本APNIC文摘原標題為Making security simpler for organizations big and small,由Kathleen Moriarty撰文。
過去幾年來,我們看到更多各種不同規模的組織單位面臨網路安全威脅,包括試圖找出侵入點以取得更大範圍權限的攻擊。雖然供應鏈攻擊並不一定比其他類型的攻擊更厲害,但此類攻擊帶來的危害不可否認日益嚴重。
越來越多包括美國行政命令、歐盟國家制令等政府命令要求內建安全和常態性管理。許多缺乏資源的組織單位往往選擇利用雲端代管環境達到安全目標,然而這些代管環境也需要安全控管資源。除此之外,不同平臺的控管機制也大不相同。
要求供應商內建安全機制的趨勢,也呈現安全管理規模化的機會。隨著安全概念向「零信任」轉型,安全管理也必須進入每個微小的環節。如何推動安全轉型並建立管理架構模式,將決定未來供應鏈管理的安全。
本文作者Kathleen Moriarty為網路安全中心(Center for Internet Security,CIS)技術長,在加入CIS之前,Kathleen是網際網路工程任務組(Internet Engineering Task Force,IETF)的安全主任。投身協定演進研究的同時,他也找到讓安全更簡單的方法,並將發現集結成書《資安轉型:最佳化五種並行趨勢以減少資源流失》(Transforming Information Security: Optimizing Five Concurrent Trends to Reduce Resource Drain)出版。書中指出當代軟體和執行系統安全架構的不足之處,包括使用外加安全產品的慣例。
有感於許多資源不足的組織單位難以建立有效的安全控管架構,Katheleen最近發布的CIS白皮書《簡化安全》提出範例,說明如何有規模地自動化供應商安全機制的基礎控管區域。白皮書內容聚焦於資產管理、軟體資產管理,以及資產購入及後續管理的系統態勢安全保證。在規模化建置的前提下,文件中列舉有民主化安全機制潛力的技術、協定和開源專案。
Kathleen在今年3月的RSA會議中,主持了一場「讓安全更簡單」的座談。與談人包括Dell、RedHat、Cisco及Microsoft代表,討論未來5年內如何促進內建安全規模化的轉型。其中特別值得紀錄的亮點包括:
- Dell代表Rudy Bauer分享Dell安全元件驗證( Secured Component Verification,SCV) 專案,加強確保使用驗證技術的供應鏈安全。此專案顯示供應商有能力確保產品符合既定政策及量測規範,進而確保產品售出後,無需購入方多餘的持續管理監控,程式啟動過程也值得信任且安全。
- Microsoft的Kay Williams分享Microsoft在發現新弱點時,用來更新客戶機器的平臺。過去幾年來修補程式改善很多,供應商可以全面自動化修補過程,客戶方幾乎不再需要在自身環境進行分散測試。
- RedHat的Luke Hinds表示,RedHat持續和SigStore開源專案合作,開發用來簽署、發布軟體物料清單(Software Bill of Material,SBOM)開源程式碼。
- Cisco的Tony Jeffs指出產品開發環境是入侵的管道之一,隨著威脅樣態演變,Cisco了解到規模和敏捷度的重要。他認為必須結合中央化安全架構及隱私保護,確保這些層面的一致性。此過程應從自動化資產清單開始,建立一系列控管原則,並在過程中自動化減緩風險。
這場座談以Kay Williams強而有力的發言作結。他表示:「安全如同淨水與清淨的空氣,一般個人應可視此為理所當然。」
Kathleen認為這也應該是未來產品安全的基本,安全對所有人來說都應該變得更簡單。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Making security simpler for organizations big and small。
圖片來源: APNIC Blog
