HILL12/17刊发JONATHANREIBER的文章,分手法,尤其是利用。指出,如果你不佣机器人,你的安全工作就做得肯定有问题。因为,遵守,那种几乎需要自动化来编制的数据。
就在国防部负责采购、技术和后勤的副部长办公室门外,当弗兰克-肯德尔和阿什-卡特在2008年,肯德尔竖起了一块牌子,上面写着:我们相信上帝,但所有其他人都必须带来数据。
当你面对庞大的军队和,你需要真实的、可验证的数据来进行决策,无论是打击对手、投资一支主要部队或武器项目,还是雇佣一名新的高级领导人来指挥一个组织。在每种情况下,你都需要数据来做出艰难的选择。缺少它,就无法进行有效的管理,并会增加风险。
多年来,国防部一直试图提升,。政府问责官在今年夏天的报告中指出,尽管整个国防部采取了重大举措,但是,依然有太多的主要国防项目,往。
没有人喜欢规章制度,但是,他们更不喜欢敌对的民族国家在国,窃取国防信息。多年来试图说服政府机构和私营公司,让他们更好,但是,实际上常常无疾而终。这样,迫使他们这样做的法规的到来,就成为美国防御向前的一大步。这些法规的名称是《》。简而言之,它们要求国防部承包商遵循严格的规则,旨在保护国防部供应链中的非机密信息。未能达到国防部标准的承包商,可能就会发现自己被拒绝接受国防部的业务。
许多私营公司对合规任务望而生畏,这是完全可以理解。对此,首先要做的就是数据。更具体地说,首席信息安全官需要一种方法来评估他们的系统,并产生真实的、细化的性能数据,以向安全审计人员展示公司正在以所需的有效性水平运行。这一要求将推动许多公司走向自动化测试。例如,一个软件平台可能会借鉴MITREATTCK框架,这是一种已知威胁行为者、战术、技术及其行为常识的周期表。
MITRE公司是一家由联邦政府资助的非营利性研发机构,致力于公共利益,它在2015年建立并发布了最初的ATTCK框架,以帮助世界各地的防。此后,ATTCK作为一个经过全球审核的、独一无二的、全来源的对手行为库,在公共和私营部门获得了发展势头。它为组织提供了一个稳定的框架,组织可以据此设计他们的防御措施。
在使用MITREATTCK的过程中,一个好的漏洞和攻击模拟平台应该自动部署场景,探测、评估和验证。如今,漏洞,是一个蓬勃发展的创新领域,有少数的解决方案,少数的领导者,以及有竞争力的价格,无论是内部部署还是软件服务部署。
自动安全测试以人工测试无法做到的足够规模的方式,确保锐化组织防御和能力。在红、蓝、白团队的支持下,测试平台可以发现配置错误,揭示操作人员的错误,并找出防御措施的漏洞。
通过模拟对手的战术,如横向移动或权限升级,一个好的漏洞和攻击模拟平台,就可以,旨在防止像Sunburst这样的恶意软件在数据中心蔓延,就像最近的SolarWinds入侵事件一样。最终,自动化测试平台会生成性能数据,以帮助组织充分利用其宝贵的防御资源。
这种方法不仅可以帮助承包商,也可以帮助国防部。例如,自动化平台可,,对手模拟,以测试团队性能。
如果没有持续的、自动化的测试,国防部及其承包商仍,他们的安全计划会因为配置不当或团队表现而悄然失败。通过自动化平台,他们可以将人员、流程和安全技术集中在最重要的威胁上,从而改善安全态势。