許多首席信息安全官通過美國國家標準技術(shù)研究院(NIST)的識別、保護、檢測、響應(yīng)和恢復(fù)模型來查看其職責。在過去的幾年中，重點一直放在檢測和響應(yīng)端點威脅上，但是出現(xiàn)了新的優(yōu)先事項：遷移到云平臺，新的異構(gòu)設(shè)備和自定義應(yīng)用程序，所有這些都大大擴展了攻擊面。

[[347269]]

首席信息安全官對他們比較關(guān)注的五個方面和兩年支出優(yōu)先事項的概述：

1.多云世界中的身份管理

由于云計算技術(shù)的發(fā)展，過去那些突破網(wǎng)絡(luò)外圍技術(shù)、緩慢地在系統(tǒng)間橫向入侵的日子不再那么重要。如果憑證被盜，設(shè)備通常就可以訪問云中最珍貴的特權(quán)數(shù)據(jù)。微軟公司首席信息安全官Bret Arsenault成為事件的核心。他說，“如今，黑客不會入侵，他們只會登錄。”根據(jù)這種想法，微軟的安全組織認為“身份是我們的新防線。”

使身份管理變得復(fù)雜的原因在于它跨越許多角色。正如瞻博網(wǎng)絡(luò)首席信息安全官SherryRyan解釋的那樣：“安全團隊必須知道誰在訪問其網(wǎng)絡(luò)，無論是訪問門戶的客戶、合作伙伴、供應(yīng)商還是企業(yè)自己的員工。”

云計算應(yīng)用程序通常需要通過單點登錄和Microsoft Active Directory進行身份驗證。然而，在其討論中，大多數(shù)首席信息安全官表示，他們還試圖通過附加身份和授權(quán)孤島來減小“爆炸半徑”。他們?nèi)栽谥贫軜?gòu)最佳實踐，但正在投資于無密碼，生物特征識別和基于行為的身份驗證。

為此，身份和訪問管理(IAM)是首席信息安全官仍在購買的產(chǎn)品類別，盡管涉及涉及覆蓋員工，供應(yīng)鏈和客戶身份的多個供應(yīng)商所面臨的挑戰(zhàn)?，F(xiàn)在，采用零散的身份和訪問管理(IAM)變得更容易，但一些首席信息安全官認為尚無萬能的解決方案。

2.通過加密和零信任保護資產(chǎn)

云計算轉(zhuǎn)換使首席信息安全官可以放棄本地遺留系統(tǒng)。許多人從一開始就熱衷于構(gòu)建云計算安全性，而零信任是其中的重要組成部分。零信任默認情況下會限制基于角色的訪問。它可以確保用戶與他們說的一樣真實，并確保設(shè)備在連接之前符合合理的安全標準。

除了鎖定配置之外，首席信息安全官還使用多種技術(shù)建立零信任。他們提到利用諸如多因素身份驗證(MFA)，移動設(shè)備管理(MDM)和漏洞管理之類的東西。但是，確保數(shù)據(jù)僅由受信任的用戶看到是一個持續(xù)的問題。

同時，隨著行業(yè)最終面對數(shù)據(jù)的動態(tài)性質(zhì)，許多這些首席信息安全官正在部署加密：“要確定要識別每一個試圖訪問某段通信的每條通信，這確實是一個難題。數(shù)據(jù)”觀察到F5 Networks首席信息安全官Mary Gardner，并指出了眾多應(yīng)用程序和人員如何復(fù)制，移動和訪問有價值的信息。她說，粒度控制和加密必須在整個生命周期內(nèi)保護數(shù)據(jù)。

Markel Corporation的首席信息安全官Patti Titus解釋了這種情況下的復(fù)雜性：“作為一個組織，我們必須確定何時加密，混淆數(shù)據(jù)”，并確保在傳輸和靜止狀態(tài)下進行加密。然后是必須對數(shù)據(jù)科學(xué)家有用的加密數(shù)據(jù)的挑戰(zhàn)。”

3.DevSecOps的興起

即使是最具模擬能力的公司也在開發(fā)軟件來經(jīng)營自己的業(yè)務(wù)。這包括面向客戶、合作伙伴和黑客的客戶門戶網(wǎng)站、移動應(yīng)用程序和API。組織越來越自動化手工活動，并依賴分析和人工智能。教育軟件開發(fā)人員獲得更好的實踐是關(guān)鍵，一項戰(zhàn)略舉措是使用DevSecOps保護應(yīng)用程序。

許多首席信息安全官也在“向左移動”并購買靜態(tài)分析工具，這些工具可對代碼進行操作并在運行時標記問題。為了與一個通用主題保持一致，首席信息安全官傾向于使用對人類來說容易的無縫方法。這意味著將DevSec Ops技術(shù)集成到開發(fā)人員的日常工作中。Fannie Mae公司首席信息技術(shù)官Chris Porter說，“持續(xù)集成是我們花費了大量時間和精力的地方，以便開發(fā)人員保護自己的代碼，他們正在測試自己的代碼。”

除了使用靜態(tài)分析工具之外，討論中的許多首席信息安全官還表明了對動態(tài)分析的渴望。動態(tài)工具在運行時運行，監(jiān)視應(yīng)用程序，并記錄事件響應(yīng)信息。

對于網(wǎng)絡(luò)犯罪分子而言，攻擊面看上去從未如此出色。外圍保護首先要了解5種最常見的暴露情況，并使其免受網(wǎng)絡(luò)犯罪分子的攻擊。

4.應(yīng)對“警惕疲勞”

首席信息安全官的操作涉及通過誤報和低優(yōu)先級警報的噪聲發(fā)現(xiàn)安全漏洞。這是一個無盡的挑戰(zhàn)。防病毒、防火墻和其他安全技術(shù)通常會產(chǎn)生數(shù)百萬個日常事件。

為了超越人工流程，幾乎每個首席信息安全官都購買了安全協(xié)調(diào)自動化和響應(yīng)(SOAR)產(chǎn)品。他們通常感到滿意。有些人希望獲得更多幫助以開始使用。許多人認為安全協(xié)調(diào)自動化和響應(yīng)(SOAR)的性能和送入其中的警報的數(shù)量和質(zhì)量都一樣。

首席信息安全官也在尋找警報疲勞的新方法，但發(fā)現(xiàn)每年涌現(xiàn)的技術(shù)數(shù)量“不堪重負”。這些安全領(lǐng)導(dǎo)者希望他們部署的新技術(shù)能夠擴大覆蓋范圍，但對更多警報的有效性表示懷疑。

Blue Cross Blue Shield公司首席信息安全官Yaron Levi解釋說，“我們實際上是從威脅建模和風險管理的角度看待警報疲勞。我們?yōu)闈撛诘挠泻艚Ｊ噶?，然后開發(fā)防御措施。”

Levi將攻擊仿真作為一種警報疲勞的新方法。起點是在Blue Cross Blue Shield的網(wǎng)絡(luò)中安全地模擬來自最近行業(yè)違規(guī)的攻擊。這可以驗證是否可以看到常見的現(xiàn)實世界攻擊，然后再將這些警報作為構(gòu)建響應(yīng)計劃和自動化的首要任務(wù)。

5.教育員工像首席信息安全官思考

Log MeIn公司首席信息安全官Gerald Beuchelt注意到安全性集中在人員、流程和技術(shù)上，堅信安全確實必須按此順序進行。他說，“我們必須讓人們了解安全需要做什么。沒有安全團隊能夠成長到足以保護如此復(fù)雜而又龐大的組織本身的能力。”

有些首席信息安全官認為，重要的是利用游戲、幽默和較短的培訓(xùn)課程等教育工具來利用網(wǎng)絡(luò)意識月，以激發(fā)用戶群。