當(dāng)一家醫(yī)療服務(wù)機(jī)構(gòu)的首席信息安全官Amy仔細(xì)查看全公司的云安全時，她意識到默認(rèn)訪問控制模型正在引起各種訪問問題。BeWell的基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商默認(rèn)設(shè)置成只允許企業(yè)主訪問的安全狀態(tài)。

另一方面，軟件即服務(wù)(SaaS)提供商默認(rèn)設(shè)置成完全開放訪問。在使用多個云的情況下，Amy無法手動放寬IaaS的權(quán)限，也無法對SaaS進(jìn)行充分的控制。那么該如何解決這個問題呢?答案是自動化。

當(dāng)前，首席信息安全官不會再遇到“你們?nèi)绾翁峁┌踩⒐芾盹L(fēng)險”這樣的簡單問題，而遇到的是“你們?nèi)绾螏椭髽I(yè)實現(xiàn)更多價值，同時評估和管理風(fēng)險、安全、甚至安防?”等更復(fù)雜的問題。使用自動化是為企業(yè)機(jī)構(gòu)帶來價值的最佳方式。

自動化所帶來的影響

自動化正在通過兩種方式影響世界。第一，自動化實現(xiàn)了安全和風(fēng)險功能；第二，自動化是一項需要被承認(rèn)和理解的新型安全前沿技術(shù)。

隨著業(yè)務(wù)的各個部分都開始采納云、區(qū)塊鏈、數(shù)字孿生、沉浸式技術(shù)等新興技術(shù)，像Amy這樣的首席信息安全官將會因各種優(yōu)先任務(wù)而不知所措。

其他業(yè)務(wù)部門可能會在沒有就安全問題咨詢安全和風(fēng)險管理領(lǐng)導(dǎo)者的情況下構(gòu)建解決方案。這意味著他們每天都在做出與技術(shù)相關(guān)的選擇，而且往往沒有意識到他們正在做的事情所具有的潛在風(fēng)險。安全和風(fēng)險管理領(lǐng)導(dǎo)者無法控制并且有時無法得知這些業(yè)務(wù)選擇，而這些業(yè)務(wù)選擇可能帶來嚴(yán)重的后果，尤其是在數(shù)字化業(yè)務(wù)潛力不斷增長的情況下。

數(shù)字化轉(zhuǎn)型改變了安全需求以及所需的技能組合與能力，它帶來了難以填補(bǔ)(甚至不可能填補(bǔ))的新人才缺口。

業(yè)務(wù)中的自動化

許多自動化工具都是臨時的，但也有一些是針對流程關(guān)鍵部分的正規(guī)自動化工具。有些工具使用一種技術(shù)，有些類型的自動化工具則使用多種技術(shù)。例如機(jī)器人流程自動化最適合用于以任務(wù)為中心的環(huán)境以及使用預(yù)測建模、回歸分析、預(yù)報和模式匹配回答“可能發(fā)生什么”這一問題的預(yù)測分析。

有些公司準(zhǔn)備使用自動化降低成本，規(guī)范或提高生產(chǎn)效率。有些公司準(zhǔn)備使用它來提高風(fēng)險控制的質(zhì)量和一致性，同時減少人為錯誤。企業(yè)機(jī)構(gòu)還準(zhǔn)備使用自動化提高速度或靈活性。

持續(xù)自適應(yīng)風(fēng)險與信任評估成為重要推手

無論如何使用自動化，安全和風(fēng)險管理領(lǐng)導(dǎo)者都不會再依賴傳統(tǒng)的安全策略。持續(xù)自適應(yīng)風(fēng)險與信任評估(CARTA)是一種承認(rèn)沒有完美保護(hù)方法，因此需要隨時隨地調(diào)整安全策略的策略方法。

安全和風(fēng)險管理領(lǐng)導(dǎo)者要有意識地采取既能最大程度降低自身所在企業(yè)機(jī)構(gòu)的風(fēng)險，又能幫助企業(yè)機(jī)構(gòu)獲得回報的自適應(yīng)自動化方法。安全和風(fēng)險管理領(lǐng)導(dǎo)者必須根據(jù)情況平衡風(fēng)險和信任，在自動化藍(lán)圖中找到自己的位置，實現(xiàn)自己的價值。

自動化的確會增加風(fēng)險。例如算法中可能有來自創(chuàng)建者的隱式和顯式偏差，或者不可信操作系統(tǒng)上的算法可能被外界秘密地操控。因此，任何有關(guān)自動化的選擇都必須謹(jǐn)慎并且符合當(dāng)前和未來的情況。

雖然有風(fēng)險，但如果能夠作出正確的選擇，自動化會給安全團(tuán)隊和業(yè)務(wù)帶來巨大的益處。

通過自動化實現(xiàn)價值

安全和風(fēng)險專業(yè)人員必須在三個領(lǐng)域使用自動化實現(xiàn)價值，分別是：身份識別、數(shù)據(jù)和新產(chǎn)品或服務(wù)開發(fā)。

身份識別是所有其他安全控制的基礎(chǔ)

在任何情況下，有關(guān)身份識別的決定都應(yīng)該保持在安全和風(fēng)險團(tuán)隊的控制范圍內(nèi)。隨著越來越多的業(yè)務(wù)遷移到云環(huán)境，這一點變得更加重要。由于系統(tǒng)和公司變得日益復(fù)雜，單純依靠幾個密碼進(jìn)行身份確認(rèn)已十分困難且危險。

可以考慮使用智能風(fēng)險引擎自動執(zhí)行流程中的特定部分。持續(xù)自適應(yīng)風(fēng)險與信任評估身份識別方法將成為確保風(fēng)險引擎既不會過于放松，也不會過于嚴(yán)格的關(guān)鍵，而且該方法也適用于用戶。

數(shù)據(jù)已成為企業(yè)價值的重要組成部分

業(yè)務(wù)如同“數(shù)據(jù)生產(chǎn)工廠”。如果無法保護(hù)和監(jiān)控數(shù)據(jù)，則會產(chǎn)生高昂的代價，甚至損害企業(yè)機(jī)構(gòu)的價值。

可以檢查所有IaaS和SaaS應(yīng)用程序的訪問控制模型，考慮使用云訪問安全代理(CASB)對數(shù)據(jù)和文件進(jìn)行識別和分類。同時使用云訪問安全代理和企業(yè)數(shù)字版權(quán)管理將控制延伸到整個企業(yè)，覆蓋所有位置的數(shù)據(jù)。

新產(chǎn)品或服務(wù)開發(fā)是公司關(guān)注的焦點

為了獲得競爭優(yōu)勢，各家公司正在開發(fā)新的產(chǎn)品和服務(wù)，同時使用新興技術(shù)把握新的商機(jī)。由于公司越來越需要加快產(chǎn)品進(jìn)入市場的速度，開發(fā)運維(DevOps)流程可能會違反安全協(xié)議。自動化可以幫助實現(xiàn)安全開發(fā)運維(DevSecOps)的終極目標(biāo)，在一開始就將安全集成到流程中，不產(chǎn)生任何負(fù)面影響。

可以考慮自動化選項，例如交互式應(yīng)用程序安全測試這一基于機(jī)器的解決方案可以讓您從內(nèi)部觀察應(yīng)用程序的行為。之后，您的團(tuán)隊就可以將安全測試放在質(zhì)量檢測之上并且避免使用單一的安全測試用例。

在這些至關(guān)重要的優(yōu)先任務(wù)中，安全和風(fēng)險管理領(lǐng)導(dǎo)者必須將他們想要處理的任務(wù)、其他團(tuán)隊可以合理完成的任務(wù)以及無法保證時間或精力的任務(wù)按優(yōu)先級別排序。安全團(tuán)隊還必須考慮如何將自動化集成到系統(tǒng)中以及如何在持續(xù)自適應(yīng)風(fēng)險與信任評估安全方法中合理使用自動化。

為了管理和支持價值保護(hù)并實現(xiàn)價值創(chuàng)造，安全和風(fēng)險管理領(lǐng)導(dǎo)者的工作就是識別和管理這種緊張局面，并在自動化藍(lán)圖中找到自己的位置。

轉(zhuǎn)自：中國智能化網(wǎng)