我們生活在數(shù)字時代已不是什么新鮮事。如今，即便是基本任務(wù)對技術(shù)的依賴也在成倍增加，而且每天都有新公司進入市場，并承諾通過應(yīng)用程序和數(shù)字解決方案讓我們的生活變得更輕松。

由于疫情的影響，現(xiàn)在的企業(yè)比以往任何時候都更加依賴技術(shù)。雖然限制已經(jīng)解除，但世界已經(jīng)進入“新常態(tài)”，世界各地的企業(yè)表示他們正在采用遠程或混合辦公模式。再加上業(yè)務(wù)運營對各種應(yīng)用程序和服務(wù)的日益依賴，從而導(dǎo)致漏洞不斷增加。

隨著員工對靈活工作方式的適應(yīng)，安全專業(yè)人員的任務(wù)便是尋找新的并且可靠的方法來實現(xiàn)數(shù)據(jù)和網(wǎng)絡(luò)安全。在這種新形勢下，2022 年 CISO 最關(guān)心的是什么？有幾個關(guān)鍵領(lǐng)域脫穎而出。

勒索軟件/惡意軟件

網(wǎng)絡(luò)犯罪分子的敏捷性是無與倫比的，勒索軟件攻擊的增加就是明證?！陡２妓埂纷罱囊黄恼铝谐隽艘恍@人的數(shù)字：

• 勒索軟件占所有安全漏洞的 10%
• 一項調(diào)查發(fā)現(xiàn)，37% 的全球組織在 2021 年成為某種勒索軟件攻擊的受害者
• 根據(jù) FBI 的數(shù)據(jù)，從 2021 年 1 月到 2021 年 7 月，勒索軟件攻擊同比增長了令人震驚的 62%

2021 年，平均贖金為 81.2萬美元，比上一年增加了近 65萬美元。受這些攻擊影響的公司中有近一半支付了攻擊者要求的贖金，這使得勒索軟件本身成為了一個行業(yè)。

由于勒索軟件經(jīng)常利用最終用戶的天真或失誤，因此整個組織的網(wǎng)絡(luò)和數(shù)據(jù)都容易受到攻擊。CISO 專注于通過滲透測試（通過模仿攻擊）采取預(yù)防措施，并確保最終用戶獲得充足的信息以做出明智的決策。確保軟件和補丁更新對于 IT 預(yù)算和戰(zhàn)略至關(guān)重要。

云和網(wǎng)絡(luò)安全

雖然遠離本地安裝和物理介質(zhì)為 IT 部門節(jié)省了大量時間和精力，但它也讓安全專業(yè)人員保持警覺。云環(huán)境可能會造成嚴(yán)重的安全可見性差距，增加預(yù)防策略和管理網(wǎng)絡(luò)和應(yīng)用程序的復(fù)雜性。

2021 年底，Log4Shell 攻擊敲響了警鐘，將云安全推到了各地 CISO 優(yōu)先級列表的首位。該攻擊利用了 Java 應(yīng)用程序使用的 Log4j 日志框架，允許攻擊者加載和執(zhí)行惡意代碼。黑客可以通過 Java 控制易受攻擊的設(shè)備，進而允許他們建立后門、創(chuàng)建僵尸網(wǎng)絡(luò)并發(fā)起勒索軟件攻擊。

這次全球性攻擊引起了人們對云安全的關(guān)注，87% 的受訪者表示他們對自己的策略缺乏信心。為多云平臺提供保護的公司已通過加速其工具的開發(fā)來應(yīng)對這一威脅。

API 安全

API 是現(xiàn)代社會的基礎(chǔ)，因為幾乎所有功能都依賴于某種應(yīng)用程序。隨著組織使用的應(yīng)用程序數(shù)量的增長，用于集成或支撐流程的API數(shù)量也在增加。

不幸的是，盡管 API 對使用它們的組織很有幫助，但它們也吸引了試圖利用安全漏洞的狡猾攻擊者的注意。

2021 年，API 攻擊增長了令人難以置信的 681%，而 API 流量增長了 321%。API 特別容易受到攻擊，因為它們對強大的安全性提出了獨特的挑戰(zhàn)。API 環(huán)境的不斷變化使得安全專業(yè)人員難以跟上步伐。這使得組織容易受到數(shù)據(jù)泄露、SQL 注入、拒絕服務(wù)攻擊、惡意軟件和偽造用戶身份驗證的影響。

員工培養(yǎng)、人才招聘和儲備

2022 年，各行業(yè)普遍存在的抱怨是缺乏熟練且可用的人員來填補關(guān)鍵職位。網(wǎng)絡(luò)安全職業(yè)網(wǎng)站 CyberSeek 報告稱，截至撰寫本文時，美國有超過 70萬個職位空缺，而且數(shù)月來這個數(shù)字一直保持穩(wěn)定。

CISO 認(rèn)識到了他們的組織中對頂級安全專業(yè)人員的需求（和價值），但在填補適當(dāng)角色上比較困難。培訓(xùn)和提升現(xiàn)有 IT 專業(yè)人員的技能會有所幫助，但這只是增加了他們的工作量而不是專注于網(wǎng)絡(luò)安全，因此這只是一種權(quán)宜之計。

隨著員工轉(zhuǎn)向遠程和混合辦公模式，CISO 還需要提醒最終用戶主動加強安全性。通過幫助用戶了解網(wǎng)絡(luò)犯罪分子使用的狡猾策略，組織更有機會保護他們的數(shù)據(jù)和最終用戶免受惡意活動的侵害。

結(jié)論

隨著勒索軟件攻擊、API安全和網(wǎng)絡(luò)漏洞利用的增加，安全形勢正在迅速發(fā)生變化。CISO 將預(yù)算和戰(zhàn)略重點放在主動和預(yù)防性安全措施上，同時提高員工的技能，并在市場上為他們的團隊尋找有才華的專業(yè)人士。對于許多組織而言，毫無疑問需要增加安全預(yù)算和員工編制來保護有價值的數(shù)據(jù)。

原標(biāo)題：What’s Top of Mind for CISOs in 2022?

作者：Stefanie Shank

鏈接：https://www.infosecurity-magazine.com/next-gen-infosec/top-mind-cisos-2022/

 ?