压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全團(tuán)隊(duì)常尋求以技術(shù)應(yīng)對(duì)安全挑戰(zhàn)。但有時(shí)候，引入新產(chǎn)品反而會(huì)制造更多問(wèn)題。

面對(duì)如何緩解風(fēng)險(xiǎn)的挑戰(zhàn)，安全團(tuán)隊(duì)通常從技術(shù)上找尋解決方案。然而，有時(shí)候投資新產(chǎn)品反而會(huì)給公司整個(gè)安全生態(tài)環(huán)境制造新的麻煩。

實(shí)際操作中，不是所有的工具和技術(shù)都能協(xié)同工作。很多情況下，公司企業(yè)已經(jīng)坐擁幾十上百種不同工具和技術(shù)，卻往往連弄清自己到底在用哪些技術(shù)都做不到，更別提知道這些在用技術(shù)的功能了。

安全人才短缺已是不爭(zhēng)的事實(shí)，公司企業(yè)苦于無(wú)人可用的窘狀并不鮮見(jiàn)。這種時(shí)候，用技術(shù)來(lái)克服人手短缺問(wèn)題的想法往往顯得特別誘人。

于是，公司企業(yè)該如何調(diào)整期望值，建立清晰有效的安全編排與自動(dòng)化演進(jìn)路線呢？

放棄幻想，面對(duì)現(xiàn)實(shí)

安全編排與自動(dòng)化的概念本身新穎奪目。但投入更多技術(shù)并不能保證足以解決多個(gè)孤立工具無(wú)法協(xié)同工作的問(wèn)題。

整個(gè)公司的基礎(chǔ)設(shè)施及數(shù)據(jù)安全需要人手來(lái)維護(hù)，所以實(shí)際技術(shù)實(shí)現(xiàn)肯定會(huì)有失敗案例。很多公司投資此類(lèi)平臺(tái)的動(dòng)機(jī)都不怎么切合實(shí)際。

這些動(dòng)機(jī)來(lái)自于企業(yè)正在經(jīng)歷的痛點(diǎn)，比如說(shuō)安全團(tuán)隊(duì)承受的來(lái)自董事會(huì)的靈魂拷問(wèn)：“你有這個(gè)嗎？我們是不是很安全？我們很關(guān)注 IT 安全，可不想看到整個(gè)公司成為下一個(gè)曝上頭條的悲劇。”

以數(shù)據(jù)防丟失 (DLP) 為例。約十年前初登場(chǎng)的時(shí)候，DLP 為廣大首席信息安全官 (CISO) 呈現(xiàn)的前景，是其實(shí)現(xiàn)可保護(hù)數(shù)據(jù)，防止被盜。但公司企業(yè)很快便被現(xiàn)實(shí)好好教育了一番，認(rèn)識(shí)到該解決方案不是裝好后放著不管，就能自動(dòng)達(dá)成市場(chǎng)銷(xiāo)售人員許諾的功效的。決定成敗的細(xì)節(jié)遠(yuǎn)比想象中多。

對(duì)有很多不同平臺(tái)、數(shù)據(jù)源和過(guò)程需以不同方式照管的大型復(fù)雜基礎(chǔ)設(shè)施而言，一套多功能解決方案連權(quán)宜之計(jì)都算不上。

公司企業(yè)往往要到購(gòu)買(mǎi)后 10 到 12 個(gè)月，才會(huì)開(kāi)始意識(shí)到 DLP 并不完美。每個(gè)營(yíng)銷(xiāo)承諾中都包含有各種各樣的附加說(shuō)明。安全自動(dòng)化這一新領(lǐng)域也不過(guò)是在見(jiàn)證這種營(yíng)銷(xiāo)手段的重復(fù)。

安全工具能協(xié)同工作嗎？

多數(shù)公司企業(yè)最需要的，是能在當(dāng)今復(fù)雜環(huán)境中順利運(yùn)轉(zhuǎn)各種程序的資深工程師。

苦于人力資源短缺困境之時(shí)，很多公司企業(yè)都會(huì)向技術(shù)解決方案要產(chǎn)能。但即便是同一供應(yīng)商的解決方案，也會(huì)有不一樣的用戶界面和工作流橫亙?cè)谝惶桩a(chǎn)品中。

既有助于解決人手不足難題，又能確保環(huán)境始終統(tǒng)一的解決方案，或許可以考慮下軟件即服務(wù) (SaaS) 或托管服務(wù)。此類(lèi)服務(wù)的供應(yīng)商提供服務(wù)運(yùn)行所需的人力和專業(yè)知識(shí)，客戶可與其合作定義自己想要獲取的服務(wù)。

另一個(gè)解決方案是尋找有健壯 API 可供集成的產(chǎn)品。現(xiàn)代安全平臺(tái)會(huì)利用 REST 之類(lèi)通用 API，可以集成第三方數(shù)據(jù)以做欺詐分析。

開(kāi)放架構(gòu)的集中式云平臺(tái)可以提升各數(shù)字信道的可見(jiàn)性，比如互聯(lián)網(wǎng)和移動(dòng)網(wǎng)絡(luò)。另外，很多公司企業(yè)也提供應(yīng)用或?qū)I(yè)服務(wù)來(lái)打造或支持所需集成。

由于靜態(tài)程序驗(yàn)證安全不再滿足需要，專家建議，安全水平應(yīng)最好與風(fēng)險(xiǎn)水平對(duì)齊。帶編排的身份驗(yàn)證技術(shù)和方法能夠?yàn)橄嚓P(guān)交易風(fēng)險(xiǎn)動(dòng)態(tài)采用合適的身份驗(yàn)證方法。公司企業(yè)能由此達(dá)成安全、用戶體驗(yàn)和監(jiān)管合規(guī)目標(biāo)。

管理編排期望

最好的安全編排對(duì)終端用戶完全不可見(jiàn)。以常用的手機(jī)銀行交易為例。隨著時(shí)間推移，手機(jī)銀行交易行為越來(lái)越普遍，風(fēng)險(xiǎn)也不算高。

但只要交易參數(shù)有變，比如交易額、交易地點(diǎn)、位置設(shè)備、越獄/已解鎖 root 權(quán)限的手機(jī)等，風(fēng)險(xiǎn)亦隨之上升。對(duì)于低風(fēng)險(xiǎn)交易，用戶身份驗(yàn)證可以是平滑無(wú)縫的，比如指紋掃描；隨著風(fēng)險(xiǎn)上升，就需要額外的身份驗(yàn)證步驟了，比如人臉識(shí)別、PIN 碼輸入、行為特征匹配等。

這種驗(yàn)證機(jī)制有多重技術(shù)在提供后臺(tái)支持。風(fēng)險(xiǎn)分析技術(shù)產(chǎn)生精確的風(fēng)險(xiǎn)評(píng)分，移動(dòng)安全技術(shù)評(píng)估設(shè)備和移動(dòng)應(yīng)用風(fēng)險(xiǎn)，基于風(fēng)險(xiǎn)水平的身份驗(yàn)證方法及編排，則為每次交易動(dòng)態(tài)執(zhí)行精準(zhǔn)身份驗(yàn)證工作流。多重技術(shù)協(xié)同運(yùn)作，方確保每次交易都應(yīng)用了恰當(dāng)?shù)陌踩健?/p>

為運(yùn)用自動(dòng)化技術(shù)達(dá)成該安全編排水平，公司企業(yè)應(yīng)先坦誠(chéng)評(píng)估安全生態(tài)系統(tǒng)中有效和無(wú)效的技術(shù)。審查哪些工具給公司客戶、合作伙伴和供應(yīng)商造成了麻煩，哪些技術(shù)降低了移動(dòng)網(wǎng)絡(luò)等關(guān)鍵信道的可見(jiàn)性。識(shí)別低效過(guò)程，比如需要人工欺詐審核或增加誤報(bào)的那些。

而公司企業(yè)最應(yīng)該擁有的，是一套成熟的過(guò)程。真實(shí)評(píng)估編排與自動(dòng)化可對(duì)公司及盈利產(chǎn)生切實(shí)幫助的地方，有助于識(shí)別真正有效的實(shí)際過(guò)程。

只要一步一步踏實(shí)前進(jìn)，從一開(kāi)始就非常現(xiàn)實(shí)，不任由供應(yīng)商向你許諾整個(gè)世界，那你的安全編排與自動(dòng)化之旅就會(huì)個(gè)積極得多的良好體驗(yàn)。