從使用“發(fā)現(xiàn)的風(fēng)險(xiǎn)”作為關(guān)鍵績(jī)效指標(biāo),轉(zhuǎn)向使用“補(bǔ)救的風(fēng)險(xiǎn)”作為衡量成功的真正標(biāo)準(zhǔn),這一變化改變了安全團(tuán)隊(duì)的激勵(lì)機(jī)制,促使他們專(zhuān)注于風(fēng)險(xiǎn)補(bǔ)救。為了在規(guī)模上實(shí)現(xiàn)這一點(diǎn),企業(yè)必須在降低風(fēng)險(xiǎn)方面擺脫“救火”模式——這意味著他們必須停止追逐最新的關(guān)鍵問(wèn)題--并變得更加積極主動(dòng)。
以下是你可以采取的七個(gè)步驟,將你現(xiàn)有的漏洞和風(fēng)險(xiǎn)管理流程和工作流程從消防轉(zhuǎn)變?yōu)橹鲃?dòng)管理大規(guī)模風(fēng)險(xiǎn)降低。
步驟1:收集-創(chuàng)建一個(gè)積壓工作來(lái)管理所有積壓工作
對(duì)你的安全測(cè)試工具采用基于調(diào)查結(jié)果的方法意味著你的典型補(bǔ)救過(guò)程從登錄到每個(gè)工具的儀表板開(kāi)始。當(dāng)然,這需要學(xué)習(xí)每個(gè)工具的不同功能,并理解每個(gè)工具的調(diào)查結(jié)果語(yǔ)言。
要過(guò)渡到基于修復(fù)的方法,請(qǐng)從創(chuàng)建單個(gè)待辦事項(xiàng)開(kāi)始。第一步是將來(lái)自所有測(cè)試工具的所有結(jié)果收集到一個(gè)集中位置,無(wú)論是電子表格、數(shù)據(jù)庫(kù)還是其他系統(tǒng)。
第2步:整合-標(biāo)準(zhǔn)化、重復(fù)數(shù)據(jù)消除和利用上下文進(jìn)行豐富
現(xiàn)在你有了單一的積壓,向前邁進(jìn)一步,將所有調(diào)查結(jié)果標(biāo)準(zhǔn)化,以便它們使用統(tǒng)一的術(shù)語(yǔ),從而使你能夠統(tǒng)一地執(zhí)行你的補(bǔ)救流程。畢竟,如果你想衡量結(jié)果,你需要對(duì)所有發(fā)現(xiàn)執(zhí)行相同的過(guò)程。這一標(biāo)準(zhǔn)化的積壓調(diào)查結(jié)果現(xiàn)在是所有后續(xù)活動(dòng)的支柱。
你將看到你現(xiàn)在標(biāo)準(zhǔn)化的列表有重復(fù)的發(fā)現(xiàn)。刪除多余的內(nèi)容以縮短積壓工作的長(zhǎng)度。
標(biāo)準(zhǔn)化列表還使你能夠識(shí)別影響同一資源的不同調(diào)查結(jié)果。在這一點(diǎn)上,你應(yīng)該用所有權(quán)背景來(lái)豐富調(diào)查結(jié)果,這是你未來(lái)需要的。例如,從配置管理數(shù)據(jù)庫(kù)(CMDB)收集元數(shù)據(jù),以在以后分析誰(shuí)擁有易受攻擊的計(jì)算機(jī)。
第3步:選擇-決定執(zhí)行什么、誰(shuí)、如何以及在哪里執(zhí)行補(bǔ)救行動(dòng)
所有調(diào)查結(jié)果標(biāo)準(zhǔn)化后,你現(xiàn)在可以選擇如何通過(guò)多維優(yōu)先排序方法進(jìn)行補(bǔ)救,其中包括:
A.內(nèi)容:選擇是要根據(jù)外部上下文(例如,已知的自然漏洞利用)還是根據(jù)內(nèi)部上下文(例如,它所在的域-云、代碼等)來(lái)確定發(fā)現(xiàn)的優(yōu)先級(jí)。
B.誰(shuí):選擇補(bǔ)救項(xiàng)目的發(fā)送對(duì)象。要確定合適的團(tuán)隊(duì),請(qǐng)分析你在步驟2中收集的資源元數(shù)據(jù)。
C.如何:通過(guò)圍繞補(bǔ)救行動(dòng)進(jìn)行匯總,確定結(jié)果而不是問(wèn)題的優(yōu)先順序。這意味著,如果你對(duì)不同的資源或不同的問(wèn)題有相同的解決方案,則只會(huì)生成一個(gè)補(bǔ)救項(xiàng)目。
D.在哪里:選擇在哪個(gè)項(xiàng)目下為補(bǔ)救團(tuán)隊(duì)打開(kāi)工單(例如,在Jira、ServiceNow或修復(fù)者使用的任何其他工單系統(tǒng)中)。
步驟4:路線-將補(bǔ)救項(xiàng)目送到補(bǔ)救團(tuán)隊(duì)手中
既然你知道誰(shuí)將執(zhí)行修復(fù)以及要發(fā)送它們的補(bǔ)救操作列表,你就可以開(kāi)始發(fā)送它們了。
在這個(gè)階段,你將意識(shí)到你能夠并行地進(jìn)行補(bǔ)救,而不是像今天通常所做的那樣以順序的方式進(jìn)行。
作為一個(gè)簡(jiǎn)單的示例場(chǎng)景,假設(shè)你有兩個(gè)補(bǔ)救團(tuán)隊(duì),Engineering和DevOps,并且你有150個(gè)關(guān)鍵發(fā)現(xiàn)。接下來(lái),讓我們假設(shè)前100個(gè)調(diào)查結(jié)果都由Engineering修復(fù),其余50個(gè)由DevOps修復(fù)。按順序完成列表將意味著工程團(tuán)隊(duì)的修復(fù)程序超負(fù)荷,而DevOps團(tuán)隊(duì)則未得到充分利用。但是,一旦你基于補(bǔ)救操作處理列表,并且你知道將進(jìn)行補(bǔ)救工作的團(tuán)隊(duì),你就可以并行地補(bǔ)救部分積壓。
步驟5:面向接收的解決方案,而不是依賴于安全
這是使你能夠真正擴(kuò)展的步驟:通過(guò)創(chuàng)建程序化工作流來(lái)自動(dòng)化積壓管理。實(shí)現(xiàn)這一點(diǎn)的關(guān)鍵是與其他企業(yè)流程同步,并在補(bǔ)救團(tuán)隊(duì)需要安全數(shù)據(jù)時(shí)使其可用,而不是在發(fā)現(xiàn)發(fā)現(xiàn)時(shí)提供。
首先,在補(bǔ)救項(xiàng)目和每個(gè)不同的補(bǔ)救團(tuán)隊(duì)使用的票務(wù)系統(tǒng)之間應(yīng)該有一個(gè)工作流程。這樣,當(dāng)發(fā)現(xiàn)問(wèn)題時(shí),票證將自動(dòng)打開(kāi)并定向到正確的團(tuán)隊(duì),如步驟3中所定義。你甚至可以更進(jìn)一步,為每個(gè)票務(wù)系統(tǒng)創(chuàng)建統(tǒng)一的模板。
你的自動(dòng)化工作流程應(yīng)該是雙向的,以便在票務(wù)系統(tǒng)中關(guān)閉票證時(shí),你可以使用下一次測(cè)試掃描的結(jié)果進(jìn)行驗(yàn)證。如果發(fā)現(xiàn)任何差異,請(qǐng)通過(guò)在補(bǔ)救團(tuán)隊(duì)的工作流工具中重新打開(kāi)帶有相關(guān)詳細(xì)信息的票據(jù)來(lái)突出顯示它。
步驟6:補(bǔ)救-完成艱苦工作的地方
這是為補(bǔ)救安全問(wèn)題而進(jìn)行的實(shí)際修復(fù)、緩解或風(fēng)險(xiǎn)接受。這是補(bǔ)救過(guò)程中的關(guān)鍵部分,但作為安全團(tuán)隊(duì),它不在你的直接控制范圍之內(nèi)。
第7步:報(bào)告-衡量實(shí)際績(jī)效、效率和風(fēng)險(xiǎn)降低
擁有將補(bǔ)救操作發(fā)送給正確的補(bǔ)救團(tuán)隊(duì)的自動(dòng)路由流程,使你可以立即查看整個(gè)積壓及其狀態(tài),而不僅僅是它是否得到了補(bǔ)救。這使你能夠跟蹤和衡量你的風(fēng)險(xiǎn)降低過(guò)程。
有了這些數(shù)據(jù),你可以衡量績(jī)效,還可以比較企業(yè)內(nèi)不同團(tuán)隊(duì)或組之間的補(bǔ)救績(jī)效。例如,你可以分析和比較不同的應(yīng)用程序在關(guān)鍵發(fā)現(xiàn)、總發(fā)現(xiàn)以及團(tuán)隊(duì)如何處理他們的罰單方面。
你現(xiàn)在還可以向利益相關(guān)者提供有關(guān)企業(yè)補(bǔ)救計(jì)劃的報(bào)告,使每個(gè)人都能夠了解該計(jì)劃的節(jié)奏和性能,以及統(tǒng)計(jì)數(shù)據(jù),如新發(fā)現(xiàn)與已解決發(fā)現(xiàn)的比率、補(bǔ)救的平均時(shí)間和總體積壓狀態(tài)。
這種跟蹤使你能夠識(shí)別補(bǔ)救流程本身中的任何問(wèn)題,并為安全團(tuán)隊(duì)提供數(shù)據(jù),他們可以使用這些數(shù)據(jù)與相應(yīng)的補(bǔ)救團(tuán)隊(duì)更緊密地協(xié)作,以增強(qiáng)其流程并解決任何需要改進(jìn)的領(lǐng)域。
正是這種從產(chǎn)出轉(zhuǎn)移到結(jié)果的方法,應(yīng)該在消除安全成為補(bǔ)救過(guò)程中的瓶頸并使過(guò)程能夠擴(kuò)展方面發(fā)揮帶頭作用。
