从混乱到自信:安全架构不可或缺的角色

苏尼尔Arora
作者: 苏尼尔Arora, CISA, CRISC, CCSK, CCSP, CISSP, Security+
发表日期: 2023年11月7日

在瞬息万变、竞争激烈的网络安全领域, 组织大量投资于先进的安全工具,以对抗不断涌入的网络威胁和恶意网络攻击者. 而工具无疑是有价值的, 组织必须认识到,需要一种更具战略性的方法来有效地应对日益微妙的威胁. 平均, 澳门赌场官方下载使用130多种安全工具,这些工具只会给管理带来更多挑战, 需要更多的员工,并需要很大一部分安全预算.1 安全团队通常花费最多的金钱和精力来应对最新的问题, 他们手头紧迫的安全问题. 在混乱中, 牢固的网络安全防御基础在于完善的安全架构, 哪些经常被低估和忽视. 类似于高层建筑, 网络安全防御需要一个坚实的基础,以避免将长期稳定置于危险之中.

安全架构是任何成功的网络安全战略的重要组成部分, 作为安全架构师创建的总体规划,以建立具有弹性和适应性的安全状态. 通过探索安全架构在网络安全中的关键作用,以及它如何帮助组织抵御不断变化的威胁,可以获得很多收获.

安全架构在网络弹性中的关键作用

安全架构作为一个坚定的守护者,坚定不移地保护组织免受网络威胁的威胁. 除了救火之外,安全架构还包含了战略防御的主动艺术. 它采用基于风险的方法来识别潜在威胁, 评估组织IT堆栈中的弱点, 构建前瞻性的设计并优先考虑安全计划. 通过使安全投资与组织的风险承受能力和业务优先级保持一致, 安全体系结构确保宝贵的资源被最优地分配给最大的安全防御,并考虑到深入的零信任安全原则. 这降低了澳门赌场官方下载应用程序部署和操作安全成本. 这类似于以标准的方式设计高层建筑, 遵循所有安全规范和附则,同时仍然允许个人公寓业主按照自己的喜好设计和建造他们的房屋.

网络攻击变得越来越复杂和频繁. 结果是, 国防体系的全面建设是当务之急, 为防止此类威胁而专门构建的体系结构和设计. 安全架构通过集成网络安全等各种安全组件,提供一个完整的防御框架, 身份和访问管理(IAM), 数据保护和应用安全. 这些不同的防御可以无缝地协同工作,从而创建一个统一的安全生态系统,可以有效地抵御潜在的威胁.

安全架构的主动特性

安全体系结构团队不仅仅是对当前问题做出反应,而是利用他们对组织和行业的深刻理解来预测潜在的威胁和漏洞. 通过分析威胁情报, 行业参考和安全趋势, 安全体系结构使组织能够主动设计和实现安全系统,以帮助避免安全漏洞. 这种方法使组织能够通过保持领先一步来智胜对手, 而不是简单地在攻击发生后做出反应. 与精心设计的高层建筑类似,施工始于最终的计划. 经过深思熟虑的设计可以确保工人知道要建造什么, 成本是多少,他们可能会遇到什么挑战, 确保施工过程安全、成功.

安全体系结构使组织能够主动设计和实现安全系统,以领先于潜在威胁并避免安全漏洞.

组织可以遵循行业标准和框架,例如 COBIT®, Sherwood应用业务安全体系结构(SABSA)2 和开放组架构框架(TOGAF)3 构建与业务一致的安全体系结构. 安全架构不仅仅是防止当前威胁的一种手段. 它经过了最先进的设计练习,并不断改进,超越了当前的安全能力和技术限制. 安全体系结构, 包括固有的可伸缩性能力, 适应性, 和灵活性, 确保组织能够在不损害其防御的情况下接受未来的技术. 应该不断努力升级体系结构的设计并采用新的安全技术. 现代设计就像一个永恒的保护者, 确保组织的网络安全始终是最新的,并准备好抵御未来的威胁.

与点解决方案相比,安全架构的好处

尽管点解决方案提供了专门的安全措施, 他们经常忽视大局. 另一方面, 安全体系结构提供了整个组织安全环境的全面视图. 全面的安全体系结构增强了安全措施,提供了增强的可见性和增强的态势感知,有助于主动预防, 使其更容易监控和快速有效地应对威胁.

安全架构赋予安全团队权力

安全架构为网络安全专业人员提供了结构化和战略性的方法. 这种策略在成本效益和简单性方面具有强大的优势. 有效的安全体系结构通过支持安全解决方案的设计,将复杂性和操作开销降至最低, 简化流程, 消除冗余并无缝构建安全解决方案. 这使得组织能够运用灵活且经济高效的防御力量. 例如, 当高层建筑蓝图定稿时, 它不仅可以让建筑工人及时完成有质量的工作, 但它也帮助了室内设计师, 水管工, 木匠们遵循一贯的方法为房主提供非凡的体验.

简而言之,设计良好的安全体系结构可以简化复杂性. It 提供战略安全控制,允许安全团队优先考虑高价值的任务 such as threat hunting, 事件响应和安全响应策略开发.

设计良好的安全体系结构...提供战略安全控制,允许安全团队优先考虑高价值的任务.

安全架构提高法规遵从性

安全架构有助于确保遵守特定于行业的法规和网络安全标准,例如国际标准化组织(ISO)标准ISO 27001,4 美国国家标准与技术研究院(NIST)的网络安全框架(CSF),5 和欧盟通用数据保护条例(GDPR).6 作为组织网络安全战略的内在要素, 安全体系结构灌输了安全的设计原则,例如零信任体系结构和基于设计的隐私方法, 确保法规和遵从性要求,如数据保护, 访问控制, 隐私被无缝地嵌入到组织的技术基础设施和运营中. 这有助于澳门赌场官方下载满足行业法规和遵从性需求,而这需要花费大量时间和成本进行改造.

应该使用适当的体系结构保证和治理组件构建安全体系结构功能,以确保它与可应用的框架保持一致,并满足安全需求和业务目标.

回到高层建筑的比喻上来, 建筑师学习当地法律, 建筑安全规范, 天气, 火灾和洪水危险, 市政当局对设计和建造结构的要求. 在许多情况下,建筑物不能进行改造. 在项目开始时仔细收集知识,有助于建造一座美丽的建筑,满足所有必要的合规和监管要求,并顺利通过检查. 安全架构师仔细考虑业务, 监管, 设计IT基础设施时的遵从性需求, 平台, 和应用程序. 这可确保最终产品提供最佳的安全性、性能和弹性. 通过采取积极主动的方法并设计一个从一开始就履行这些义务的解决方案, 澳门赌场官方下载可以避免代价高昂的改造和修补工作,这些工作可能会损害安全性和遵从性.

以满足组织的需要, 安全负责人或首席信息安全官(ciso)必须开发安全架构程序,使安全团队能够有效地利用安全工具和基础设施. 构建安全架构程序有6个步骤:

  1. 了解业务目标、IT和安全需求.
  2. 识别威胁、攻击媒介和漏洞.
  3. 选择业界认可的安全体系结构框架或构建自定义框架.
  4. 确定安全控制和技术作为体系结构的一部分.
  5. 定义和记录物理、逻辑和概念架构.
  6. 监控、改进、管理和配合不断发展的业务和技术需求.

此外,安全领导有5个行动项目:

  1. 通过安全架构构建有效的网络安全战略. 将安全架构视为网络弹性的战略推动者,并优先考虑将其集成到组织的网络安全战略中.
  2. 投资专业知识. 雇用对业务和技术目标有深刻理解的熟练的安全架构师, 授权他们设计有效的防御框架.
  3. 平衡左shift和右shift控制. 这有助于提供足够的保护.7 安全设计和体系结构与安全事件检测和响应一样重要.
  4. 打破藩篱,促进合作. 鼓励安全团队和IT部门之间的协作,以便在整个组织中无缝地集成安全体系结构.
  5. 面向未来的防御和设计. 确保安全架构能够适应未来的技术, 适应不断变化的威胁和业务需求.

结论

现代安全组织在极端压力下运作,面临着越来越多的网络威胁,这些威胁构成了重大挑战. 有了新的法规和遵从性要求, 组织必须实施更严格的控制来保护他们的客户, 公众和他们自己. 不断追逐不断发展的安全威胁和漏洞会耗尽安全预算和资源,并将安全团队的重点从主动保护转移到被动响应. 因此,安全领导者必须认识到安全架构在网络安全中的重要性. 对安全架构的战略投资起到了力量倍增器的作用, 为组织设计和实现能够适应新兴技术和新威胁的防御提供弹性基础. 通过确保适当的控制在平台的早期就位, 云或数据中心设计和软件开发生命周期(SDLC), 安全领导者和团队可以自信地驾驭复杂的网络安全领域.

尾注

1 Ariganello J.; “多即是少:使用多种安全工具的挑战,《澳门赌场官方软件》,2022年4月13日
2 SABSA学院,"SABSA执行摘要
3 开放集团, TOGAF标准,10th2022年,美国
4 国际标准化组织(ISO)/国际电工委员会(IEC), ISO / IEC 27001 信息安全管理、瑞士
5 国家标准与技术研究所(NIST), NIST网络安全框架2013年,美国
6 Gdpr-info.eu, 《澳门赌场官方软件》欧盟,2018年5月
7 Arora,年代.; P. Chakraborty; “彩虹保护全光谱云安全,” 媒介2022年4月26日

苏尼尔Arora, CISA, CRISC, CCSK, CCSP, CISSP, Security+

是否有16年以上金融机构工作经验的网络安全专家, 医疗保健, 电信和技术服务业. 他是一位充满激情的网络安全倡导者,也是云安全方面的专家, 资讯保安谘询, 安全设计和体系结构, 风险管理. 除了, Arora是技术和业务团队做出明智决策的影响者和推动者, 有效的资讯保安选择. 目前,他是Humana Inc .的安全架构副总监.他在攻读博士学位.D. 在网络防御.