预算有限的小公司如何在安全获胜?

确保数据和系统是每个现代组织的必须,但较小的通常必须处理预算和劳动力的限制,使目标更难实现。

小公司安全

We’克里斯·沃阿多普尔,CTO在Veracode和知名的安全专家计划举办主题演讲 Hitb + Cyber​​week. 在所有技术中更均匀地分发安全性的主题,为资源不足的组织提供一些建议。

零信任

遗漏建议选择一个 零信任 模型(而不是过时的“组织网络内部的所有内容都可以信任” model).

“网络周边安全性是一种涉及网络钓鱼和利用Web应用程序漏洞的现代攻击的速度凹凸。您希望每个个人应用程序或服务负责安全验证和授权连接,” he says.

“身份验证是一个很好的开始。确保所有员工都使用2因素身份验证来访问公司数据和系统。具有2因素认证的单点登录选项(SSO)以访问内部和外部系统,如SaaS解决方案可以提供简单性,易用性和保护和保护密码。”

考虑SaaS.

选择用于电子邮件,日历,金融应用程序和文件存储的SaaS解决方案,也可以大大提高安全性,因为它转移维护安全配置和定期修补系统到SaaS提供商上的职责。

在具有有限的预算中使用的较小组织工作的安全专业人员还应考虑使用一些可用的一些免费安全工具,特别是如果他们不需要将Enterprise功能捆绑成SIEMS和仪表板。

“如果没有任何问题,您正在尝试解决,请去SaaS。许多安全SaaS提供商都有小企业的服务,” he notes.

在进行最终选择之前,他们应该审查提供商’S SOC 2报告并确保它们在运输过程中加密数据,并在休息时提供SSO,并提供2系列身份验证。

获取供应商解决方案时,它们应该有一个在适当的过程中考虑安全性。

“安全团队经常被抓住试图在思想之后保护系统,因此他们正在处理购买和建造的基础设施,而不考虑安全,” he points out.

“安全领导人需要桌面上的座位,以帮助退休的旧不安全技术,并建立依赖零信任并可保持的新系统。”

安全卫生首先是

安全卫生 对于各种规模的组织非常重要。使保持简单的过程非常建议。

上述切换到SaaS解决方案,尽可能只是这样做的方式。

污物还劝告安全领导人推动使用现代操作系统并使安全自动化和安全 连续的,即,以便尽可能简化用户的安全性。

还有其他系统,安全团队将要维持,并且应该以这样的方式建造,使定期修补容易。

修补应该是连续的,因为攻击者具有自动框架,他们可以插入新的漏洞。捍卫者应不断使用其资产库存,扫描漏洞的资产,并根据风险确定漏洞。

“追逐解决方案用于阻止复杂的攻击者,如蜜罐,威胁情报,威胁狩猎应该等到基础就到位,只有当您的风险简介保证它时,” he concludes.

分享这个