从您的技术项目开始解决安全性的11种方法

文章 (145) 2021-01-31 22:03:57

技术领导者普遍同意,他们的目标应该是从头开始在其产品中构建安全性。但是,这需要在执行之前进行详细计划。当今全球互联的技术环境使得网络安全比以往任何时候都更加重要。如果没有充分开发的安全框架,产品和整个公司可能容易受到恶意攻击。

从一开始就将安全性纳入系统是防止和保护此类攻击的行业最佳实践。福布斯技术委员会的这11名成员研究了技术领导者从项目一开始就可以实施安全性的方式,以及在整个开发周期中如何继续这样做。

1.明确定义边界

在软件开发中,我们所谓的“获取器”和“设置器”清楚地定义了产品所处理数据的边界。这类似于我们使用电源适配器保护电子设备的方式,该适配器仅在符合规格的情况下供电,否则会受到冲击并保护电子设备。- Viplav Valluri,FASTLANE美洲公司

2.不信任任何人

您必须确保安全团队在组织中造成摩擦。如果他们与IT和工程相处融洽,那就行不通了。您需要这种摩擦来确保您已深入到安全问题的核心。安全团队和工程团队必须保持健康的偏执狂,并假设每个人都在试图偷窃。这只是很多工作要做。- 吉姆·帕金森,北美Bancard

3.培育安全文化

尝试培养警惕文化。仅制定安全策略还不够—您必须确保公司中的每个人都了解它及其在当今数据驱动世界中的重要性。实施持续的培训课程,使您的员工对安全性保持全新的认识,并鼓励每位员工将客户或客户数据安全性作为基本工作考虑。- 罗恩Cogburn,Exela技术

4.了解基准

无论是云解决方案还是集成硬件解决方案,您的安全基准都必须从某个地方开始。在开始为您的业务需求构建该系统之前,您必须了解该系统的现代化,来龙去脉和可信赖性。确保您不是唯一了解系统的人,以防万一遇到无法预料的挑战。- WaiJe科莱尔,InfoTracer

5.从细分开始

建立新产品架构时,请先进行细分。合理划分的设计(基于物理或基于云的设计)可以防止漏洞,最大程度地减少漏洞并简化恢复。在构建新功能时,请一开始就考虑内置安全性的SecDevOps。成功的项目负责人会在久经考验的公式上进行优化:安全+准时+满足客户要求。- 菲利普·克邓,Fortinet的

6.启用自动检测和修复

将安全性转移到DevOps并在整个周期中实现对漏洞的自动检测和补救,将帮助项目负责人从一开始就成功地解决安全性问题。静态代码测试在开发生命周期中仍然占有一席之地,但是最佳实践是在管道中更早地移动安全性,以确保从一开始就为安全性而构建代码。- 保罗·李普曼,BullGuard的

7.按设计原则审查安全性和隐私

我不知道它是否鲜为人知,但是我总是建议一个项目团队按照设计原则审查安全性和隐私权,该原则将在默认和设计中将安全性和隐私权构建的概念纳入技术解决方案中。预先采用这些原则是构建安全且合规的程序的关键步骤。- 大卫Canellos,Ericom软件

8.回顾最近的案例研究

在众多竞争性软件开发优先事项中,安全有时会倒退。我的建议:回顾一两个最近的案例研究,这些案例表明安全性不足的影响。例如,2017年,由于未能应用安全补丁,导致英国医院的许多计算机瘫痪。通过真实案例研究来说明安全风险,可以使该问题栩栩如生,并确保将其覆盖。- 尼尔森Cicchitto,Avatier公司

9.准备数据处理图

如果您的新产品应该处理敏感或受管制的数据,请确保创建某种数据处理图-您将收集,使用和处理的关键数据类型;它在系统中的位置;谁将成为个人数据所在系统和流程的所有者。然后咨询您的安全性和合规性线索以建立此数据的安全性控制。- 伊利亚Sotnikov,Netwrix

10.培养设备心态

查看产品时,应该始终针对集合功能(例如设备)进行设计。当环境是静态的时,拥有强大的安全性要容易得多。开放式功能,开放式体系结构或一长串变量最终破坏了安全协议,并为黑客和潜在的安全漏洞创造了温床。被锁定并处于静态状态也不错。- 汤姆·罗伯托,核心技术解决方案

11.记住要保护您的存储系统

传统上,安全专家会特别注意外围的OS,网络和端点,认为这足以保护内部存储系统。认识到存储很容易被一种新型的勒索攻击目标的网络附加存储(NAS)最近被认定的例证卡巴斯基。因此,请更加注意加强关键存储系统!- 吉尔赫克特,连续性软件

THE END

发表回复