一文读懂 | 内置安全成熟度模型BSIMM
点击上方蓝字关注我们噢~
近年来诸多安全事件的曝光,推动了用户对数据安全和隐私保护需求的不断提高,国内外安全监管机构对安全和合规的要求也越来越高,安全成为产品质量中的必备属性,因此对产品和服务提供基本安全能力已经成为市场准入的门槛之一。
那如何做才能让产品变得更安全呢?通常是参考业界最佳实践,借鉴别人的成功经验。
而参考业界比较知名的软件安全成熟度模型是一个比较好的选择,这些模型大都是通过研究优秀企业的最佳安全实践得来的,具有很高的借鉴价值。
01
BSIMM模型简介
本文介绍的模型是BSIMM模型,BSIMM全称是Building Security In Maturity Model,意即内置安全成熟度模型。
BSIMM模型旨在量化真实的 SSI(软件安全计划)所开展的活动,唯一目标就是观察和报告,只报告其观察到的东西,而不会建议企业应该做什么或怎么做,这也是BSIMM与其他软件安全成熟度模型的一大区别。
通过将自己企业观察到的数据与业界同行业的数据做对比,可以全面了解其他企业都做了哪些安全活动,而自己企业都做了哪些安全活动,哪些活动是其他企业做的最多的,哪些是做的比较少的,通过这样一份观察数据,可以知道目前公司的安全能力处于什么水平线上,自己的优势和短板在哪些方面,从而可以指导企业的安全计划。
BSIMM模型在2008年出现第一个版本,它是一套随时间的推移而不断发展演进的数据驱动的模型,随着项目的演进,不断根据所观察到的数据来添加、删除和调整各类活动的级别,目前已经发展到第10个版本BSIMM10。
BSIMM10模型是基于从122家企业中观察到的数据构建而成,是针对现实企业中软件安全计划开展多年研究的成果。
02
BSIMM活动中的常见术语
01
软件安全计划(SSI):一项涵盖整个组织机构的项目,用于以协调一致的方式来灌输、评估、管理并演进软件安全活动。在相关文献中也被称为“企业软件安全项目”。
02
软件安全框架(SSF):支撑 BSIMM 的基础结构,其由划分为4个领域的12项实践模块组成。
03
软件安全小组(SSG):负责实施和推动软件安全工作的内部工作小组。根据我们的观察,软件安全计划(SSI)的第一步工作就是组建SSG。
04安全软件开发生命周期(SSDL):含有集成的软件安全检查点及活动的任何软件生命周期。
03
BSIMM10 框架
这四个领域又包括12个实践模块,这 12个实践模块中又包含119项活动。
BSIMM活动分为3级,活动级别仅用于区分组织中观察活动的相对频率,经常观察到的活动被指定为“第1级”,较少观察到的活动被指定为“第2级”,不经常观察到的活动被指定为“第3级”,它们不是一组可以在深度和广度上出现多个重叠活动的传统成熟度模型(在级别1执行某些操作,在级别2执行更多操作,在级别3更好地执行这些操作等等)。
各领域中的详细活动如下图所示,其中红色表示该项活动在该实践模块中被观察到的次数最多。
治理领域
情报领域
SSDL触点领域
部署领域
得到企业的观察数据后,可以从多个角度进行评估,比如:将自身的记分卡与业界平均水平对比。
上图所示为50家企业两次评估的平均数据对比,可以看出这些企业在12项实践活动中都有改进,其中培训这些实践活动是进步最大的,而攻击模型是目前的短板,之前短板是培训。
如果你所在的企业处于处于刚开始进行安全治理的起步阶段,不妨参考一下BSIMM10中TOP 20的活动,在资源有限的情况下优先实施关键活动。
对于BSIMM评估模型的使用上述只是举了两个例子,实际的用途远不止于此,具体如何使用,各位安全的小伙伴可根据所在企业的特性进行挖掘。
下面来回答一下小伙伴对BSIMM模型理解上常见的问题吧:
如何开展BSIMM评估?
A:
BSIMM正式评估可通过专业公司进行评估,以确保其评估的专业性和权威性。
如果只是通过BSIMM模型来改进本公司的安全治理活动,可通过BSIMM官网下载模型介绍文件,将BSIMM活动解读并制作成记分卡,然后通过一套面对面访谈技术开展BSIMM评估。
BSIMM中的活动是不是级别越高越高级?
A:
BSIMM活动中的级别是根据样本企业中被观察到的频率来区分的,经常观察到的活动被指定为1级,较少观察到的活动被指定为2级,不经常观察到的活动被指定为3级。
企业应根据自身的特性确定要执行哪些活动,不应为了获得较高的评估级别而专注执行3级活动,通常BSIMM模型中的活动覆盖的越全意味着成熟度越高。
是不是一定要采用每个实践模块中各个级别的全部活动?
A:
不需要,需要根据企业的特性评估活动对企业是否有意义,没有意义的活动可以忽略。
参考链接:
https://www.bsimm.com/
更多精彩阅读
长按关注 更多安全技术干货等你发现