调查显示:企业所有管理人员都应参与应用风险管理过程

日期: 2014-04-22 作者:Brandan Blevins翻译:邹铮 来源:TechTarget中国 英文

根据上周刚刚发布的报告称,随着企业内应用数量的增加,保持业务应用的可访问性和安全性变得越来越困难。该调查显示,信息安全专业人士希望企业业务方面的管理人员更积极地参与应用风险管理过程。

网络安全政策管理服务供应商AlgoSec公司在其2014年网络安全状态报告中,采访了2014年RSA大会上142位安全和网络运营专业人士。该调查旨在确定受访者在平衡业务关键应用的安全和访问要求时所面临的挑战。调查发现,企业内部署的应用正在急剧增加,60%的受访者表示他们的企业有超过50个应用需要管理,而20%的受访者需要负责超过500个应用。

该报告称,这些海量应用正在给安全和网络专业人士带来各种挑战,约有一半的受访者表示,最大的挑战是简单地识别和优先排序关键漏洞。

另外,21%的受访者指责负责这些应用的业务部门,声称他们不愿意或者不能够解决已经发现的漏洞。另外24%的受访者表示他们的企业根本不了解业务方面的安全风险,让他们没有办法及时修复漏洞。

总体而言,AlgoSec报告的受访者中,超过90%的受访者认为企业利益相关者应该承担与应用相关的“自己的风险”,而不是将这种风险全权交给安全和网络团队负责。

AlgoSec公司营销和战略副总裁Nimmy Reichenberg同样认为,业务领导最终需要负责应用风险管理,并将这些利益相关者和户主进行类比。户主可以聘请安全顾问来保护他们的家不会被盗窃,例如,安全顾问的建议可能是建造一个栅栏、安装警报系统,或者甚至挖一条护城河,并在里面喂养鳄鱼。他表示,户主必须权衡每种安全措施的成本和优势,并将其与入侵实际风险进行对比。

同样的道理,Reichenberg表示,“安全从业人员也应该分析这种风险,并回答这些问题,你的风险的承受能力如何?为了得到更好的保护,你想要投入多少资金?最后,企业应用所有者需要了解其应用的风险水平,并确定部署何种措施。”

面对Heartbleed OpenSSL漏洞,非常重要的是强调这个漏洞的严重性以及及时修复漏洞的必要性,但安全专业人员也应该让决策者了解该漏洞存在于业务关键性web服务器还是不会造成太大影响的服务器中。Reichenberg表示,由于大型企业可能会有数百台web服务器,提供这些信息能使企业领导者做出更明智的安全决策,并且,在Heartbleed的情况下,这允许安全团队优先考虑为有漏洞的服务器安装补丁。

“这只是一个漏洞。如果你见过漏洞扫描仪的结果,你会看到几十万漏洞,几乎超过你的能力范围,”Reichenberg表示,“我们的想法是,拿着一个业务应用,并说‘这个应用存在整体水平的风险’,如果这种风险超过企业的承受阈值,那么,你需要采取一些行动。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Brandan Blevins
Brandan Blevins

As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.

翻译

邹铮
邹铮

相关推荐

  • DR基础知识:灾难恢复计划和灾难恢复策略

    IT灾难恢复(DR)计划的主要目标是制定详细的恢复计划,以在意外中断时执行。 这种计划应该列明详细步骤,说明在 […]

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。

  • 抵御WannaCry等攻击?这里有一波资源来袭……

    连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?