管理领导者的工作就是识别和管理这种紧张局面,并在自动化蓝图中找到自己的位置。