在 2024 年 12 月,网络弹性法案 (CRA) 该法案在欧洲生效,标志着组织和企业适应新网络安全要求的过渡期的开始。该监管文件旨在通过要求制造商和零售商在其产品的整个生命周期中支持和更新数字组件来提高质量和安全标准。 CRA涵盖硬件和软件,不仅影响欧盟制造商,还影响进口商,因此在欧盟国家经营或销售其产品的美国公司也将受到影响。该立法将深刻影响多个细分市场,例如物联网产品。虽然公司必须到 2027 年强制遵守合规义务,但 CRA 标志着认识到网络安全对于各种产品的重要性并创建保护最终客户利益的结构的重要一步。 Doumo 首席信息安全工程师、IEEE 高级会员、Hackathon Raptors 社区成员以及认证信息安全系统专业人士 Anton Snitavets 解释了现代网络安全方法的含义以及企业应考虑的因素保护他们的客户和他们自己。
向综合方法的转变
Anton Snitavets 指出,网络安全已成为更多企业运营中不可或缺的一部分,而不仅仅是强加于现有流程的一些保护措施或安全规则。对于专门从事软件开发的公司来说尤其如此。 Anton 在 2017 年开始在 Aras Corp 担任 DevSecOps 工程师时遇到了类似的问题。为了改进软件开发流程,他实施了安全软件开发生命周期 (SSDLC),通过添加新的方法来检测和消除网络安全风险,防止其造成负面后果,从而使软件开发流程显着更加安全。他将现有的软件解决方案与他自己开发的定制解决方案集成在一起,使软件开发过程更加高效和可靠。具体来说,他改进了 Aras Innovator Software 的开发更新流程,这是 Aras 客户使用的工程产品管理解决方案,其中包括通用汽车和空客等主要工程公司。结果,他在 3.5 年内显着提高了产品质量,消除了软件中的多个漏洞,并提高了其稳定性和安全性,这对于用于复杂工程任务的软件解决方案尤其重要。最近加入 Doumo 后,他正在作为首席信息安全工程师实施类似的方法,致力于将 SSDLC 与云基础设施集成。
“事实上,越来越多的公司(与上述两家公司类似)将大量精力投入到使开发流程更加安全,这凸显出为了使安全措施有效,它们需要成为软件开发周期中不可或缺的一部分。” 他评论道。 “尚未实施这种方法的公司需要学习在整个开发生命周期中应用它。”
开发定制解决方案
这种向更完整的信息安全方法的转变导致了另一个重大变化。企业必须开发量身定制的解决方案来准确满足其需求,而不是依赖于现成的解决方案。 “现成的解决方案通常无法涵盖所有情况和场景,从而遗漏了未受保护的特定漏洞,或者相反,在特定情况下不必要的措施上浪费了公司资源,”Anton Snitavets 解释道。 “这就是为什么公司需要能够考虑其运营细节和相关常见风险的解决方案。”他的经验提供了足够的例子来说明为什么开发定制解决方案并考虑特定情况和威胁是至关重要的,因为它可以改进开发流程并使产品对最终用户更加安全。在 Aras Corp,他开发并实施了代码分析解决方案,使开发人员能够检测产品代码中的 SQL 注入和路径遍历风险等漏洞,以及特定产品特有的漏洞。分析器实施后,检测并修复了数十个漏洞。此外,实施该分析器使最终用户开发定制解决方案的产品更加安全可靠,使他们能够在开发的早期阶段检测并解决潜在风险。
Anton Snitavets 提到公司必须采用的一个更重要的概念:他们必须专注于预防威胁并主动采取行动,而不是仅仅专注于保护自己免受已知威胁和应对已经发生的违规行为。为了实现这一目标,需要一个灵活的分析和报告系统,这将使公司能够监控基础设施的当前状态,预测和检测潜在风险,并在它们造成任何损失之前将其消除。这是 Anton Snitavets 在 Jabil Inc. 进行的工作类型,他从 2022 年开始担任 Jabil Inc. 的云安全工程师。为了改善公司的安全合规状况,他开发了一个原创的报告框架,以便及时了解公司的安全状态云资源。为此,他调整了现有的安全标准。他集成了一个软件解决方案来汇总有关云信息状态的数据,这些数据在公司运营中发挥着至关重要的作用,有助于将其安全合规性评级保持在尽可能高的水平。
持续学习的必要性
需要补充的是,技术在不断发展,随着新的保护措施的出现,新的威胁也随之出现。 “虽然网络安全专业人员开发出新的、更强大、更有弹性的方法来保护数据并确保数字基础设施的稳定运行,但恶意行为者却找到了新的攻击媒介,试图利用新兴技术来发挥自己的优势。” 安东·斯尼塔韦茨解释道。这就是为什么网络安全专业人员有必要在理论和实践上不断学习,探索新的方法和解决方案,并找到有效的方法将它们应用到手头的任务中。
在安东·斯尼塔韦茨的整个职业生涯中,他一直遵循这一原则。即使在学习期间,他也开始担任软件开发人员,积累的经验为他未来的职业生涯奠定了坚实的基础。随后,他不断努力获得专业认证,包括信息系统安全认证专家 (CISSP),该认证被认为是最具挑战性的网络安全认证之一。
“我重要的是要将获得正式认证(证明个人的专业技能)与不断探索新兴技术并将新获得的知识付诸实践结合起来。” 安东·斯尼塔韦茨解释道。 “成为网络安全专家需要高度的奉献精神和纪律,因为错误的代价可能是巨大的。
人们必须不断前进并积极采取行动,以实施高效的信息安全流程。 CRA 等新监管措施将推动公司采取更好的安全实践。然而,即使在强制实施之前,公司也必须改进其网络安全方法,以保护自己及其客户免受新出现的威胁。 “
