在本文中，喬治城大學應用智能項目和研究生網絡安全項目的兼職教授CharlesBrooks談到了零信任原則、身份訪問管理和托管安全服務對有效的網絡安全的重要性，以及AI、ML和跟蹤工具等新興技術的實施將如何增強供應鏈的安全。

　　CISO們認為他們有足夠的數據保護措施，但他們在過去的一年中已經處理了許多敏感數據的丟失問題。你是如何調和這種明顯的矛盾的?

　　盡管采取了保護措施，但數據仍會丟失，這并不奇怪。我們都在網絡安全方面迎頭追趕。互聯網是在政府實驗室發明的，但在私營部門實現了商業化。硬件、軟件和網絡最初是為開放通信而設計的。網絡安全不是最初的主要考慮因素。由于互聯網的連接性和商業的爆炸式增長，這種心態肯定已經發生了改變，而CISO們也正在玩一場追趕游戲。

　　有許多原因可以解釋敏感數據的泄露。首先，黑客已經變得更加老練和有破壞力。黑客利用的基本工具和策略包括了惡意軟件、社交工程、網絡釣魚(最簡單、最常見的，尤其是針對企業高管的魚叉式網絡釣魚)、勒索軟件、內部威脅和DDoS攻擊。此外，他們也經常使用暗網上所共享的先進且自動化的黑客工具，包括用于攻擊和探索受害者網絡的AI和ML工具。對于CISO們來說，不斷發展的黑客武器并不是那么容易防御的。

　　另一個重要因素是，新冠肺炎疫情推動的指數級的數字連接也改變了安全模式。現在，許多員工會在混合式辦公室和遠程辦公室中工作。有了更多的攻擊面需要保護，而對CISO的可見性和控制措施卻更少了。因此，得出更敏感的數據已經并將繼續暴露在黑客面前的結論是合乎邏輯的。

　　想要充分保護是很難的，因為威脅也在不斷演變。只需要一個狡猾的網絡釣魚，一個錯誤的配置，或者沒有及時修補漏洞，就可以為漏洞提供機會。最后，許多CISO不得不在有限的預算和勉強合格的網絡人員的情況下運作。也許他們也對在這種情況下能夠達到的安全水平期望較低。

　　隨著經濟衰退給安全預算帶來的更大壓力，CISO們又該如何優化資源，并有效的管理網絡安全風險?

　　CISO們必須根據他們的行業和規模制定審慎的風險管理策略，以便能夠更好地優化資源。一個好的風險管理策略將設計出一個漏洞框架，識別出要保護的數字資產和數據。一個好的風險評估也可以快速的識別并確定出網絡漏洞的優先級，以便可以立即部署解決方案，保護關鍵資產免受惡意網絡的攻擊，同時立即提高整體運營網絡的安全。這包括使用新的安全工具(加密、威脅情報和檢測、防火墻等)和政策來保護和備份企業系統，例如：財務系統、電子郵件交換服務器、人力資源和采購系統等。

　　在漏洞框架中有一些措施的成本并不高。這些措施包括了要求員工使用強密碼，并要求進行多重身份的驗證。通過設置防火墻，CISO可以制定計劃來分割其最敏感的數據。加密軟件也在考慮的范圍內。云計算和混合云的使用支持動態策略的實現、更快的加密、降低成本，并為訪問控制提供了更多的透明度(減少來自內部的威脅)。一個好的云提供商可以以合理的成本提供其中的一些安全控制。云本身并沒有風險，但CISO和公司需要認識到，他們必須徹底評估提供商的政策和能力，以保護其重要數據。

　　如果CISO正在負責保護沒有深度IT和網絡安全團隊的中小型企業，并且對云成本和管理持謹慎態度，他們也可以考慮外部管理的安全服務。

　　在員工流動率高的情況下，企業如何更好地保護敏感信息?

　　這就是零信任策略的本質所在。零信任是一組不斷發展的網絡安全范式的術語，這些范例將防御從靜態的、基于網絡的邊界轉移到了關注用戶、資產和資源。企業需要了解與網絡、設備和人員相關的所有信息。

　　其中身份訪問管理(IAM)是非常重要的。IAM是用于控制誰可以訪問系統內資源的一組技術和策略的標簽。CISO必須確定并知道誰可以訪問哪些數據以及為什么可以訪問。如果員工離職，他們需要立即撤銷特權，并確保沒有從企業中刪除任何敏感內容。市場上的供應商也提供了許多很好的IAM工具。

　　當然，員工流動也涉及到了道德和信任因素。員工內部威脅很難發現和管理。其中一些可以在雇傭合同中提前解決，只要員工了解所涉及的法律參數，他們就不太可能泄露敏感數據。

　　我們看到了CISO的倦怠和對個人責任擔憂的加劇

　　是的，CISO的職責太多，預算太少，員工太少，無法運營和幫助減輕日益增長的網絡威脅，這是導致倦怠的直接原因。現在，個人責任因素也增加了風險，例如針對Solar’sWind首席信息安全官的集體訴訟，以及針對優步CISO隱瞞勒索軟件付款的訴訟。在一個已經缺乏必要網絡安全領導者和技術人員的行業里，CISO不僅需要獲得工具，還需要獲得必要的保護，以使他們能夠在自己的角色中脫穎而出。否則，倦怠和責任問題將使更多的公司面臨更大的風險。

　　這些挑戰是如何影響CISO的整體工作效率的，又可以采取什么措施來應對這些挑戰?

　　盡管入侵的頻率、復雜性、致命性和責任變得越來越大，但行業管理層在提高網絡安全方面幾乎毫無準備，且行動遲緩。根據Gartner的一項新的調查顯示，88%的董事會將網絡安全視為商業風險，而不是技術風險，而且只有12%的董事會設有專門的董事會級網絡安全委員會。

　　“是時候讓IT部門以外的高管承擔起保護企業安全的責任了，”風險與安全研究主管PaulProctor說。“2021年各地涌入的勒索軟件和供應鏈攻擊，其中許多針對的是關鍵操作和任務環境，是時候應該敲響警鐘了，安全應該是一個業務問題，而不僅僅是IT要解決的另一個問題。”

　　CISO不僅需要在高管層中占有一席之地，還需要擁有類似于其他高管的保險保障，以限制他們的個人責任。因為沒有完美的網絡安全解決方案。在我們岌岌可危的數字環境中，任何公司或個人都可能發生違規行為。讓CISO一個人去做，既不公平，也不合理。類似的，網絡安全也不應再被視為是企業的成本項目。它已經成為了一個ROI，可以確保運營的連續性并保護聲譽。對公司和CISO的薪酬和所需職責組合的投資都需要成為未來的優先事項。

　　由于供應鏈風險仍然是一個反復出現的優先事項，CISO如何更好地管理其網絡安全戰略的這一方面，特別是在預算有限的情況下?

　　確保供應鏈不被破壞，包括設計、制造、生產、分銷、安裝、運營和維護要素，對所有公司來說都是一項挑戰。網絡攻擊者總是會尋找最薄弱的切入點，降低第三方的風險對網絡安全來說是至關重要的。供應鏈網絡攻擊可能來自于敵對國家、間諜運營商、罪犯或是黑客活動者。

　　CISO需要了解供應鏈中所有供應商的可見性，以及既定的政策和監控。NIST是美國商務部的一個非監管機構，它為供應鏈安全提出了一個建議框架，為政府和行業提供了健全的指導方針。

　　NIST的建議如下：

　　•識別、建立和評估網絡供應鏈風險管理流程，并獲得利益相關者的同意

　　•確定供應商和第三方供應商合作伙伴，確定其優先級并對其進行評估

　　•與供應商和第三方合作伙伴簽訂合同，以實現企業的供應鏈風險管理目標

　　•使用審計、測試結果和其他形式的評估，定期評估供應商和第三方合作伙伴

　　•完成相應的測試，以確保供應商和第三方供應商能夠響應并從服務中斷中恢復

　　其他緩解工作則可以通過獲取監測、警報和分析供應鏈活動的新技術來完成。AI和ML工具可以幫助實現可見性和預測分析，速記和水印技術則可以實現對產品和軟件的跟蹤。