行業(yè)媒體最近與全球安全生態(tài)系統(tǒng)的幾位杰出人物進(jìn)行了溝通和探討：Agora公司首席安全官Roger Hale;JupiterOne公司首席信息安全官兼研究主管Sounil Yu;IBM咨詢公司全球網(wǎng)絡(luò)安全副總裁兼高級(jí)合伙人Debbie Taylor Moore;SYN Ventures公司執(zhí)行合伙人兼聯(lián)合創(chuàng)始人Jay Leek。隨著疫情的影響開(kāi)始消散，首席信息安全官如何應(yīng)對(duì)隨之而來(lái)的安全挑戰(zhàn)和即將到來(lái)的障礙，這些挑戰(zhàn)需要得到所有網(wǎng)絡(luò)安全人員和業(yè)務(wù)利益相關(guān)者的關(guān)注。

恢復(fù)和彈性

隨著市場(chǎng)低迷成為私營(yíng)部門(mén)真正關(guān)注的問(wèn)題，彈性和恢復(fù)是網(wǎng)絡(luò)安全從業(yè)者的關(guān)鍵。對(duì)行業(yè)領(lǐng)先的安全解決方案的需求并沒(méi)有改變，因此，這些安全專家建議人們?cè)趧?dòng)蕩的時(shí)期避免下意識(shí)的反應(yīng)和恐慌。

Jay Leek說(shuō)，“這是一個(gè)負(fù)面的峰值，但它與安全社區(qū)正在實(shí)現(xiàn)的價(jià)值不斷增加無(wú)關(guān)。我們正處于一個(gè)真正的重建周期。這是首席信息安全官和安全從業(yè)人員發(fā)揮領(lǐng)導(dǎo)作用，并在展示自己能力的同時(shí)繼續(xù)前進(jìn)的機(jī)會(huì)?！?/p>

他表示，雖然在經(jīng)濟(jì)不穩(wěn)定和災(zāi)難性地緣政治事件中尋找機(jī)會(huì)可能具有挑戰(zhàn)性，但網(wǎng)絡(luò)安全一直具有彈性，部分原因在于其作為安全網(wǎng)的固有作用。安全行業(yè)的工作是幫助公眾減少恐懼感。首席信息安全官有機(jī)會(huì)幫助人們管理和減輕他們的風(fēng)險(xiǎn)，并解決最近發(fā)生的事件可能加劇的擔(dān)憂。如果能夠滿懷信心地利用這一責(zé)任，而不是傲慢自大，將會(huì)實(shí)現(xiàn)網(wǎng)絡(luò)安全。

首席信息安全官有很多事情要做，這是因?yàn)榫W(wǎng)絡(luò)攻擊事件和原因如今越來(lái)越復(fù)雜，民族國(guó)家行為者利用網(wǎng)絡(luò)和最近的全球性事件通過(guò)竊取、泄露數(shù)據(jù)以及破壞關(guān)鍵業(yè)務(wù)和客戶資產(chǎn)來(lái)獲得戰(zhàn)略優(yōu)勢(shì)。

Sounil Yu說(shuō)，“首席信息安全官仍在努力解決基本問(wèn)題。但解決起來(lái)從來(lái)都不是一件容易的事，而且在過(guò)去的一年里變得越來(lái)越麻煩。除了我們已經(jīng)看到的面向數(shù)據(jù)和面向網(wǎng)絡(luò)的攻擊之外，還會(huì)遇到由于固件被屏蔽而無(wú)法恢復(fù)端點(diǎn)的情況。還將遇到無(wú)法重新創(chuàng)建或重新部署應(yīng)用程序的情況，因?yàn)榇a已被完全清除。我們可能會(huì)達(dá)到無(wú)法從這些類型的災(zāi)難性、不可逆轉(zhuǎn)的事件中恢復(fù)過(guò)來(lái)的地步?！?/p>

勒索軟件攻擊

當(dāng)前持續(xù)的俄烏沖突將勒索軟件攻擊推到了風(fēng)口浪尖，因?yàn)橛袌?bào)道稱俄羅斯已利用它們提供資金。Roger Hale認(rèn)為，這一新發(fā)展及其對(duì)安全的影響表明過(guò)去幾年首席信息安全官的角色發(fā)生了轉(zhuǎn)變。

他說(shuō)，“處理勒索軟件不僅是安全問(wèn)題，還是業(yè)務(wù)連續(xù)性問(wèn)題。如果我們從新冠疫情和轉(zhuǎn)向遠(yuǎn)程工作中學(xué)到了什么，那就是安全對(duì)于企業(yè)開(kāi)展業(yè)務(wù)的能力的影響范圍越來(lái)越廣。在這場(chǎng)沖突中，國(guó)際公司意識(shí)到他們?cè)谶@兩個(gè)國(guó)家擁有資產(chǎn)，因此必須減輕客戶對(duì)其資源的擔(dān)憂，并處理核實(shí)他們是否遵守國(guó)際商業(yè)制裁的要求。這些問(wèn)題都要在首席信息安全官那里得到解決，并為我們提供了提升職位和從前線領(lǐng)導(dǎo)的機(jī)會(huì)?！?/p>

首席信息安全官的角色正在發(fā)生變化

Jay Leek強(qiáng)調(diào)了這種改變首席信息安全官角色的方法，這是初創(chuàng)公司創(chuàng)始人應(yīng)該注意的一個(gè)急劇轉(zhuǎn)變。他說(shuō)，“大多數(shù)大型企業(yè)中的首席信息安全官不再對(duì)其產(chǎn)品或解決方案做出任何決定。他們已將其委托給團(tuán)隊(duì)中的人員。如果你還在努力向他們的首席信息安全官推銷解決方案，但決策者的職位卻低了一兩層。雖然首席信息安全官可以阻止或批準(zhǔn)，但他不會(huì)將這個(gè)方案推薦給他們的團(tuán)隊(duì)。當(dāng)你為企業(yè)的安全計(jì)劃營(yíng)銷解決方案時(shí)，需要確保針對(duì)的是正確的群體，因?yàn)樗麄儾⒉皇鞘紫畔踩??！?/p>

最近發(fā)生的另一次網(wǎng)絡(luò)攻擊Log4j漏洞讓人們發(fā)現(xiàn)了一個(gè)令人震驚的盲點(diǎn)，盡管該漏洞無(wú)處不在，但許多企業(yè)未能做好準(zhǔn)備。

Debbie Taylor Moore說(shuō)，“人們?nèi)匀粚?duì)這次網(wǎng)絡(luò)攻擊感到不知所措，這是一個(gè)持續(xù)的過(guò)程。嵌套依賴項(xiàng)存在真正的挑戰(zhàn)，我們正在意識(shí)到20世紀(jì)90年代的缺陷如何從過(guò)去卷土重來(lái)，并在未來(lái)幾年困擾著所有人。現(xiàn)在這是一個(gè)供應(yīng)生態(tài)系統(tǒng)。到處都有相互依賴關(guān)系，如果企業(yè)想在共享供應(yīng)商中進(jìn)行依賴關(guān)系映射并鞏固治理或合規(guī)性，這是一個(gè)機(jī)會(huì)?！?/p>

對(duì)于首席信息安全官來(lái)說(shuō)，確保其供應(yīng)商自身安全已不再足夠。這些依賴關(guān)系很復(fù)雜，代碼依賴關(guān)系通常通過(guò)供應(yīng)鏈連接到其他各個(gè)方面，從而引入了必須管理的大量風(fēng)險(xiǎn)。

Sounil Yu說(shuō)，“Log4J漏洞真正讓我們和整個(gè)社區(qū)注意的是，必須將其視為必須管理的風(fēng)險(xiǎn)，而不是指望另一方的修復(fù)，企業(yè)應(yīng)該對(duì)Log4J漏洞持續(xù)不斷地的損害做好預(yù)防和準(zhǔn)備，并考慮到這一點(diǎn)來(lái)設(shè)計(jì)環(huán)境;例如設(shè)計(jì)系統(tǒng)以使企業(yè)有良好的出口過(guò)濾功能。如果能夠管理好自己的風(fēng)險(xiǎn)，那么就不必?fù)?dān)心供應(yīng)鏈中發(fā)生的事情。”

尋找合適的安全平臺(tái)

首席信息安全官的安全堆?？赡芤呀?jīng)準(zhǔn)備好緩解這些和即將到來(lái)的威脅，但是隨著網(wǎng)絡(luò)安全社區(qū)的重建和重組，首席信息安全官對(duì)于企業(yè)的安全態(tài)勢(shì)的看法很感興趣——多點(diǎn)解決方案是否比一個(gè)統(tǒng)一的安全平臺(tái)更可取?

Debbie Taylor Moore說(shuō)，“每個(gè)企業(yè)都有諾亞方舟的解決方案。點(diǎn)解決方案和安全平臺(tái)方法都有價(jià)值。如果選擇一個(gè)平臺(tái)但忽略新興技術(shù)，那將是一個(gè)劣勢(shì)。另一方面，首席信息安全官已經(jīng)厭倦了與多個(gè)供應(yīng)商會(huì)面，可能正在尋找方法以跟上技術(shù)的發(fā)展，并且不至于筋疲力盡?！?/p>

Sounil Yu堅(jiān)持認(rèn)為，當(dāng)首席信息安全官在點(diǎn)或平臺(tái)之間進(jìn)行選擇時(shí)，以及當(dāng)企業(yè)家考慮構(gòu)建什么類型的產(chǎn)品時(shí)，他們必須考慮合適的時(shí)機(jī)。他說(shuō)，“如果有一個(gè)新的威脅向量，那么單點(diǎn)解決方案每次都會(huì)獲勝。但隨著威脅向量的成熟，以及人們弄清楚如何處理它，集成良好的解決方案將成為自然的贏家。這是一個(gè)時(shí)間問(wèn)題。如果企業(yè)構(gòu)建了一個(gè)解決緊急問(wèn)題的單點(diǎn)解決方案并且沒(méi)有其他解決方案，那么盡快構(gòu)建和使用。但如果來(lái)不及，最好提供一個(gè)集成的解決方案。”

結(jié)論

這些網(wǎng)絡(luò)風(fēng)險(xiǎn)現(xiàn)在已經(jīng)轉(zhuǎn)化為日益普遍的商業(yè)風(fēng)險(xiǎn)，迫在眉睫的經(jīng)濟(jì)衰退加劇了這種風(fēng)險(xiǎn)，首席信息安全官的角色必須做出相應(yīng)的調(diào)整。企業(yè)的目標(biāo)應(yīng)該是成為與支出、預(yù)算分配、目標(biāo)優(yōu)先級(jí)和其他高管關(guān)注點(diǎn)有關(guān)的高管對(duì)話的關(guān)鍵部分，以確保它們的重要性不會(huì)降低。如果首席信息安全官不能在談判桌前占有一席之地，無(wú)法全面了解業(yè)務(wù)轉(zhuǎn)變以及不能使企業(yè)保持其競(jìng)爭(zhēng)優(yōu)勢(shì)，那么面對(duì)這些變化和威脅，他們將無(wú)法確保彈性和恢復(fù)。