web-dev-qa-db-ja.com

防御を最適化するための(人、ツールとテクノロジー、プロセス)の適切な優先順位/組み合わせは何ですか?

人々がこれについて異なる見解を持っているかどうか、そしてその理由に興味があります。

コメントに基づいて更新:

企業を守る。

引用:
「長年のブログ読者は、私が企業を守るためにツールに依存していないことを知っておく必要があります。私は最初に人に依存し、次にツール、次にプロセスに依存します」、Richard Bejtlich

「エンタープライズ情報保護パラダイム」、Dan Geerの[...]は、人、プロセス、テクノロジーの統合を推進するためです。

アマンダ・アンドレスによる「生き残るセキュリティ:人、プロセス、テクノロジーを統合する方法」

4
Tate Hansen

場合によります。それはすべて、あなたが何を保護しているか、あなたの予算が何であるか、そして他の多くの種類の文脈に依存します。

そうは言っても、それが私なら、私は人から始めます。ツールとテクノロジーは人がいなければ価値がありません。セキュリティ戦略を実行するための適切な人材がいない場合、あなたはうんざりしています。信頼できる人がいると、彼らはツールやテクノロジー、プロセスがどこに役立つかについてアドバイスし、それぞれの費用便益分析を行って、それらを採用するかどうかを判断できます。

3
D.W.

哲学としての「多層防御」は、組織全体(すべての機能領域、テクノロジーソリューション、およびビジネス慣行)で情報セキュリティを統合することを提案します。とはいえ、そのようなアプローチはバランスが取れていなければなりません。最終的には、その取り組みは問題の組織に依存することになります。たとえば、軍隊は「opsec」(運用上のセキュリティ)を運用のほぼすべての側面に統合していますが、レストランでは、カードプロセッサから指示された以上のセキュリティについての手がかりがない可能性があります。

したがって、最終的には、多くの要因によって変化します。

3
C.J. Steele

Tate(StackExchangeの質問をした)からのこの引用から始めましょう。「長年のブログ読者は、私が企業を守るためにツールに依存していないことを知っておく必要があります。私は最初に人に依存し、次にツール、次にプロセスに依存します」、リチャード・ベイトリヒ

これはほぼ正しいです。それはほぼ正確に正しいです。私が変更する1つのことは、ツールとプロセスを同時に戦略化する必要があることと、追加の人員でプロセスを拡張できることです(もちろん、少なくとも1人から始めます)。

たとえば、ペネトレーションテストプログラムを開始しようとしているとします。フルタイムのテスターが1人必要です。そのテスターは、プロセスのバリューチェーン(または複数のチェーン)を介して作業する必要があります。これらのバリューチェーンは、テクニック(ホワイトボックス、グレーボックス、ブラックボックスなど)とサブテクニック(モバイル、ウェブ、ネットワークなど)で構成されています。 1つまたは複数のツールを各サブテクニックにマッピングできます。スケーリングが必要な場合は、単に人を追加するだけです。

最近の Cloak&Swaggerエピソード YouTubeで、この質問をカバーするいくつかのコメントがありました。人とツールに関する議論は約47分で始まりますが、最も重要なのは、ALiの「組織が支払うことができるもの」(約55分で始まる)の公式であり、ツールで人と1を買う余裕があると述べています。

私はこれらのアイデアの両方を楽しんでいます。著書「ITSecurityMetrics」では、著者(Lance Hayden、et al)が、ポアソン分布を使用したインシデントへの人員配置、およびその他のアウトソーシング方法について説明し、最後に、人の統合によるプロセスの定義に関する膨大な部分を含めています。 -すべて第9章で説明されています。これは、チェックする価値のあるもう1つのソースです。

0
atdre