全球网络安全公司Varonis收集的研究结果描绘了一幅相当惊人的信息安全状况,随着我们进入2020年. 这些发现包括由IBM等行业知名澳门赌场官方下载收集的100多项网络安全统计数据, 威瑞森, 埃森哲和赛门铁克. 2019年威瑞森数据泄露调查报告, 由瓦洛尼斯检验和总结的, 据透露,大约70%的安全漏洞是出于经济动机,超过50%是出于 是黑客活动的直接结果. 来自 IBM及其安全情报部门 报告称,2019年安全漏洞的平均成本超过3美元.900万年, 平均花费206天来识别,并且平均违规生命周期(识别到包含)为300多天. 这组令人担忧的统计数据可能突出了导致这些违规因素的一系列资源和/或人才缺口.
我通常非常不喜欢引用维基百科,但在这种情况下,我觉得它 资讯科技审核页 简洁地定义了IT审计的核心目的,其中指出, “IT审计的主要功能是评估用于保护组织信息的系统.“如果我们认为IT审计的这个定义是正确的, 那么问管理层和相关的it审计部门,为什么上面的数字看起来那么糟糕,这是公平的. 在很多情况下都是如此, 比如2017年Equifax数据泄露事件, 那些引人注目的网络安全漏洞,如薄弱的系统补丁程序,是由审计部门发现的,但随后被管理层忽视, 但是,我们应该回到这样的借口?
作为IT审计专业人员,我们非常清楚,常见的控制弱点通常被识别为具有相关风险, 但管理层可能经常选择接受或忽视审计报告的发现. 这是可能发生的, 但是澳门赌场官方下载中存在多少其他值得破坏的漏洞,IT审计没有发现并报告给管理层,因为它没有发展功能中的技术技能集? 虽然培训和教育并不是解决上述数据泄露问题的灵丹妙药, 我的观点是,在澳门赌场官方下载中拥有更多有能力的安全专业人员可以促进比现在更好的安全性, 导致更少的违规机会.
IT审计和安全保证专业人员可能会通过学习像恶意攻击者那样思考来弥合安全技能差距, 通过理解他们的方法并精通, 或者至少有能力, 使用Kali Linux等常见的黑客工具包, Metasploit, nmap, 等. 目前最受欢迎的渗透测试培训提供商包括Offensive Security, eLearn安全, CompTIA和一般使用黑客平台,如Hack the Box (HTB)或Hackme. 我已经完成了CompTIA PenTest+和eLearnSecurity初级渗透测试课程. 我强烈建议任何希望获得良好的基础渗透测试经验的人去学习eLearnSecurity课程,因为它完全教授了学生完整的渗透测试方法, 提供了深入, 动手实验室建立真正的渗透测试技能,并要求学生破解模拟实验室环境,以便在期末考试中获得认证. IT审计和保证专业人员也可以选择通过追求令人垂涎的攻击性安全认证专业证书来学习真正的渗透测试技能, 它包括捕获标志(CTF)风格的期末考试,要求用户入侵各种机器(其中一些可能存在于您的网络中)以提升权限, 成功读取嵌入文件并提交渗透测试报告.
将渗透测试技能集添加到IT审计和保证功能中,可能会增加澳门赌场官方下载对环境中存在的漏洞的可见性, 通过提高对附加的或新发现的漏洞的认识和沟通,为业务涉众提供更大的价值, 甚至允许澳门赌场官方下载利用IT审计和保证功能作为独立的渗透测试提供者. 作为一个想要少花钱多办事的澳门赌场官方下载, 当您的澳门赌场官方下载中已经存在一个完全独立的组织,可以每两到三年循环一次,提供类似的服务和价值时,您为什么要花大量的钱让外部机构来执行漏洞评估呢?
IT审计可能对正在使用的技术以及某些控制是如何工作的有更多的了解, 哪一个会否定外部澳门赌场官方下载来执行黑盒渗透测试的一些价值, 但澳门赌场官方下载很可能不会每小时支付数百美元给IT审计团队(传统上员工人数很少)来执行他们的约定. 根据渗透测试公司Secure Ideas的说法, 一次渗透测试的平均基本成本在10美元之间,000美元和45美元,不包括公司员工的差旅费(如有), 安全咨询服务的小时收费通常在每小时200至500美元之间. 你知道有多少直接雇佣的IT审计员每小时能挣到100美元?
您的IT审计和保证功能将为组织提供巨大的安全价值. 也许是时候训练他们并相信他们能做到这一点了.
