安全主管紛紛表示，由于近期公司IT環(huán)境和業(yè)務(wù)環(huán)境的轉(zhuǎn)變、威脅形勢的發(fā)展變化和新興風(fēng)險的涌現(xiàn)，自身工作重點也隨之做出調(diào)整，反映出相應(yīng)的安全需求。

安全主管正在推進(jìn)面向2022年的整體策略，列出支持企業(yè)彈性的各項重點工作。

為編撰年度《安全重點研究》，網(wǎng)絡(luò)安全媒體CSO對多位首席信息安全官(CISO)進(jìn)行了問卷調(diào)查。調(diào)查結(jié)果表明，CISO計劃在未來幾個月采取一些舉措，但不會專注于加強(qiáng)任何單個工具，也不會依賴任何單一方法。

[[442249]]

相反，他們的工作重點反映出安全職能的演變，如今的安全職能必須是相互依賴的策略、流程和技術(shù)能力的集合，這些策略、程序和技術(shù)能力共同應(yīng)對CISO所在企業(yè)面臨的特定風(fēng)險和威脅。

此外，受訪CISO表示，由于近期公司IT環(huán)境和業(yè)務(wù)環(huán)境的轉(zhuǎn)變、威脅形勢的發(fā)展變化和新興風(fēng)險的涌現(xiàn)，自身工作重點也隨之做出調(diào)整，反映出相應(yīng)的安全需求。

簡而言之，CISO認(rèn)為自己2022年的首要任務(wù)是跟上步伐，變得更好。

威脅形勢的變化推動工作重點轉(zhuǎn)變

上云要求凸顯。IT正將應(yīng)用與數(shù)據(jù)層解耦。首席信息官(CIO)正轉(zhuǎn)向更具組合性的架構(gòu)，并在推動自身數(shù)字化進(jìn)程。

Constellation Research副總裁兼首席分析師Liz Miller表示：“另一方面是，我們已經(jīng)居家辦公兩年了，所以網(wǎng)絡(luò)邊界現(xiàn)在處于員工工作的最遠(yuǎn)端，而過去兩年來我們一直在管理的這種不安全狀態(tài)仍將繼續(xù)。”

與此同時，首席信息安全官也需要考慮自己的人手問題。Miller稱：“辭職潮是真實存在的，落實到安全職位上就太令人頭痛了。過勞是安全人員離職的主要原因。而2022年會更難以應(yīng)付。”

“CISO現(xiàn)在面臨的問題是：我們怎么處理所有這些棘手難題?我們該怎么智慧運營，才能實現(xiàn)既安全又快速?”

Parkview Health信息安全副總裁兼HIPAA安全官Darrell Keeling對此有些自己的看法。

與其他安全主管一樣，Keeling任職期間見證了威脅態(tài)勢的演變。

例如，他看到惡意黑客越來越多地采用勒索軟件攻擊醫(yī)療機(jī)構(gòu)。同時，各家企業(yè)，包括他自己就職的企業(yè)，則越來越數(shù)字化，采用的云環(huán)境越來越多。這種情況極大擴(kuò)張了攻擊面，實際上消除了邊界的概念。

Keeling稱，他的首要任務(wù)是推動安全成熟度，從而匹配不斷發(fā)展的技術(shù)棧和應(yīng)對隨之而來的威脅。

他表示，這涉及簡化公司安全棧：從出自多個供應(yīng)商的大量同類最佳解決方案，轉(zhuǎn)變?yōu)橹囟纫蕾囄④洶踩鉀Q方案的單個解決方案。(Parkview Health IT主要是一家使用Azure云的微軟商店。)Keeling稱，簡化安全?？蓭砀咝У陌踩\營，集成更加方便，費用上漲幅度也更小。

為此，Keeling計劃主抓員工培訓(xùn)，讓團(tuán)隊里更多人獲得微軟認(rèn)證。

2022年，Keeling的其他重點工作還包括：實現(xiàn)更多智能化措施、行為分析軟件和云安全技術(shù);建立威脅追蹤能力;以及加強(qiáng)他的第三方風(fēng)險管理計劃。

CISO工作重點推升對工具和技術(shù)的關(guān)注

《安全重點研究》證實，CISO將繼續(xù)投資技術(shù)，90%的受訪CISO表示其所在企業(yè)在過去12月中至少增添了一種安全工具。

CISO優(yōu)先考慮的技術(shù)也反映出了他們?nèi)找嬲系陌踩椒ā?/p>

企業(yè)繼續(xù)增添和評估安全解決方案

舉個例子：云數(shù)據(jù)保護(hù)技術(shù)處于CISO所關(guān)注技術(shù)列表的頭部，87%的CISO正在研究、試點、使用或升級其云數(shù)據(jù)保護(hù)技術(shù)使用。

與之相關(guān)的另一項發(fā)現(xiàn)表明，88%的CISO優(yōu)先考慮基于云的網(wǎng)絡(luò)安全服務(wù)。

數(shù)據(jù)訪問治理技術(shù)也在CISO優(yōu)先事項列表中名列前茅，零信任同樣處于CISO視線的焦點：84%的受訪CISO表示零信任是自己的首要考慮。

行為監(jiān)測與分析是另一個備受關(guān)注的重點，82%的受訪CISO表示正在研究、試點、使用或升級其行為監(jiān)測與分析措施。

CISO還表現(xiàn)出了對安全編排、自動化與響應(yīng)(SOAR)技術(shù)的極大興趣，77%的受訪CISO要么在研究、試點、使用，要么在升級其所用SOAR技術(shù)。

這些調(diào)查數(shù)據(jù)并沒有令安全分析師和研究人員感到驚訝。他們表示，隨著企業(yè)在云計算上投入更多資金以實現(xiàn)數(shù)字化轉(zhuǎn)型和隨時隨地訪問，我們需要這些技術(shù)來保護(hù)過去幾年間迅速變化的環(huán)境。

咨詢公司Zenaciti首席執(zhí)行官兼The Analyst Syndicate網(wǎng)絡(luò)安全分析師Andrew Plato認(rèn)為：“云確實是安全的核心。”(他指出，CISO對云安全態(tài)勢管理平臺特別感興趣，這些平臺為CISO提供了全面的視圖，且支持在多個云部署中實現(xiàn)安全。)

Kevin F. Brown來年的工作重點代表了這些趨勢。

Brown是科學(xué)應(yīng)用國際公司(SAIC)高級副總裁兼首席信息安全官。他表示，他的首要任務(wù)是人才招聘和保留;業(yè)務(wù)連續(xù)性與彈性;實現(xiàn)網(wǎng)絡(luò)、云和數(shù)據(jù)的零信任策略;以及做好業(yè)務(wù)支持。

他解釋道：“網(wǎng)絡(luò)安全人才持續(xù)供不應(yīng)求，尤其是在必不可少的團(tuán)隊多元化和包容性建設(shè)方面。勒索軟件仍然是整個行業(yè)的最大威脅，無論是從業(yè)務(wù)中斷的影響方面看，還是從數(shù)據(jù)滲漏增加的方面看。除了保護(hù)能力，還需要制定彈性和恢復(fù)計劃。”

他繼續(xù)說道：“零信任原則不僅針對傳統(tǒng)的網(wǎng)絡(luò)安全，還需要作為安全策略保護(hù)不斷擴(kuò)展的用戶邊界和云，并保護(hù)關(guān)鍵數(shù)據(jù)的完整性。”

Brown總結(jié)道：“雖然可能有點包羅萬象，但支持業(yè)務(wù)正常運營是安全團(tuán)隊的重中之重，無論是通過提供安全的業(yè)務(wù)解決方案、降低風(fēng)險，還是推廣設(shè)計安全理念等手段。”

推動持續(xù)的安全計劃改進(jìn)

Brown表示，盡管2022年的每項首要任務(wù)都很重要，但其實這些都是老生常談，不過是他一直以來都在做的事情的延續(xù)。

Plato認(rèn)為，這也反映出了CISO網(wǎng)絡(luò)安全計劃的總體狀況，且2022年的網(wǎng)絡(luò)安全工作主要是改進(jìn)而不是變革。

Plato稱：“會出現(xiàn)一些很酷的技術(shù)徹底變革一切嗎?大概不會。但是，[CISO必須]完成的所有工作就在那里。”

大約67%的受訪CISO表示，所在公司更加關(guān)注提高安全服務(wù)的利用率和/或資源配置;62%的受訪者表示設(shè)置有流程來持續(xù)評估安全解決方案及服務(wù)的有效性，無論評估的安全解決方案與服務(wù)是自有的還是通過供應(yīng)商合同訪問的。

World Fuel Services信息安全副總裁Shawn M. Bowen表示，他的首要目標(biāo)是持續(xù)改進(jìn)安全功能，這一目標(biāo)將推動他來年的工作。

例如，他正在努力提高自身能力，希望能根據(jù)公司自身已識別的風(fēng)險和威脅來設(shè)計安全策略、程序和控制措施。

他說：“我希望超越框架成熟度模型，打造基于風(fēng)險的安全運營。因此，我們的目標(biāo)不是基于框架構(gòu)建安全并提供標(biāo)準(zhǔn)服務(wù)，而是專注于我們的企業(yè)風(fēng)險管理計劃。”

為此，他正與業(yè)務(wù)部門的同事合作，了解、闡明和排序其特定職能范圍內(nèi)的風(fēng)險和威脅，好讓安全部門能夠真正調(diào)整資源，抵御這些風(fēng)險和威脅。

此外，Bowen希望業(yè)務(wù)部門能更多地參與安全部門的企業(yè)風(fēng)險管理方法。他計劃利用這種參與為他們的每個產(chǎn)品和服務(wù)開發(fā)適當(dāng)?shù)耐{模型，從而可以針對這些特定威脅定制安全產(chǎn)品。

他還希望創(chuàng)建一種方法，根據(jù)安全在這些領(lǐng)域提供服務(wù)方面的改進(jìn)程度來衡量進(jìn)展。

2022年面臨的挑戰(zhàn)

受訪CISO表示，未來一年要實現(xiàn)既定目標(biāo)面臨諸多挑戰(zhàn)。

《安全重點研究》中表明，企業(yè)未能解決網(wǎng)絡(luò)風(fēng)險的首要原因，是CISO難以令部分或全體同仁知悉所面臨風(fēng)險的嚴(yán)重性。30%的受訪CISO都表示，說服同事相信自己直面嚴(yán)重風(fēng)險真是太難了。

近29%的受訪CISO表示可用的資源不足，27%則表示無法在安全策略中做到足夠主動。

未能解決網(wǎng)絡(luò)風(fēng)險的其他主要原因包括：難以招募和留住專業(yè)人員;無法在應(yīng)用開發(fā)全過程滿足安全要求;用戶安全培訓(xùn)不足。

盡管承認(rèn)這些都是重大挑戰(zhàn)，分析師卻也指出，CISO的很多優(yōu)先考慮事項將幫助他們應(yīng)對這些問題。

例如，重視事件響應(yīng)，尤其是匹配業(yè)務(wù)風(fēng)險并結(jié)合業(yè)務(wù)賦能與彈性的事件響應(yīng)，可以為安全計劃帶來更多的業(yè)務(wù)支持。

同時，增加數(shù)據(jù)保護(hù)技術(shù)、云安全工具和支持零信任與SOAR的解決方案，有助于將安全更好的嵌入到技術(shù)棧核心，而不是僅僅作為補(bǔ)強(qiáng)式服務(wù)。

而在技術(shù)部署中增加自動化功能，可以幫助CISO緩解安全人手不足和偶發(fā)的用戶側(cè)安全失誤所帶來的挑戰(zhàn)。

Symbridge控股有限公司首席信息安全官Michael Ibarra的2022年工作重點與其他安全主管列出的大多相同，并且他認(rèn)為這些都是達(dá)成全面安全策略的關(guān)鍵所在。

投入零信任和增加云數(shù)據(jù)保護(hù)開支

Ibarra正在努力強(qiáng)化公司的數(shù)據(jù)隱私保護(hù)措施和供應(yīng)商風(fēng)險管理實踐。

他關(guān)注API安全和數(shù)字身份，這二者都是當(dāng)今數(shù)字時代CISO必須防護(hù)周全的云環(huán)境所不可或缺的。

加強(qiáng)數(shù)據(jù)泄露防御也是Ibarra的優(yōu)先考慮事項之一，著重研究如何有效緩解和防止黑客國家隊發(fā)起的網(wǎng)絡(luò)攻擊。

他正致力于將安全計劃融入公司的技術(shù)變更控制過程，從而使安全跟上IT的發(fā)展腳步，并研究能夠帶來價值的前沿技術(shù)。

而且他還計劃加大招聘和留住人才的力度，其中部分措施是確保提供正確的培訓(xùn)和技能提升。

Ibarra表示，要共建網(wǎng)絡(luò)彈性。

“我們始終專注于提供安全可靠的平臺，我們的首要任務(wù)之一始終是將風(fēng)險降至最低。但優(yōu)先考慮彈性可以讓我們能夠為未知做好準(zhǔn)備。”