您是否高估了组织的安全成熟度？

这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。


随着大多数企业在增长、创新和数字化转型的起伏中度过难关，随着公司规模的扩大，某些领域仍在进行中是很自然的。组织的网络安全计划通常是这种情况，尤其是在安全领导者努力在增加风险敞口的新威胁、漏洞和技术发展方面保持领先地位的时候。

但是，有了 持续的技能短缺 与为满足世界软件需求而编写的大量代码背道而驰的是，许多企业的网络安全战略和现有基础设施却落在了后面。而且，由于该行业似乎专注于基于工具的方法，因此在有效的防御计划中，经常会错过熟练人才的力量。

现在是我们诚实地审视我们的整体网络安全成熟度，并评估摆在我们面前的可行速赢的时候了。

可持续的网络安全成熟度是一个过程。

公众很容易假设每个企业都会有一个强大的网络安全计划，而保护只需要选择正确的软件，然后像防御盾一样激活它，以阻止威胁行为者前进。2022年是其中之一 网络事件有记录以来最糟糕的年份 -包括 整个哥斯达黎加政府都被勒索赎金 -许多安全专业人员只能希望它这么简单。

尽管许多行业，尤其是金融行业，都以合规为导向，受越来越复杂的监管框架的约束，需要严格的安全措施，但现实情况是，大多数组织缺乏网络弹性。 一半以上 全球的大公司无法有效阻止网络攻击，也无法迅速发现和修复被利用的漏洞。

即使是被认为是先进的组织，其定义成熟的计划涵盖了人员、流程和技术三重威胁的最佳实践，也可能难以满足威胁格局的快节奏需求。许多公司不足的一个关键领域是基于角色的安全意识，尤其是对开发团队而言。尽管组织中的每个人都必须了解他们在缩小攻击面方面所起的作用，但那些日复一日地争论代码的人只要有足够的技能，就可以成为真正具有变革性的安全方法的主导地位。

全面的防御性安全计划需要持续改进，需要认真注意以奠定坚实的基础。如果这些基础主要是基于工具的，那么成熟度很可能低于安全领导者的期望。Ponemon 研究所的一项研究表明 53% 的企业对他们的安全技术堆栈能否有效阻止漏洞没有信心，并与 人为错误是主要原因 成功地对大小公司进行网络攻击，将开发人员排除在战略安全提升之外就是在玩火。

让开发人员成为卓越软件安全性的推动力

围绕网络攻击的令人不安的事实是，在几乎所有情况下，攻击者无论处于安全成熟度之旅的哪个阶段，都比目标企业具有明显的优势。他们有时间、工具和动力来仔细扫描任何可以利用的弱点，致力于突破和发家致富。

另一方面，组织正在兼顾业务和客户需求，尽管他们承受不起惊人的网络攻击的巨大风险，但业务运营为了适应大量可能阻碍绩效的安全控制措施而放慢脚步是不切实际的。在这里，具有安全技能的开发人员代表网络防御结果的X因素。

尽管众所周知，传统上，开发人员无法以有意义的方式分担安全责任，但这种情况可以而且必须向更好的方向改变。各组织可以为发展群体创造可行的技能提升途径，但他们需要选择教育选项，以适合其世界的方式提供相关的课程材料。至少，它应该以他们积极使用的语言和框架来传达，并解决他们在代码库中最有可能遇到的漏洞。

当课程结构时考虑到开发人员的工作流程时，长期存在常见漏洞和错误配置的不良编码模式被良好、安全的模式所取代的可能性要大得多，这些模式会随着时间的推移显著提高软件质量。低质量的软件使美国付出了代价 仅在今年，就有2.41万亿美元，而这只能通过打破持续高风险技术债务的错误循环来补救。

这需要整个组织对更积极、更全面的安全计划做出承诺；该计划利用所需的人力来改变以人为本的问题。而且，如果不关注明天的头条新闻至关重要，那么付出努力肯定是值得的。