在過(guò)去十年中，網(wǎng)絡(luò)安全一直是最重要的趨勢(shì)之一，現(xiàn)在變得更加重要，這主要是因?yàn)檎谶M(jìn)行更多的遠(yuǎn)程工作。從勒索軟件到網(wǎng)絡(luò)間諜，黑客已經(jīng)開發(fā)出復(fù)雜的技術(shù)來(lái)侵入企業(yè)的項(xiàng)目/數(shù)據(jù)，獲取關(guān)鍵信息或索要贖金。

　　就連佳能、Garmin、Twitter、本田和Travelex等知名企業(yè)也曾成為惡意攻擊者的受害者。數(shù)據(jù)泄露對(duì)企業(yè)或項(xiàng)目來(lái)說(shuō)可能是一場(chǎng)災(zāi)難，破壞客戶的信任，破壞公司的聲譽(yù)。

　　許多項(xiàng)目經(jīng)理仍然認(rèn)為項(xiàng)目安全是其他人的責(zé)任——軟件架構(gòu)師、DevOps、信息安全專家等。然而，項(xiàng)目經(jīng)理的任務(wù)是確保您創(chuàng)建的產(chǎn)品或您交付的服務(wù)是安全的。

　　如何檢查安全性，以及在啟動(dòng)新項(xiàng)目時(shí)可能面臨哪些意外的安全性問(wèn)題?以下是確保開發(fā)安全產(chǎn)品并使項(xiàng)目更安全的五種方法。Sigma Software公司團(tuán)隊(duì)有一些關(guān)于在SDLC中實(shí)現(xiàn)安全實(shí)踐的有價(jià)值的技巧。

　　安全不再是一個(gè)“擁有就好”的選擇。每一家與第三方咨詢公司合作啟動(dòng)新項(xiàng)目的企業(yè)都希望確保供應(yīng)商遵守安全實(shí)踐。最簡(jiǎn)單的方法是讓供應(yīng)商完成一份評(píng)估清單，其中有一部分專門用于提供項(xiàng)目安全性。這樣的清單只不過(guò)是一個(gè)公司對(duì)其安全程序有多好的想法。情況可能大不相同。

　　有時(shí)，公司對(duì)這些清單中提供的信息感到滿意。現(xiàn)在，企業(yè)正在尋找的不僅僅是文字——證明已經(jīng)實(shí)施了安全措施，并在日常工作中遵循了這些措施。如何才能確切地證明這一點(diǎn)?以下是五種最常見的方法。

　　1.在互聯(lián)網(wǎng)上追蹤公司

　　收集公司信息主要有兩種途徑。第一個(gè)是OSINT(開源情報(bào))，建議從公開可用的來(lái)源收集數(shù)據(jù)，包括媒體(報(bào)紙、廣播和電視等)、在線出版物、博客、討論組、YouTube和其他社交媒體網(wǎng)站、公共政府?dāng)?shù)據(jù)(報(bào)告、預(yù)算、聽證會(huì)、電話簿、新聞發(fā)布會(huì)、網(wǎng)站和演講)、技術(shù)報(bào)告、專利、工作文件、商業(yè)文件、通訊等。

　　這是很多的信息，分析需要大量時(shí)間，但是，這是一種有效的方法，可以找出公司過(guò)去或現(xiàn)在在數(shù)據(jù)安全方面存在的任何弱點(diǎn)。

　　企業(yè)還可以借助專門的平臺(tái)和工具進(jìn)行第三方風(fēng)險(xiǎn)評(píng)估。這些解決方案(例如Risk Recon、BitSight等)提供了現(xiàn)成的評(píng)估程序，幫助評(píng)估供應(yīng)商，并決定是否與他們合作。

　　所以，看到公開的每件事都會(huì)影響整個(gè)畫面。一個(gè)包含漏洞的應(yīng)用程序會(huì)影響企業(yè)的聲譽(yù)，即使它是內(nèi)部使用的，即使它發(fā)生在幾年前，即使它只發(fā)布了一個(gè)小時(shí)。可能會(huì)忘記上傳到網(wǎng)絡(luò)上的內(nèi)容。互聯(lián)網(wǎng)不會(huì)忘記。你有能力減少受攻擊的區(qū)域，并盡量減少可以用來(lái)對(duì)付你的信息。仔細(xì)看看你公開的東西。

　　2.進(jìn)行獨(dú)立評(píng)估

　　外部評(píng)估是確認(rèn)供應(yīng)商遵循所有安全實(shí)踐的最常用方法之一。企業(yè)必須確保這樣的評(píng)估結(jié)果與清單中指定的結(jié)果相匹配。否則，你會(huì)發(fā)現(xiàn)自己處于一個(gè)脆弱的位置。因此，在填寫清單時(shí)，可以省略虛假信息，避免美化事實(shí)。如果意識(shí)到自己不夠好，無(wú)法與現(xiàn)有的競(jìng)爭(zhēng)對(duì)手成功競(jìng)爭(zhēng)，這是一個(gè)行動(dòng)呼吁——提高企業(yè)的安全性，因?yàn)闊o(wú)論如何你都必須這樣做。這是不斷變化的現(xiàn)實(shí)的要求。

　　3.審核內(nèi)部測(cè)試報(bào)告

　　為了檢查項(xiàng)目是否安全，企業(yè)的潛在客戶可能會(huì)要求提供有關(guān)滲透測(cè)試的內(nèi)部報(bào)告。這樣的測(cè)試應(yīng)該至少每年進(jìn)行一次，或者在任何重要的發(fā)布之前進(jìn)行。因此，如果企業(yè)的項(xiàng)目運(yùn)行了三年，應(yīng)該向客戶提供三份報(bào)告，并且最好都有。

　　讓它成為每次進(jìn)行滲透測(cè)試的規(guī)則。定期控制這個(gè)問(wèn)題，這樣你就不必在時(shí)間到來(lái)的時(shí)候急于找到擺脫困境的方法。

　　4.檢查網(wǎng)絡(luò)釣魚意識(shí)

　　當(dāng)宣稱企業(yè)實(shí)施了安全實(shí)踐，并教導(dǎo)員工如何開發(fā)安全軟件和防御現(xiàn)代威脅時(shí)，需要記住，你的客戶可能想要檢查這是否屬實(shí)。一種方法是發(fā)送網(wǎng)絡(luò)釣魚郵件。如果企業(yè)收到一封網(wǎng)絡(luò)釣魚郵件，而員工回應(yīng)了，這意味著安全措施并不像你想象的那么好。

　　對(duì)于企業(yè)的團(tuán)隊(duì)不了解或不遵守基本安全規(guī)則的客戶來(lái)說(shuō)，這是一個(gè)危險(xiǎn)信號(hào)，這會(huì)使您當(dāng)前的客戶處于危險(xiǎn)之中。確保企業(yè)培訓(xùn)團(tuán)隊(duì)識(shí)別網(wǎng)絡(luò)釣魚電子郵件以及如何在收到它們時(shí)采取行動(dòng)。

　　5.直接溝通

　　直接溝通在任何情況下都是非常重要的。

　　關(guān)于安全的交流也不例外。無(wú)論是對(duì)企業(yè)的安全措施說(shuō)了什么，怎么說(shuō)，是檢驗(yàn)是否了解這個(gè)主題的試金石。爭(zhēng)取該領(lǐng)域?qū)＜彝碌闹С帧?/p>

　　不要冒險(xiǎn)讓你的客戶知道的和你一樣多。這很有趣，但這是雙向的;如果是一個(gè)安全專家，這并不重要。即使在這個(gè)領(lǐng)域很明智，其任務(wù)是確保能開發(fā)出一種安全的產(chǎn)品，而不是讓客戶對(duì)他們?cè)谶@個(gè)領(lǐng)域的知識(shí)水平感到不安。