目前,安全領(lǐng)導者正在積極推進2022年的整體戰(zhàn)略,列出支持企業(yè)彈性的優(yōu)先事項列表。CSO進行的《年度安全優(yōu)先級研究報告》指出,受訪CISO們表示他們計劃在未來幾個月內(nèi)采取一些舉措,不過他們既不專注于強化任何單一工具,也不依賴任何一種方法。
相反地,他們的優(yōu)先級反映了安全職能的演變。如今,安全職能必須是相互依賴的政策、程序和技術(shù)能力的集合,這些政策、程序和技術(shù)能力共同應對CISO自身企業(yè)面臨的特定風險和威脅。
此外,他們還表示,鑒于企業(yè)IT和業(yè)務環(huán)境的近期變化、不斷演變的威脅格局以及新出現(xiàn)的安全風險,他們的優(yōu)先事項切實地反映了安全需求。
簡而言之,首席信息安全官表示,他們2022年的首要任務是跟上發(fā)展步伐并努力做得更好。
威脅場景變化影響優(yōu)先事項
2022年,還有更多企業(yè)要上云。IT正在將應用程序與數(shù)據(jù)層分離。CIO正在轉(zhuǎn)向更具組合性的架構(gòu)。而且,他們正在加速自己的數(shù)字計劃。
另外一個現(xiàn)實是,我們已經(jīng)進行了長達兩年的居家辦公模式,如何管理這種不安全的遠程設備也將繼續(xù)考驗著安全領(lǐng)導者。
與此同時,安全行業(yè)還將迎來真正的“離職潮”,原因是長期以來的超負荷工作已經(jīng)讓他們疲累不堪。到2022年,一切將更難管理。
現(xiàn)在CISO的問題是:我們?nèi)绾喂芾硭羞@些?我們?nèi)绾沃悄艿剡\行,才能實現(xiàn)安全和快速的目的?
ParkviewHealth信息安全副總裁兼HIPAA安全官DarrellKeeling有一些自己的想法。
與其他安全主管一樣,Keeling在任職期間見證了威脅形勢的演變。例如,他看到黑客越來越多地以勒索軟件攻擊醫(yī)療機構(gòu)。與此同時,隨著云環(huán)境不斷發(fā)展,包括他自己在內(nèi)的企業(yè)都已變得更加數(shù)字化——這些舉措極大地擴大了攻擊面,實際上也消除了邊界的概念。
Keeling表示,他的首要任務是實現(xiàn)成熟的安全性,以匹配不斷發(fā)展的技術(shù)堆棧和隨之而來的安全威脅。這涉及簡化自己的安全堆棧,從來自多個供應商的大量同類最佳解決方案轉(zhuǎn)變?yōu)閲乐匾蕾嘙icrosoft安全解決方案的方法。(ParkviewHealthIT主要是一家使用Azure云的Microsoft商店。)他認為,簡化安全堆棧將創(chuàng)建更有效的安全操作,以及更少的附加成本。
作為該舉措的一部分,Keeling計劃專注于員工培訓,以使其團隊中更多人獲得Microsoft認證。
Keeling2022年的其他優(yōu)先事項還包括實施更多智能、行為分析軟件和云安全技術(shù);培養(yǎng)威脅追蹤能力;并鞏固他的第三方風險管理計劃。
CISO優(yōu)先事項更加關(guān)注工具和技術(shù)
安全優(yōu)先級研究證實,CISO正在繼續(xù)投資于技術(shù),90%的人表示他們的企業(yè)在過去12個月中至少添加了一種安全工具。
CISO優(yōu)先事項的技術(shù)列表也反映了他們?nèi)找婕傻陌踩椒āEe個例子:云數(shù)據(jù)保護技術(shù)是首要任務,87%的CISO正在研究、試點、使用或升級對它們的使用。
在一項相關(guān)研究中發(fā)現(xiàn),88%的CISO優(yōu)先考慮基于云的網(wǎng)絡安全服務;此外,數(shù)據(jù)訪問治理技術(shù)也在CISO優(yōu)先事項列表中名列前茅,零信任也是如此,84%的人表示零信任是他們的優(yōu)先事項;行為監(jiān)控和分析則是另一個重要的優(yōu)先事項,82%的人表示他們正在學習、試用、使用或升級對它們的使用。
CISO還對安全編排、自動化和響應(SOAR)技術(shù)表現(xiàn)出很高的興趣或使用率,77%的CISO正在研究、試點、使用或升級對它們的使用。
對安全分析師和研究人員而言,這樣的數(shù)字并不足為奇。他們表示,隨著企業(yè)在云計算上投入更多資金,以實現(xiàn)數(shù)字化轉(zhuǎn)型和從任何地方訪問,他們必須采取這些技術(shù)來保護過去幾年迅速變化的環(huán)境。
TheAnalystSyndicate網(wǎng)絡安全分析師AndrewPlato表示,云確實是安全的核心。他發(fā)現(xiàn),CISO對云安全態(tài)勢管理平臺特別感興趣,這些平臺為他們提供了一個整體視圖,并在他們的多個云部署中實現(xiàn)了安全性。
KevinF.Brown2022年的優(yōu)先事項同樣反應了這種趨勢??茖W應用國際公司(SAIC)高級副總裁兼首席信息安全官Brown表示,他的首要任務是招聘和留住人才;業(yè)務連續(xù)性和彈性;對網(wǎng)絡、云和數(shù)據(jù)的零信任;以及業(yè)務支持。
他解釋稱,“網(wǎng)絡安全人才仍處于供不應求的狀態(tài),尤其是在建立多元化和包容性團隊方面,這是必不可少的。勒索軟件仍然是整個行業(yè)的最大威脅,這既是由于業(yè)務中斷的影響愈發(fā)嚴重迫使受害企業(yè)支付贖金,讓勒索組織嘗到更多甜頭;也是因為越來越多的數(shù)據(jù)泄露,使得勒索行為變得更加容易。除了保護能力外,還需要制定彈性和恢復計劃。此外,零信任原則不僅需要針對傳統(tǒng)的網(wǎng)絡安全,還需要作為不斷擴展的用戶和云邊界,以及關(guān)鍵數(shù)據(jù)的保護和完整性策略??偠灾?,無論是通過提供安全的業(yè)務解決方案、降低風險、推廣安全設計理念等,實現(xiàn)業(yè)務安全運行都是重中之重。”
優(yōu)先事項支持持續(xù)的安全計劃改進
盡管2022年的每個優(yōu)先事項都很重要,但Brown表示,它們都不是新的優(yōu)先事項,都只是他一直在做的事情的延續(xù)。
這也反映了CISO網(wǎng)絡安全計劃的整體狀況,并說明2022年安全優(yōu)先事項將是進步,而非革命。
那么,會不會有一些很“酷”的技術(shù)來改革這一切?答案可能是否定的。
大約67%的受訪者表示,他們的企業(yè)正在更加關(guān)注提高安全服務的利用率和/或資源配置;62%的受訪者表示,他們有一個流程來持續(xù)評估其擁有或(通過供應商合同)訪問的安全解決方案和服務的有效性。
WorldFuelServices信息安全副總裁ShawnM.Bowen表示,他的首要目標是持續(xù)改進安全功能——這一目標將推動他來年的工作。例如,他正在努力提高自己設計安全策略、程序和控制的能力,以適應公司自身已識別的風險和威脅。
他表示,“我希望超越框架成熟度模型,成為基于風險的安全運營。因此,我們的目標不是基于框架構(gòu)建安全性并提供標準服務,而是專注于我們的企業(yè)風險管理計劃。”
為此,他正與其業(yè)務同事合作,了解、闡明和優(yōu)先考慮其特定職能領(lǐng)域內(nèi)的風險和威脅,以便安全部門能夠真正調(diào)整其資源以防御它們。
此外,Bowen希望讓業(yè)務部門更多地參與安全部門的企業(yè)風險管理方法。他計劃利用這種參與為他們的每個產(chǎn)品和服務開發(fā)適當?shù)耐{模型,以便他可以針對這些特定威脅定制安全產(chǎn)品。
2022年的挑戰(zhàn)
CISO表示,他們在實現(xiàn)來年的目標方面將面臨諸多挑戰(zhàn)。
《安全優(yōu)先級研究》報告,CISO表示其企業(yè)未能解決網(wǎng)絡風險的首要原因,是難以說服企業(yè)的全部或部分成員了解他們所面臨的風險嚴重性。大約30%的人表示這確實是一個棘手的問題。
幾乎同樣多的人(29%)表示資源不足,而27%的人表示無法在其安全策略中采取足夠的主動性。
未能解決網(wǎng)絡風險的其他主要原因還包括招聘和保留專業(yè)人員方面的困難;在應用程序開發(fā)周期中未能始終滿足安全要求;以及對用戶的安全培訓不足。
雖然承認這些問題的確是重大挑戰(zhàn),但分析人士指出,CISO的許多優(yōu)先事項將幫助他們解決這些問題。例如,他們指出,專注于事件響應,尤其是在針對業(yè)務風險進行定制并與業(yè)務支持和彈性相結(jié)合時,可為安全計劃提供更多業(yè)務支持。
同時,添加更多數(shù)據(jù)保護技術(shù)、云安全工具以及支持零信任和SOAR解決方案有助于將安全性嵌入更多核心技術(shù)堆棧,而不是使其成為附加服務。
此外,CISO也可以通過在這些技術(shù)部署中添加自動化功能,來緩解因安全人員短缺和偶發(fā)性用戶端安全失誤而帶來的挑戰(zhàn)。
SymbridgeHoldingsLLC公司CISOMichaelIbarra列出的2022年優(yōu)先事項與其他安全領(lǐng)導者的大致相同。Ibarra認為,2022年的優(yōu)先事項將是企業(yè)整體安全戰(zhàn)略的關(guān)鍵所在。
他正在努力加強公司的數(shù)據(jù)隱私保護以及供應商風險管理實踐。此外,他還正專注于API安全性和數(shù)字身份驗證,這兩者對于保護不斷增長的云環(huán)境都是必不可少的。
他還在加強對漏洞的防御,特別是研究如何最好地減輕和防止國家支持的網(wǎng)絡攻擊行為。他正在努力將安全計劃與公司的技術(shù)變更控制流程聯(lián)系起來,以便安全發(fā)展與IT一樣快,并研究可以提供價值的前沿技術(shù)。
他還將繼續(xù)努力招募和留住人才,部分舉措是確??梢詾槠涮峁┱_的培訓和技能提升路徑。
Ibarra表示他們正共同努力創(chuàng)造網(wǎng)絡彈性。他說,“我們始終專注于提供安全可靠的平臺,首要任務之一始終是將風險降至最低。但優(yōu)先考慮彈性使我們能夠為未知事物做好準備。”
