企业在不确定时期如何保障网络安全

关键要点

在Covid限制放宽后，企业刚恢复生机，但现在又因新的“当前局势”而紧急减速。疫情只让我们对网络系统的依赖增加，网络安全显得极其重要。但在削减成本的情况下，如何保持和提高安全性呢？

安全不是奢侈品

如果你和我一样，可能会对“在这些不确定的时期”或“由于当前局势”等短语感到厌烦。这让我想起了西蒙西涅克的一句名言：所有的时刻都是不确定的。全球经济下滑，地缘政治动荡，网络攻击急剧增加，这些都已成为我们生活的新常态。因此，企业需要适应这种情况，调整运营策略，不仅要关注成本，还要尽量减少安全风险。

在今年的RSA会议上，我们听到了客户对网络应用安全的高度关注，现在的问题是如何实现这一点。过去，应用安全被视为可有可无的选项，尤其在艰难时期时常被搁置。这种现象在Covid期间尤为明显。然而，当前的经济衰退预计将持续多年，因此单纯等待并不可行。认识到这一点后，企业正在重新思考应用安全的发展方向，寻求在预算紧缩的情况下保持安全。对于许多企业而言，这意味着要以更低的成本进行更有效的安全性维护。

将安全测试与开发分开是昂贵的

将安全性视为简单附加的想法源于局域网时代，而当时基于防火墙的紧密防御被认为是最安全的方法。但如今，这种方法已不适用于网络应用，特别是在技术栈和部署模型迅速发展，且日益分散在云环境中时。虽然网络应用防火墙WAF应是任何应用安全工具箱的一部分，它们的作用是阻止特定攻击，并让你有时间修复潜在漏洞，而不是作为主要防线。降低长期安全风险的最佳方法是交付没有已知漏洞的应用程序，这意味着需要大量的测试。

对应用安全仅依赖外部渗透测试的日子已经一去不复，特别是在那些构建和运行自己软件的大型组织中。通常，内部安全团队负责运行和维护各种安全测试解决方案，处理安全问题并关注修复工作。然而，安全测试常常因与日常日常安全工作相较较低的优先级而被忽视。

将安全测试与开发分开使测试和修复安全缺陷变得缓慢且成本高昂，尤其是在安全测试工具可能会产生额外的误报的情况下。加上开发者与安全工程师之间沟通不畅所产生的内部摩擦和延误，这加深了安全性是创新的绊脚石及企业成本中心的误解。更糟糕的是，这导致开发团队在时间紧迫时跳过一些或全部的安全测试，这使得在预算削减时安全性往往成为首当其冲的牺牲品。

将安全性纳入软件质量中

因此，许多组织面临一个两难：它们无法继续以老旧方式进行应用安全，但又不敢停止以免发生数据泄露或更严重。解决办法是停止将应用安全视为工作流程中的一个环节，而要把它视为软件质量的固有部分，和性能、功能性、可用性同等重要。这样，你可以将安全融入开发流程，并在工作负载和成本方面实现自动化以提高效率。

你可能会说这听起来像是“向左移动”，而且