推动数据安全战略落地 新思科技给出这些建议 原创

如今，各行各业都在推进数字化转型，而实现业务创新离不开数据驱动，于是数据安全问题便备受关注。关于数据泄露、黑客袭击和勒索软件攻击的报道不胜枚举。

目前，世界各地的政府大多已经实行了数据安全和数据隐私的相关法律，或者正在制定相关法律法规，比如欧盟的《通用数据保护条例》（GDPR）、中国的《网络安全法》。

而近日颁布的《数据安全法》则有助于规范数据处理活动，保障数据安全，维护各主体数据相关权益。即将在11月1日生效的《个人信息保护法》也将更加有效地保护个人隐私。

新思科技软件质量与安全部门亚太区客户服务总监Ian Hall告诉记者，相关法律的颁布可以推动人们以更加严肃的态度看待数据安全与保护问题。所有企业/机构都应该了解他们当地的法律。

挑战无处不在

虽然安全问题如此重要，但是有的企业还是把安全问题放在次要位置。技术研究公司Enterprise Strategy Group的一份报告指出他们发现接近半数的企业将易受攻击的代码投入生产。如果这些产品很容易受到攻击，企业的数据（以及客户的数据）就会受到损害。

2020年，黑客通过破坏SolarWinds的Orion网络管理产品入侵了美国联邦机构的网络。此外，多达1.8万的Orion客户也面临着一场因供应链攻击而带来的巨大威胁。这场因供应链安全引发的安全危机可以说是近年来较为严重的网络事件之一。

当下，各个企业之间的联系比以往任何时候更为密切，每家企业都安装上百甚至上千个应用程序，包括来自外部供应商、内部研发以及开源库。这意味着攻击面也更多，使部署安全的应用程序变得异常困难。

毕竟企业不知道他们拥有哪些软件/组件，安全保护从何谈起？Ian表示，他们需要全局管理供应链，包括从供应商、应用程序、开源项目到内部应用的清单，确保来自供应链的应用安全，避免在不知情的情况下受到攻击。SolarWinds旗下软件被用于供应链攻击的事件即是一个警钟。

卓越的安全团队能够锁定供应链风险、应用程序和风险类型，他们就有机会开始寻找有助于问题解决的工具。然而，已知的解决方法和工具眼花缭乱，从测试工具（像是静态应用安全测试和软件组成分析）到渗透测试，再到网络安全，甚至运行时应用程序自我保护，数不胜数。如果没有适当的策略，那么安全计划无从下手。选用不合适的工具组合往往会导致安全计划失败。

新思科技来支招

为了解决面临的安全挑战，企业应该创建数据安全策略和框架，多部门协作共同保障数据安全。

新思科技通过执行BSIMM评估帮助客户制定数据安全战略。基于BSIMM的结果，新思科技可以提供一个成熟行动计划（MAP），为企业的安全和开发团队提供行动路线图，对症下药，应对应用安全挑战、达成目标。作为整体安全计划的一部分，这可能包括企业应部署的具体的行动和工具。

Ian说，如果一个企业处于创建自身安全战略的起步阶段，那么建议他们学习其他企业的先进经验。开放的框架，比如软件安全构建成熟度模型（BSIMM），是很好的参考。企业可以将BSIMM作为一把标尺，衡量自身的安全计划，经过深思熟虑后决定将有限的时间和精力投入到哪些安全项目，或者哪些安全项目可以中止。

最新的BSIMM11反映了观察到的130家公司的软件安全活动，覆盖多个垂直行业，包括金融服务、金融科技、独立软件供应商（ISV）、云、医疗保健、物联网、保险及零售等。而BSIMM12将于今年第四季度发布。

企业的安全机制是自上而下的。因此，高管将安全计划定调很关键。当谈到安全问题的时候确定好企业内每个人的角色和职责十分重要。明确责任能够减少分工模糊，同时使团队更加有行动力和创造力。尽管组建强大的安全团队，设立规则，确保合规性和管理安全设施很重要，但是应用安全（AppSec）的一个趋势是让工程团队起到更大的作用。

在Ian看来，将应用安全（AppSec）融入整体安全战略十分重要。因为每个企业都在开发、定制或使用某种类型的软件，如果这些软件不够安全的话，攻击者就会很容易入侵并盗取机密信息。“DevSecOps是指在DevOps环境中融入安全，兼顾速度与安全，安全策略需要包含广泛的自动化流程。随着安全工作逐渐转向工程团队，软件安全团队现在通常向首席技术官（CTO）汇报，而不是首席信息安全官（CISO）。”

首席信息安全官（CISO）的主要职责之一是保护其公司的重要数字资产，包括企业知识产权，例如专有源代码和其它专利技术和机密信息。随着数据隐私条例陆续颁布，CISO还需要保护用户数据，包括个人身份信息、健康信息、支付卡数据等。

CISO需要与不同岗位的同事协作，包括数据保护、IT基础设施、合规性和软件开发部门等，以确保遵守数据保护和隐私法律、标准和指南。

“安全问题一直在变化。今天部署的安全计划不一定能应对往后的风险。趋势也变化莫测，因此企业需要将眼光放长远，有前瞻性。比如说，现今容器化是十分流行的概念，但当企业实现了容器化后，是否做了评估来决定是不是要采取新的行动呢？如果使用编排，默认提供什么样的安全以及该平台的用户需要做什么？企业应该寻求安全专家的帮助，一起在软件安全的道路上披荆斩棘，众行至远。”Ian最后说。