- 企业数字化转型要求
- 资产、客户、市场、数据端下的业务转型
- 管理要求:所见即所做
- 安全应该如何适应转型趋势
- 工作成果数字化
- 提供高质量的常态化输入
- 安全运营的数字化
- 根据管理层的偏好选取展示指标
- 被动型数据
- 入侵检测告警时间数统计
- e'e攻击拦截次数
- 攻击来源分布
- 主动型数据
- 漏洞扫描系统.次
- 渗透测试次数
- 弱口令整改情况
- 项目安全评审数量
- 安全风险治理的数字化思路
- 聚焦问题
- 同各国数字化看板将问题放在台面上
- 以推动管理层参与风险治理为核心
- 明确风险责任主体
- 评分主体以业务部门为单位,将风险后果与业务部门自身的目标挂钩
- 整体思路
- 建立一条与公司管理层思路相适应的,与业务目标挂钩的,信息安全风险展示路径。为公司管理层参与信息安全风险治理提供抓手。
- 安全风险治理的数字化实现
- 实现思路
- 指定风险值的构成因素和算法。
- 获取业务系统的基本信息。
- 明确“风险对业务影响”的描述规则。
- 总体风险值 = (各业务风险值*各业务权重)求和
- 风险值构成
- 漏洞扫描结果
- 高危漏洞主机数
- 漏洞修复率
- 渗透测试
- 高风险漏洞数
- 残余风险
- 频繁出漏洞的框架、中间件
- 过时的操作系统和应用
- 无开发人员维护的系统
- 未修复的重点漏洞
- 安全机制上存在缺陷的系统
- 已被业务方接受的 风险
- 数据管控问题或合规风险
- 产品角度的优化和细节
- 视图:管理者习惯与何种呈现方式,更关注整体情况还是风险值最高的系统?
- 工作流:是否希望通过数字化展示的系统直接下发工作流任务?系统中是否要纳入业务对风险的反馈和跟踪?
- 上下文:是否需要同时展示业务系统的相关信息,如系统责任人、开发方等。
- 数据质量:风险治理数字化的输入,最关键的部分来自其它系统,IP与系统的对应关系、漏洞扫描结果的准确性、系统与责任人的对应关系。
- 参与感:可以给管理者提供一个关注按钮,被关注的风险自动分配给系统/业务负责人进行跟踪
- 思路上改变:安全运营“四化”
- 体系化建设
- 系统性设计、整体性协同 如:安全生命周期管理体系
- 平台化运营
- 集中整合、综合分析、整体感知、调度协同 如:安全态势感知平台、SOC
- 工程化实施
- 规范化、标准化、自动化
- 如:SOAR安全自动化编排技术、安全分析师式场景化分析
- 全面化覆盖
- 全覆盖、无死角
- 如:安装率、覆盖面、有效性
- 安全运营体系:一个平台、三种能力
- 安全检测与响应矩阵
标签:数字化,风险,漏洞,系统,转型,业务,安全,运营 来源: https://www.cnblogs.com/nancyfeng/p/15404532.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。