[[420639]]

網(wǎng)絡安全作為媒體關注的話題頻繁出現(xiàn)，這讓首席信息安全官面臨更大的壓力，因為他們?yōu)槠髽I(yè)管理者提供的信息可能并不那么令人放心。

根據(jù)安全軟件提供商Proofpoint公司發(fā)布的一份名為《2021年CISO報告之聲》的調(diào)查報告，大約64%的首席信息安全官擔心他們的公司在未來一年中面臨網(wǎng)絡攻擊的重大風險，66%的首席信息安全官認為他們所在的公司沒有做好應對的準備。

作為回應，一些首席信息安全官正在調(diào)整策略以加強他們的安全態(tài)勢。他們似乎相信自己走在正確的軌道上。Proofpoint公司在報告中指出，65%的首席信息安全官認為，到2023年，他們將能夠更好地抵御網(wǎng)絡攻擊并從中恢復。

當然，每個首席信息安全官都有自己的安全路線圖，但已經(jīng)出現(xiàn)了一些共同元素。根據(jù)首席信息安全官、分析師和安全領導者的說法，當今的首席信息安全官優(yōu)先級列表包含以下15個戰(zhàn)略重點：

1.關注安全基礎

安全基礎仍然是重中之重。數(shù)字咨詢機構Mobiquity公司的工程副總裁兼信息安全官Tyrone Jeffrees說：“這并不是一個有趣的網(wǎng)絡安全話題，但重要的是我們確保正確處理攔截和處理。”

Jeffress為此表示，首席信息安全官需要專注于完美地執(zhí)行資產(chǎn)管理、修補、漏洞管理和配置，以及提供安全意識教育和培訓。

Proofpoint公司調(diào)查的數(shù)據(jù)證實了這一觀點，并指出加強核心安全控制是首席信息安全官最常提及的優(yōu)先事項之一。

2.識別和降低第三方風險

資深網(wǎng)絡安全領導者、《重大漏洞：共享的網(wǎng)絡安全課程》一書的合著者Neil Daswani表示，SolarWinds公司的數(shù)據(jù)泄露事件將第三方風險提升到首席信息安全官優(yōu)先級列表的前列。

Daswani表示，這起重大網(wǎng)絡攻擊事件在2020年底首次被發(fā)現(xiàn)，首席信息安全官需要了解其所在公司使用的所有安全技術，以便他們能夠創(chuàng)建適當?shù)牧鞒虂韺彶楣蹋⒅贫ㄓ嘘P如何更好地降低風險的策略。

3.確保企業(yè)代碼內(nèi)的安全性

信息安全服務商Crucyble公司的共同創(chuàng)始人Brian Johnson表示，首席信息安全官越來越專注于發(fā)現(xiàn)企業(yè)使用的代碼中的漏洞。

他說，“我們?nèi)缃窨吹搅撕芏啻a問題，我們使用的第三方代碼有可能是惡意的開源代碼。”他指出，他和其他首席信息安全官正在投入資源來檢查正在部署的新代碼，并重新訪問已經(jīng)部署的代碼，以根除任何漏洞或錯誤。

4.防御勒索軟件攻擊

勒索軟件攻擊在2021年達到新水平，對Colonial輸油管道和跨國肉類包裝商JBS公司的網(wǎng)絡攻擊關閉了關鍵基礎設施，影響了美國部分地區(qū)民眾的日常生活。很多首席信息安全官安全負責人表示，此類消息使他們處于高度戒備狀態(tài)。

Vonage公司首席信息兼首席信息安全官Sanjay Macwan說，“這意味著通過聘請第三方安全和合規(guī)性評估人員以及行業(yè)領先的安全研究人員/測試人員采用內(nèi)部測試和外部測試方法不斷測試安全態(tài)勢。另一個關鍵方面是豐富的數(shù)據(jù)驅(qū)動和現(xiàn)代安全監(jiān)控，以識別和系統(tǒng)地應對威脅。通過正在進行的桌面演習測試各種威脅場景，測試企業(yè)的安全準備情況也是至關重要的。”

5.獲得企業(yè)董事會的支持

斯坦福大學高級安全研究中心聯(lián)合主任Daswani說，“首席信息安全官的另一個優(yōu)先事項是確保企業(yè)高管了解威脅形勢中正在發(fā)生的事情，以及需要什么樣的額外投資來應對這些威脅。”

他表示，這讓更多的首席信息安全官直接向企業(yè)董事會陳述或報告。科技研究和咨詢機構Gartner公司估計，到2025年，40%的企業(yè)將成立專門的網(wǎng)絡安全委員會，而目前只有10%。該公司的調(diào)查還表明，企業(yè)董事會現(xiàn)在將網(wǎng)絡安全相關風險視為企業(yè)的第二大風險，僅次于監(jiān)管合規(guī)風險。

6.支持數(shù)字化轉型和戰(zhàn)略目標

隨著企業(yè)繼續(xù)加速數(shù)字化轉型，首席信息安全官有望跟上其發(fā)展步伐。因此，首席信息安全官將安全視為一種業(yè)務推動因素。

數(shù)字服務和信息管理提供商Ricoh公司企業(yè)和信息安全副總裁兼首席安全官David Levine說，“從企業(yè)董事會的角度來看，優(yōu)先事項是支持業(yè)務和業(yè)務目標，并且這樣做使我們能夠安全地開展業(yè)務，以保護我們和客戶的業(yè)務安全，同時可以提供良好的客戶體驗。這是總體準則。”

專家表示，首席信息安全官支持該任務的方式根據(jù)企業(yè)的情況而有所不同，它正成為安全團隊更普遍的優(yōu)先事項。

7.提高靈活性

Kriss Warner是Info-Tech研究集團網(wǎng)絡安全咨詢的全球?qū)嵺`負責人，也是ISACA認證的首席信息安全官，他認為大多數(shù)首席信息安全官的相關優(yōu)先事項是快速適應，同時保持彈性。

Warner說，首席信息安全官需要帶領團隊以更敏捷的模式工作，以跟上業(yè)務發(fā)展的步伐。他補充說，“自然災害、網(wǎng)絡攻擊以及企業(yè)董事會的要求促使首席信息安全官更加靈活。”

8.提升團隊技能

美國瑪麗維爾大學網(wǎng)絡安全助理教授BrianM.Gant指出，如今對安全人才的競爭非常激烈，冠狀病毒疫情加劇了市場競爭。根據(jù)Gartner公司的調(diào)查，對信息安全職位的需求激增，美國市場增長了65%。因此，首席信息安全官應該優(yōu)先考慮保留現(xiàn)有員工，并培訓他們掌握保護運營環(huán)境所需的特定技能。他特別強調(diào)員工提高云安全和威脅情報以及訪問和身份管理方面的技能。

9.解決物聯(lián)網(wǎng)安全問題

市場研究機構IoT Analytics公司在其發(fā)布的2020年物聯(lián)網(wǎng)狀況報告中估計，2020年有120億臺設備連接物聯(lián)網(wǎng)。該公司預測，到2025年，全球物聯(lián)網(wǎng)連接數(shù)量將超過300億臺。

Gant說，“一切都在互聯(lián)，這是首席信息安全官必須從戰(zhàn)略上考慮的事情。”

他表示，首席信息安全官更加關注物聯(lián)網(wǎng)設備及其產(chǎn)生的數(shù)據(jù)的安全性。他們需要制定策略以準確了解連接到網(wǎng)絡的內(nèi)容和設備數(shù)量，還需要重新審視他們在物聯(lián)網(wǎng)中采用的身份和訪問管理計劃。

10.設計上的安全

Vonage公司首席信息官兼首席信息安全官Macwan表示，安全性是首席信息安全官的優(yōu)先事項。

他說，“簡而言之，我們所做的一切就是為客戶提供的產(chǎn)品和服務，或者為我們的員工提供體驗的工具和技術，這些都必須從一開始就嵌入適當?shù)陌踩㈦[私、信任和合規(guī)性。”

很多首席信息安全官也表示將設計上的安全列為優(yōu)先事項。技術提供商Copado公司的安全和IT負責人Kyle Tobener指出，將應用程序部署到生產(chǎn)環(huán)境之前，在開發(fā)過程中發(fā)現(xiàn)安全問題時，修復這些問題的成本會呈指數(shù)級下降，因此，安全反饋可以使開發(fā)人員能夠盡早、安全地做出與安全相關的決策，這是首席信息安全官路線圖的關鍵部分。”

11.提高安全自動化

為了幫助安全團隊更好地應對更廣泛的IT環(huán)境和不斷增加的網(wǎng)絡攻擊活動，許多首席信息安全官加快了自動化技術的部署。

事實上，Proofpoint公司調(diào)查將“提高安全自動化”列為其響應首席信息安全官確定的優(yōu)先事項列表中的第4位。

Jeffress表示，首席信息安全官正在使用自動化來更好地識別威脅和加快響應速度，并在新代碼的開發(fā)和部署到環(huán)境中的整個過程中執(zhí)行安全標準。他指出，自動化是創(chuàng)建安全代碼、通過設計實現(xiàn)安全性以及轉向日益流行的零信任安全模型的關鍵部分。

12.加強遠程工作安全

Proofpoint公司的調(diào)查表明，將近三分之二的首席信息安全官認為遠程工作使他們的公司更容易受到網(wǎng)絡攻擊，其中58%的受訪者指出，自從實現(xiàn)了廣泛的遠程工作以來，網(wǎng)絡攻擊的針對性更強。

Levine說，“人們可能并不是故意將自己和企業(yè)置于危險之中，而是因為工作環(huán)境不同。”

他表示，這將促使首席信息安全官制定零信任和身份優(yōu)先的安全策略，以創(chuàng)建安全的隨時隨地工作的商業(yè)模式。

13.保護云安全

將近40%的企業(yè)在451Research公司開展的調(diào)查中表示在疫情持續(xù)蔓延期間增加了公有云的使用，其中絕大多數(shù)企業(yè)認為，向公有云的遷移將是永久性的。

Levine所在的公司也順應這一趨勢，這讓他重新思考安全戰(zhàn)略。Levine正在部署新的工具、流程和治理模型來支持基礎設施，并實施一項全面的云安全治理計劃，以使其帶領的團隊了解企業(yè)采用的云計算環(huán)境，并強制遵守安全法規(guī)和標準。

14.跟上隱私法規(guī)不斷發(fā)展的步伐

美國弗吉尼亞州于2021年初通過了《消費者數(shù)據(jù)保護法》(CDPA)，并頒布了類似于《加利福尼亞消費者隱私法》的法規(guī)?？屏_拉多州也在今年7月頒布了科羅拉多州隱私法(CPA)。

此類行為造成了企業(yè)必須跟蹤和遵循越來越多的隱私法規(guī)。

Warner指出，這讓首席信息安全官與企業(yè)其他高管合作部署技術和流程，以有效和高效地應對當前的隱私和安全法規(guī)。

他說，“首席信息安全官需要將嚴格的隱私和安全法整合到他們的業(yè)務計劃中來做到這一點。”

15.制定連續(xù)性計劃以應對全球性事件

Levine正在解決疫情所揭示的另一個安全問題：業(yè)務連續(xù)性計劃中的缺陷。他表示，首席信息安全官正在重新審視他們的連續(xù)性和彈性戰(zhàn)略，這些戰(zhàn)略在很大程度上沒有考慮到全球性影響事件。

他說，“我們制定了計劃，但并沒有考慮到由于發(fā)生疫情而導致大部分員工在一夜之間轉向遠程工作。”他補充說，原有計劃假設員工在一個受影響地區(qū)轉移到未受影響的另一個地區(qū)工作，而現(xiàn)在必須重新思考業(yè)務連續(xù)性。