目前，安全領(lǐng)導(dǎo)者正在積極推進(jìn)2022年的整體戰(zhàn)略，列出支持企業(yè)彈性的優(yōu)先事項(xiàng)列表。CSO進(jìn)行的《年度安全優(yōu)先級研究報(bào)告》指出，受訪CISO們表示他們計(jì)劃在未來幾個(gè)月內(nèi)采取一些舉措，不過他們既不專注于強(qiáng)化任何單一工具，也不依賴任何一種方法。

相反地，他們的優(yōu)先級反映了安全職能的演變。如今，安全職能必須是相互依賴的政策、程序和技術(shù)能力的集合，這些政策、程序和技術(shù)能力共同應(yīng)對CISO自身企業(yè)面臨的特定風(fēng)險(xiǎn)和威脅。

此外，他們還表示，鑒于企業(yè)IT和業(yè)務(wù)環(huán)境的近期變化、不斷演變的威脅格局以及新出現(xiàn)的安全風(fēng)險(xiǎn)，他們的優(yōu)先事項(xiàng)切實(shí)地反映了安全需求。

簡而言之，首席信息安全官表示，他們2022年的首要任務(wù)是跟上發(fā)展步伐并努力做得更好。

威脅場景變化影響優(yōu)先事項(xiàng)

2022年，還有更多企業(yè)要上云。IT正在將應(yīng)用程序與數(shù)據(jù)層分離。CIO正在轉(zhuǎn)向更具組合性的架構(gòu)。而且，他們正在加速自己的數(shù)字計(jì)劃。

另外一個(gè)現(xiàn)實(shí)是，我們已經(jīng)進(jìn)行了長達(dá)兩年的居家辦公模式，如何管理這種不安全的遠(yuǎn)程設(shè)備也將繼續(xù)考驗(yàn)著安全領(lǐng)導(dǎo)者。

與此同時(shí)，安全行業(yè)還將迎來真正的“離職潮”，原因是長期以來的超負(fù)荷工作已經(jīng)讓他們疲累不堪。到2022年，一切將更難管理。

現(xiàn)在CISO的問題是：我們?nèi)绾喂芾硭羞@些?我們?nèi)绾沃悄艿剡\(yùn)行，才能實(shí)現(xiàn)安全和快速的目的?

Parkview Health信息安全副總裁兼HIPAA安全官Darrell Keeling有一些自己的想法。

與其他安全主管一樣，Keeling在任職期間見證了威脅形勢的演變。例如，他看到黑客越來越多地以勒索軟件攻擊醫(yī)療機(jī)構(gòu)。與此同時(shí)，隨著云環(huán)境不斷發(fā)展，包括他自己在內(nèi)的企業(yè)都已變得更加數(shù)字化——這些舉措極大地?cái)U(kuò)大了攻擊面，實(shí)際上也消除了邊界的概念。

Keeling表示，他的首要任務(wù)是實(shí)現(xiàn)成熟的安全性，以匹配不斷發(fā)展的技術(shù)堆棧和隨之而來的安全威脅。這涉及簡化自己的安全堆棧，從來自多個(gè)供應(yīng)商的大量同類最佳解決方案轉(zhuǎn)變?yōu)閲?yán)重依賴Microsoft安全解決方案的方法。(Parkview Health IT主要是一家使用Azure云的Microsoft商店。)他認(rèn)為，簡化安全堆棧將創(chuàng)建更有效的安全操作，以及更少的附加成本。

作為該舉措的一部分，Keeling計(jì)劃專注于員工培訓(xùn)，以使其團(tuán)隊(duì)中更多人獲得Microsoft認(rèn)證。

Keeling 2022年的其他優(yōu)先事項(xiàng)還包括實(shí)施更多智能、行為分析軟件和云安全技術(shù);培養(yǎng)威脅追蹤能力;并鞏固他的第三方風(fēng)險(xiǎn)管理計(jì)劃。

CISO優(yōu)先事項(xiàng)更加關(guān)注工具和技術(shù)

安全優(yōu)先級研究證實(shí)，CISO正在繼續(xù)投資于技術(shù)，90%的人表示他們的企業(yè)在過去12個(gè)月中至少添加了一種安全工具。

CISO優(yōu)先事項(xiàng)的技術(shù)列表也反映了他們?nèi)找婕傻陌踩椒āＥe個(gè)例子：云數(shù)據(jù)保護(hù)技術(shù)是首要任務(wù)，87%的CISO正在研究、試點(diǎn)、使用或升級對它們的使用。

在一項(xiàng)相關(guān)研究中發(fā)現(xiàn)，88%的CISO優(yōu)先考慮基于云的網(wǎng)絡(luò)安全服務(wù);此外，數(shù)據(jù)訪問治理技術(shù)也在CISO優(yōu)先事項(xiàng)列表中名列前茅，零信任也是如此，84%的人表示零信任是他們的優(yōu)先事項(xiàng);行為監(jiān)控和分析則是另一個(gè)重要的優(yōu)先事項(xiàng)，82%的人表示他們正在學(xué)習(xí)、試用、使用或升級對它們的使用。

CISO還對安全編排、自動化和響應(yīng)(SOAR)技術(shù)表現(xiàn)出很高的興趣或使用率，77%的CISO正在研究、試點(diǎn)、使用或升級對它們的使用。

對安全分析師和研究人員而言，這樣的數(shù)字并不足為奇。他們表示，隨著企業(yè)在云計(jì)算上投入更多資金，以實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型和從任何地方訪問，他們必須采取這些技術(shù)來保護(hù)過去幾年迅速變化的環(huán)境。

The Analyst Syndicate網(wǎng)絡(luò)安全分析師Andrew Plato表示，云確實(shí)是安全的核心。他發(fā)現(xiàn)，CISO對云安全態(tài)勢管理平臺特別感興趣，這些平臺為他們提供了一個(gè)整體視圖，并在他們的多個(gè)云部署中實(shí)現(xiàn)了安全性。

Kevin F. Brown 2022年的優(yōu)先事項(xiàng)同樣反應(yīng)了這種趨勢?？茖W(xué)應(yīng)用國際公司(SAIC)高級副總裁兼首席信息安全官Brown表示，他的首要任務(wù)是招聘和留住人才;業(yè)務(wù)連續(xù)性和彈性;對網(wǎng)絡(luò)、云和數(shù)據(jù)的零信任;以及業(yè)務(wù)支持。

他解釋稱，“網(wǎng)絡(luò)安全人才仍處于供不應(yīng)求的狀態(tài)，尤其是在建立多元化和包容性團(tuán)隊(duì)方面，這是必不可少的。勒索軟件仍然是整個(gè)行業(yè)的最大威脅，這既是由于業(yè)務(wù)中斷的影響愈發(fā)嚴(yán)重迫使受害企業(yè)支付贖金，讓勒索組織嘗到更多甜頭;也是因?yàn)樵絹碓蕉嗟臄?shù)據(jù)泄露，使得勒索行為變得更加容易。除了保護(hù)能力外，還需要制定彈性和恢復(fù)計(jì)劃。此外，零信任原則不僅需要針對傳統(tǒng)的網(wǎng)絡(luò)安全，還需要作為不斷擴(kuò)展的用戶和云邊界，以及關(guān)鍵數(shù)據(jù)的保護(hù)和完整性策略。總而言之，無論是通過提供安全的業(yè)務(wù)解決方案、降低風(fēng)險(xiǎn)、推廣安全設(shè)計(jì)理念等，實(shí)現(xiàn)業(yè)務(wù)安全運(yùn)行都是重中之重。”

優(yōu)先事項(xiàng)支持持續(xù)的安全計(jì)劃改進(jìn)

盡管2022年的每個(gè)優(yōu)先事項(xiàng)都很重要，但Brown表示，它們都不是新的優(yōu)先事項(xiàng)，都只是他一直在做的事情的延續(xù)。

這也反映了CISO網(wǎng)絡(luò)安全計(jì)劃的整體狀況，并說明2022年安全優(yōu)先事項(xiàng)將是進(jìn)步，而非革命。

那么，會不會有一些很“酷”的技術(shù)來改革這一切?答案可能是否定的。

大約67%的受訪者表示，他們的企業(yè)正在更加關(guān)注提高安全服務(wù)的利用率和/或資源配置;62%的受訪者表示，他們有一個(gè)流程來持續(xù)評估其擁有或(通過供應(yīng)商合同)訪問的安全解決方案和服務(wù)的有效性。

World Fuel Services信息安全副總裁Shawn M. Bowen表示，他的首要目標(biāo)是持續(xù)改進(jìn)安全功能——這一目標(biāo)將推動他來年的工作。例如，他正在努力提高自己設(shè)計(jì)安全策略、程序和控制的能力，以適應(yīng)公司自身已識別的風(fēng)險(xiǎn)和威脅。

他表示，“我希望超越框架成熟度模型，成為基于風(fēng)險(xiǎn)的安全運(yùn)營。因此，我們的目標(biāo)不是基于框架構(gòu)建安全性并提供標(biāo)準(zhǔn)服務(wù)，而是專注于我們的企業(yè)風(fēng)險(xiǎn)管理計(jì)劃。”

為此，他正與其業(yè)務(wù)同事合作，了解、闡明和優(yōu)先考慮其特定職能領(lǐng)域內(nèi)的風(fēng)險(xiǎn)和威脅，以便安全部門能夠真正調(diào)整其資源以防御它們。

此外，Bowen希望讓業(yè)務(wù)部門更多地參與安全部門的企業(yè)風(fēng)險(xiǎn)管理方法。他計(jì)劃利用這種參與為他們的每個(gè)產(chǎn)品和服務(wù)開發(fā)適當(dāng)?shù)耐{模型，以便他可以針對這些特定威脅定制安全產(chǎn)品。

2022年的挑戰(zhàn)

CISO表示，他們在實(shí)現(xiàn)來年的目標(biāo)方面將面臨諸多挑戰(zhàn)。

《安全優(yōu)先級研究》報(bào)告，CISO表示其企業(yè)未能解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要原因，是難以說服企業(yè)的全部或部分成員了解他們所面臨的風(fēng)險(xiǎn)嚴(yán)重性。大約30%的人表示這確實(shí)是一個(gè)棘手的問題。

幾乎同樣多的人(29%)表示資源不足，而27%的人表示無法在其安全策略中采取足夠的主動性。

未能解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的其他主要原因還包括招聘和保留專業(yè)人員方面的困難;在應(yīng)用程序開發(fā)周期中未能始終滿足安全要求;以及對用戶的安全培訓(xùn)不足。

雖然承認(rèn)這些問題的確是重大挑戰(zhàn)，但分析人士指出，CISO的許多優(yōu)先事項(xiàng)將幫助他們解決這些問題。例如，他們指出，專注于事件響應(yīng)，尤其是在針對業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行定制并與業(yè)務(wù)支持和彈性相結(jié)合時(shí)，可為安全計(jì)劃提供更多業(yè)務(wù)支持。

同時(shí)，添加更多數(shù)據(jù)保護(hù)技術(shù)、云安全工具以及支持零信任和SOAR解決方案有助于將安全性嵌入更多核心技術(shù)堆棧，而不是使其成為附加服務(wù)。

此外，CISO也可以通過在這些技術(shù)部署中添加自動化功能，來緩解因安全人員短缺和偶發(fā)性用戶端安全失誤而帶來的挑戰(zhàn)。

Symbridge Holdings LLC公司CISO Michael Ibarra列出的2022年優(yōu)先事項(xiàng)與其他安全領(lǐng)導(dǎo)者的大致相同。Ibarra認(rèn)為，2022年的優(yōu)先事項(xiàng)將是企業(yè)整體安全戰(zhàn)略的關(guān)鍵所在。

他正在努力加強(qiáng)公司的數(shù)據(jù)隱私保護(hù)以及供應(yīng)商風(fēng)險(xiǎn)管理實(shí)踐。此外，他還正專注于API安全性和數(shù)字身份驗(yàn)證，這兩者對于保護(hù)不斷增長的云環(huán)境都是必不可少的。

他還在加強(qiáng)對漏洞的防御，特別是研究如何最好地減輕和防止國家支持的網(wǎng)絡(luò)攻擊行為。他正在努力將安全計(jì)劃與公司的技術(shù)變更控制流程聯(lián)系起來，以便安全發(fā)展與IT一樣快，并研究可以提供價(jià)值的前沿技術(shù)。

他還將繼續(xù)努力招募和留住人才，部分舉措是確?？梢詾槠涮峁┱_的培訓(xùn)和技能提升路徑。

Ibarra表示他們正共同努力創(chuàng)造網(wǎng)絡(luò)彈性。他說，“我們始終專注于提供安全可靠的平臺，首要任務(wù)之一始終是將風(fēng)險(xiǎn)降至最低。但優(yōu)先考慮彈性使我們能夠?yàn)槲粗挛镒龊脺?zhǔn)備。”