2. 事事優(yōu)先，等于無事優(yōu)先

時間：2022-03-08 09:33:01 | 來源：行業(yè)動態(tài)

時間：2022-03-08 09:33:01 來源：行業(yè)動態(tài)

不斷考量/重新考量組織中的安全空缺，特別是最近剛剛發(fā)現(xiàn)但還沒解決的問題，這對于回歸安全基礎(chǔ)的整體舉措具有重大意義。ELston提到，大家可以使用各類外部框架，包括NIST網(wǎng)絡(luò)安全框架、OWASP Top 10等等。此外，MITRE ATTCK也是值得考量的因素，還有指向特定場景的監(jiān)管規(guī)則（例如HIPAA與PCI）。

Elston建議：大家最好能從對全體資產(chǎn)的庫存檢查起步。我們無法測試或者保護(hù)自己壓根不認(rèn)識的東西所以這份清單將成為內(nèi)部與外部漏洞評估、內(nèi)部及外部滲透測試乃至其他主動安全策略的實(shí)施基礎(chǔ)。

在這方面，個人和組織很容易在紛繁復(fù)雜的威脅情境下迷失方向。我們在企業(yè)中發(fā)現(xiàn)的風(fēng)險與漏洞清單，特別是在深入研究過那些涵蓋已知威脅與CVE的外部框架或其他資源時，往往讓人感到隱患是無窮的、人力卻是有限的。答案很簡單把問題縮小到能夠解決的規(guī)模。想要解決所有問題，那很可能什么都解決不了。面對逐年增加的潛在威脅，我們只能盡人事、并且想辦法盡好人事。

Elston指出：大家最終可能會整理出一份對組織影響最大的風(fēng)險清單，之后按重要性和業(yè)務(wù)影響對內(nèi)容進(jìn)行排序和優(yōu)先級調(diào)整。我個人建議先關(guān)注清單中的前20%條目，其他的以后再說。

這種方法主要有兩大優(yōu)勢。首先，既可以高效、又著眼于實(shí)效地關(guān)注高緊迫度風(fēng)險。這樣就能廣泛聽取安全意見，同時在組織中摸索出一套具體且可操作的方法。此外，這也是一條能夠統(tǒng)籌各方協(xié)同努力的、易于管理的安全保護(hù)路徑。

其次，這種方法也能產(chǎn)生切實(shí)有效的下游影響。因?yàn)樵陉P(guān)注最嚴(yán)重漏洞的同時，我們也能從中找到可以在其他場景中復(fù)用的固定模式。

想要解決所有問題，那很可能什么都解決不了，特別是在面對潛在威脅逐年增加的情況下。

Elston認(rèn)為：通常情況下，關(guān)注最關(guān)鍵的漏洞能夠幫助我們理解自身環(huán)境、網(wǎng)絡(luò)與人員的實(shí)際情況。在確定缺陷在哪里、如何進(jìn)行糾正的過程中，我們將能夠制定出一種適用于其他低優(yōu)先級問題的原則性方法。

Elston還強(qiáng)調(diào)了為不同人員及團(tuán)隊(duì)建立內(nèi)部渠道，借此就安全問題開展溝通和協(xié)作的重要意義。對于還不太熟悉DevSecOps方法的朋友來說，這也不失為一種理想的探索起點(diǎn)。

Elston指出：值得慶幸的是，通過負(fù)責(zé)任披露計(jì)劃、眾包信息源以及滲透測試，我們可以及早發(fā)現(xiàn)大部分漏洞并迅速加以修復(fù)。但要想達(dá)成這一目標(biāo)，我們就必須在IT、基礎(chǔ)設(shè)施、安全及開發(fā)團(tuán)隊(duì)之間建立起清晰而積極的溝通渠道。