Chanzo: www.hackerone.com – Mwandishi: Hackerone. Kwa kipindi cha wiki chache, tulikuwa na mazungumzo na CISOs 50+ na viongozi wa usalama kutoka anuwai ya viwanda, ukubwa wa shirika, na maeneo ya kijiografia ili kujua jinsi wanavyosawazisha rasilimali wanazolinda dhidi ya vitisho vya usalama. Wakati wa mazungumzo haya, tumegundua mikakati kadhaa muhimu ya kusaidia timu yako ya usalama kustawi katika hali ngumu ya uchumi. Kamba ya kawaida katika majadiliano yetu na viongozi wa usalama ni matumizi yao ya watekaji wa maadili kusaidia kushughulikia shida na changamoto katika programu zao za usalama. Kutoka kwa kupunguza gharama hadi kudhibitisha udhibiti wa usalama, tumegundua njia za kawaida viongozi wa usalama hufanya kazi na jamii ya wahusika wa kimataifa kufikia malengo yao. Hackare huongeza ustadi wa timu za ndani haiwezekani kutunza wafanyikazi wa wakati wote na ujuzi wote muhimu ili kuweka shirika lako salama-na jamii tofauti ya utapeli wa maadili iko tayari kutoa ujuzi huo ambao haukukosa. Walakini, sio tu juu ya ustadi wa ziada wa upimaji. Viongozi wa usalama ambao tumezungumza kupendekeza kupita zaidi ya udhaifu wa kibinafsi na kujihusisha na watapeli ili kujifunza jinsi walivyobaini na kunyonya hatari, na kwa hivyo jinsi shirika linaweza kuzuia udhaifu huo kutoka mara kwa mara. Kwa wakati, mazungumzo haya na watekaji nyara yatakusaidia kuelewa uso wako wa kushambulia vizuri zaidi, na kukuwezesha kutambua njia za kufanya ugumu wa uso wako dhidi ya safu kubwa ya vitisho – iwe kupitia utaalam wa kibinadamu, zana, au mabadiliko ya mchakato. Shughulikia hatari zisizojulikana na uhakikishe usalama bidhaa, suluhisho, na miundombinu ambayo hufanya mazingira ya kisasa ya IT ni ngumu na yameunganishwa. Haijalishi shughuli zako za IT, mazoea ya usalama, na bomba la CI/CD ni nzuri, huwezi kutarajia hatari zote -na mchanganyiko wa mali tofauti za IT husababisha wasifu wa hatari ambao ni ngumu kuelewa na kulinda. Ili kushughulikia hili, viongozi wa usalama wanahitaji njia ya kufunua hatari zisizotarajiwa ndani ya mazingira yao ya IT-lakini hii ni mbali na rahisi, na kwa ujumla haiwezi kufanywa ndani ya nyumba. Ni rahisi sana kwa timu za usalama kupuuza hatari na vitisho kwa sababu ya mapungufu katika maarifa, ustadi, au uzoefu. Tena, jamii ya utapeli wa maadili inaweza kusaidia. Kuwa na kikundi kikubwa, tofauti cha wataalam wa usalama kinachoendelea kutathmini uso wako wa kushambulia huongeza sana nafasi za kupata udhaifu usiotarajiwa, kuruhusu timu yako kushughulikia kabla ya kutumiwa na wahusika wa mtandao. Wakati huo huo, watapeli hutoa uthibitisho wa kujitegemea wa ukomavu wako wa usalama. Unaweza kuwa na bidhaa au udhibiti mahali pa kushughulikia hatari, lakini je! Wanapunguza hatari hiyo katika ulimwengu wa kweli? Watapeli wa maadili husaidia kuhalalisha hii kupitia upimaji unaoendelea na anuwai, hukuruhusu kukaza au kuchukua nafasi ya udhibiti ambao haufanyi vizuri. “Tuko pamoja, na hakuna timu moja ya usalama inayoweza kujua vya kutosha kuwa na ufanisi kabisa.” – Helen Patton, CISO, Kikundi cha Biashara cha Usalama cha Cisco hufanya zaidi bila kujihusisha na jamii ya wahusika wa maadili ni njia rahisi ya kuboresha chanjo ya upimaji wa usalama wakati wa kudhibiti gharama na kuokoa wakati. Upana wa ustadi wa upimaji unaopatikana ni mkubwa zaidi kuliko timu yoyote ya usalama inaweza kuhifadhi ndani ya nyumba, au hata kile kinachoweza kupatikana kwa kujihusisha na watoa huduma wa upimaji wa kupenya. “Jambo moja ambalo watu hawafikirii, pamoja na kampuni ambazo zinataka kutuuza pentesting, ni faida ya kuendesha kila kitu kupitia jukwaa moja. Kuwa na jukwaa moja la upimaji mkubwa wa usalama wa kukera huepuka hitaji la kuingia kwenye wachuuzi wengi, majukwaa, na kadhalika. Hii inaunda wakati muhimu na kuokoa gharama. ” – George Gerchow, CISO na SVP IT, SUMO Logic huunda uaminifu na mpango wa kufichua hatari (VDP) baadhi ya viongozi wa usalama ambao tumezungumza kwa kutaja kusita kwao kufanya kazi na watapeli kwa kuogopa kufungua shirika lao kwa macho ya nje. Walakini, baada ya kufanya kazi na jamii ya utapeli wa ulimwengu, walibaini kuwa-mbali na kuwa hatari-kufichua udhalilishaji unaosababishwa na udhalilishaji na mipango ya fadhila ya bug inachangia sana kwa maelezo mafupi ya mashirika, na kuunda kiwango cha juu cha uaminifu na wateja na washirika. Kwa kuwaalika watapeli wa wataalam kukagua mazingira yako ya mali, unaweza kukaza udhibiti wako wa usalama na kushughulikia mapungufu bila kulazimika kungojea udhaifu walionyeshwa na cyberattack ya ulimwengu wa kweli. Vidokezo juu ya bajeti za kuzunguka – kutoka kwa viongozi wa usalama kwa viongozi wa usalama katika mazungumzo yetu na CISO zaidi ya 50 na viongozi wengine wa usalama, mada zingine kubwa zimeibuka linapokuja suala la kufanya kazi kupitia vizuizi vya bajeti vya sasa, pamoja na kushughulikia usimamizi wa talanta, bajeti za kusawazisha na usimamizi wa hatari, na Kujihusisha na watekaji wa maadili, kama tulivyojadili katika blogi hii. Ili kupata maelezo zaidi juu ya mikakati ya juu viongozi wa usalama wanachukua wakati wa kutokuwa na uhakika wa kiuchumi, pakua kitabu chetu “Kupitia bajeti ya usalama: Jinsi viongozi wa usalama wanavyosawazisha hatari na ujasiri.” URL ya chapisho la asili: https://www.hackerone.com/blog/how-ethical-hackers-are-helping-security-leaders-navigate-budget-crunch