了解网络安全的人的清单

到现在,它’它几乎是一个接受的现实’只有一个时间问题,直到一个组织– any organization –被网络攻击者突破了。

清单网络安全

但系统渗透并不意味着对维护者的游戏,因为攻击者仍然必须达到其他事情来实现他们的目标(窃取商业信息,登录凭据,知识产权等)。这意味着还有许多其他机会和方法来阻止攻击成功。

虽然怎么办?

美国网络后果单位(US-CCU)的独立研究学院(US-CCU)为辩护人提供了一个有用的工具,不仅可以阻止攻击者,而是增加攻击者’成本,即减少回报,并阻止他们实现侵犯的最终目标。

It’S称美国CCU网络安全矩阵,作为Scott Borg(其中一位作者)告诉我,它’■为实际了解网络安全的人的网络安全核对表。

“最详细的清单旨在通过技术上熟练的白痴机械地应用。这一人们旨在由实际上知道他们在做什么的人智能地和创造性地应用,” he points out.

US-CCU网络安全矩阵背后的想法

最近的破坏性网络攻击历史提供了许多组织的例子,这些组织以非常昂贵的方式失败,因为他们有“检查了所有框”不考虑经营业务正在捍卫,他们需要停止哪些攻击。

通用的时代,单尺寸适合所有网络安全即将结束。如果他们将面临的威胁以及他们最需要保护的具体操作,组织需要定制其安全性以适应具体种类。

这是矩阵进入的地方,作为矩阵“menu”从中选择足够和经济效益的防御措施和政策。

“我们在开发期间对本文件所做的所有更改都基本上努力回应网络安全环境的最新变化。除了添加许多新的清单项目外,我们还逐渐消除了我们已经得出的一些旧的安全措施,不再具有成本效益,” he notes.

从清单到矩阵的变化导致了安全措施,以帮助防守者思考每个安全措施应该实现的方式。

每个安全措施都在标题下列出,指示它被设计为箔的攻击者动作的类型,以及指示它旨在确保的系统类型的标题。

“此工具的实际权力来自促使用户申请自己的智能和洞察力的方式,” Borg adds. “虽然这个矩阵是用无行话语言编写的,所以它会对新手来说是可理解的,但它真的在经验丰富的专家手中进入自己。”

组织可以使用此工具将他们的网络安全提高到相当程度的程度,即使在他们在安全工具和服务上花费了更多的资金之前,矩阵最终可能是在购买安全产品的购物时是指导。

矩阵的基础

矩阵的内容完全来自现实世界经验和观察。除了来自美国CCU的物品外,它都没有从其他清单回收’他自己以前的清单(2007年发布,通过世界各地采用,推荐或由美国国家标准研究所和美国证书的相似之处作为最佳实践文件)。

初始清单还基于作者首先观察到的事情。

虽然Scott Borg和John Bumgarner,CEO和CTO的CEO和CCO的有效撰写了,但该矩阵还包含了许多众所周知和知名信息安全专家建议的措施。

事实上,由于矩阵仍在形成(最新的草案可用于此处)并计划于2017年发布,因此作者邀请任何有任何相关知识,经验或见解的人 贡献.

“有一些帮助改进本文件的人已经在引言中感谢。我们渴望在最终版本中欣赏任何人的名字,他可以提出提出让这个工具更好或更完整的建议,” says Borg.

“我们正在努力在年底之前尽可能多地收集尽可能多的建议和想法,但我想我们将在我们将此文件发送关闭以进行物理印刷时进行更改。我们是印刷书籍价值的伟大信徒,以及电子产品,尤其是当这些书籍将定期使用时进行参考。”

出版日期仍未在石头中设置,因为它取决于他们收到的建议数量,以及他们设法吸引的哪些赞助(美国CCU是非营利性,501(C)(3 ) 组织)。

eBay已经提供了一些赞助,但需要更多地打印和翻译文件

“如果我们的早期US-CCU清单是任何可通过的,这个新的参考工具将在全球范围内使用,下载超过十万次,并且不断使用数万个网络安全专业人员的印刷参考。赞助此工具将是公司提请对更好网络安全承诺的关注的好方法,” Borg concluded.

分享这个