對于很多首席信息安全官來說，即將到來的2023年是一個(gè)很好的時(shí)機(jī)，可以反思他們在2022年里學(xué)到的經(jīng)驗(yàn)和教訓(xùn)，以及如何將它們應(yīng)用到未來。

動(dòng)蕩的2022年即將結(jié)束，在這一年，埃隆·馬斯克收購了Twitter，俄烏沖突，許多員工重返辦公室。人們還看到，一些安全主管因隱瞞數(shù)據(jù)泄露而被判入獄。

這些事件以及更多事件改變了業(yè)務(wù)格局，迫使首席信息安全官在不確定領(lǐng)域前行。Trustwave公司的首席信息官Kory Daniels表示：“隨著網(wǎng)絡(luò)安全格局的變化，2022年是一個(gè)里程碑式的一年，我們將在研究網(wǎng)絡(luò)安全與數(shù)字信任何時(shí)以及為何融合在一起進(jìn)行歷史回顧?！?/p>

2022年，很多企業(yè)都增加了安全預(yù)算。Daniels補(bǔ)充說，盡管如此，他們也意識到，如果安全團(tuán)隊(duì)沒有真正展示他們?nèi)绾螏椭Ｗo(hù)企業(yè)，那么即使獲得投資也可能沒有更好的效果。

每個(gè)人都有自己的方法來分析這一年并反思發(fā)生的事情，這一舉措可以為未來提供寶貴的知識，因此人們需要了解一些首席信息安全官在今年學(xué)到的經(jīng)驗(yàn)和教訓(xùn)。

Veracode公司的首席信息安全官Sohail Iqbal表示:“如果企業(yè)不吸取這些教訓(xùn)，并完善其安全實(shí)踐，我們將看到審計(jì)和第三方風(fēng)險(xiǎn)評估中的審查力度加大，這可能會(huì)對其業(yè)務(wù)產(chǎn)生財(cái)務(wù)、聲譽(yù)、運(yùn)營甚至合規(guī)方面的影響?！?/p>

1、不要等到出現(xiàn)地緣政治沖突時(shí)才提高安全態(tài)勢

俄烏沖突促使民族主義組織和犯罪組織各自站隊(duì)，迫使企業(yè)接受政府部門發(fā)布的指導(dǎo)方針，這些指導(dǎo)方針旨在幫助它們提高安全態(tài)勢。這包括美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的“盾牌”網(wǎng)絡(luò)安全警報(bào)和英國國家網(wǎng)絡(luò)安全中心(NCSC)的技術(shù)保證。Daniels說：“這場沖突促使許多企業(yè)詢問他們的網(wǎng)絡(luò)安全彈性準(zhǔn)備情況，以阻止這些威脅行為者或擊敗網(wǎng)絡(luò)攻擊?！?/p>

這些問題早在幾年前就提出了。谷歌云平臺首席信息安全官辦公室主任Taylor Lehmann說:“不要等到擁有強(qiáng)大的進(jìn)攻性網(wǎng)絡(luò)安全團(tuán)隊(duì)的國家之間發(fā)生全球性沖突時(shí)，才去評估其安全態(tài)勢是否能夠合理地抵御網(wǎng)絡(luò)威脅和攻擊?！?/p>

企業(yè)和機(jī)構(gòu)通常需要數(shù)年時(shí)間來彌補(bǔ)這些評估中發(fā)現(xiàn)的差距，并實(shí)施建議的控制措施，因此盡早提出問題是有益的。Lehmann補(bǔ)充說:“我們需要承認(rèn)，保護(hù)企業(yè)免受高級安全威脅需要一些時(shí)間(有時(shí)需要幾十年)和努力?！?/p>

2、威脅行為激增，即服務(wù)的業(yè)務(wù)模式降低了進(jìn)行網(wǎng)絡(luò)攻擊的門檻

歐盟網(wǎng)絡(luò)安全局(ENISA)稱，勒索軟件團(tuán)伙在2022年不斷增加或重新整合，網(wǎng)絡(luò)威脅組織表現(xiàn)出“供應(yīng)鏈攻擊和針對托管服務(wù)提供商的攻擊能力不斷增強(qiáng)”。此外，“黑客即服務(wù)”的業(yè)務(wù)模式也繼續(xù)受到關(guān)注。

美國網(wǎng)絡(luò)安全服務(wù)商Critical Insight公司的首席信息官M(fèi)ike Hamilton表示：“現(xiàn)在每個(gè)人都可以成為網(wǎng)絡(luò)罪犯，并且不需要太多的技能。犯罪團(tuán)伙采用即服務(wù)的業(yè)務(wù)模式降低了進(jìn)入門檻，這體現(xiàn)在他們收到的誘餌信息的數(shù)量和性質(zhì)上?！?/p>

例如，C2aaS平臺DarkUtilities的高級訪問費(fèi)用僅為9.99歐元。該平臺提供多種服務(wù)，包括遠(yuǎn)程系統(tǒng)訪問、DDoS功能和加密貨幣挖掘。

3、未經(jīng)安全培訓(xùn)的員工可能會(huì)讓企業(yè)損失數(shù)百萬美元

勒索軟件攻擊數(shù)量在2022年有所增加，企業(yè)和政府機(jī)構(gòu)是最主要的目標(biāo)。英偉達(dá)、豐田、SpiceJet、Optus、Medibank等公司，以及意大利巴勒莫市、哥斯達(dá)黎加、阿根廷和多米尼加共和國的政府機(jī)構(gòu)都在2022年成為受害者，在這一年，出于經(jīng)濟(jì)動(dòng)機(jī)和政治動(dòng)機(jī)的勒索軟件組織之間的界限繼續(xù)模糊。

GuidePoint Security公司的首席信息官Gary Brickhouse表示，任何企業(yè)防御戰(zhàn)略的一個(gè)關(guān)鍵部分都應(yīng)該是員工的安全意識培訓(xùn)，因?yàn)閱T工仍然成為網(wǎng)絡(luò)釣魚和其他社交工程威脅行為者的目標(biāo)。

不過在今年的一個(gè)積極進(jìn)展是，企業(yè)董事會(huì)成員和高管們已經(jīng)開始更多地關(guān)注勒索軟件，因?yàn)樗麄円呀?jīng)看到了這些網(wǎng)絡(luò)攻擊可能造成的運(yùn)營影響。

4、各國政府正在更積極地為網(wǎng)絡(luò)安全立法

美國、英國和歐盟加強(qiáng)網(wǎng)絡(luò)安全立法，以更好地保護(hù)自己免受網(wǎng)絡(luò)事件的侵害。NCC集團(tuán)的首席信息技術(shù)官Lawrence Munro表示:“關(guān)鍵風(fēng)險(xiǎn)正在被識別，我們看到立法干預(yù)的持續(xù)趨勢?！?/p>

在美國，聯(lián)邦和州一級的安全態(tài)勢都發(fā)生了變化。政府機(jī)構(gòu)現(xiàn)在需要實(shí)施安全培訓(xùn)，并遵循安全政策、標(biāo)準(zhǔn)和實(shí)踐。他們還需要報(bào)告安全事件并制定應(yīng)對計(jì)劃。

Munro補(bǔ)充說，他的觀點(diǎn)已經(jīng)改變，應(yīng)該積極主動(dòng)地為即將到來的監(jiān)管做好準(zhǔn)備。他說:“我已經(jīng)制定了監(jiān)控這一點(diǎn)的策略，我將進(jìn)一步開發(fā)自動(dòng)化元素，以確保提前為任何變化做好準(zhǔn)備?！?/p>

企業(yè)需要注意數(shù)據(jù)隱私和安全規(guī)則不斷發(fā)展的事實(shí)。Lehmann表示：“了解企業(yè)之間的差異，并使其能夠滿足數(shù)據(jù)駐留、數(shù)據(jù)主權(quán)和數(shù)據(jù)本地化要求，這是當(dāng)前至關(guān)重要的業(yè)務(wù)任務(wù)，而且將繼續(xù)增加復(fù)雜性?！?/p>

5、企業(yè)應(yīng)該更好地跟蹤開源軟件

2021年底出現(xiàn)的Log4j危機(jī)在2022年持續(xù)不斷，影響了全球數(shù)萬個(gè)行業(yè)的企業(yè)和組織。根據(jù)CISA公司最近發(fā)布的一份調(diào)查報(bào)告，這一涉及遠(yuǎn)程代碼執(zhí)行的漏洞在未來將繼續(xù)構(gòu)成“重大風(fēng)險(xiǎn)”，因?yàn)樗鼘⒃谖磥黹L期存在于系統(tǒng)中。

Thrive公司的首席信息安全官Chip Gibbons表示：“Log4j漏洞給很多業(yè)內(nèi)人士敲響了警鐘。許多企業(yè)甚至不知道該軟件正在某些系統(tǒng)中使用，因?yàn)樗麄冋嬲P(guān)注的是面向互聯(lián)網(wǎng)的設(shè)備?！?/p>

雖然這個(gè)安全問題造成了混亂，但它也提供了學(xué)習(xí)機(jī)會(huì)。Sumo Logic公司的首席技術(shù)官兼高級副總裁George Gerchow說，“Log4j是一種詛咒，也是一種祝福，這讓我們在事件響應(yīng)和資產(chǎn)跟蹤方面做得更好?！?/p>

Lehmann表示，企業(yè)開始加大力度跟蹤開源軟件，因?yàn)樗麄儼l(fā)現(xiàn)對他們使用的軟件的來源和質(zhì)量進(jìn)行未經(jīng)驗(yàn)證的信任會(huì)造成損害。

6、應(yīng)該在識別漏洞方面加大力度

企業(yè)還應(yīng)該采取更多措施來識別開源和閉源軟件中的漏洞。然而，這并不是一項(xiàng)簡單的任務(wù)，因?yàn)槊磕甓紩?huì)有成千上萬的漏洞出現(xiàn)。漏洞管理工具可以幫助識別操作系統(tǒng)應(yīng)用程序中發(fā)現(xiàn)的漏洞并確定其優(yōu)先級。Iqbal表示：“我們需要了解第一方代碼中的漏洞，并有一個(gè)漏洞清單和管理第三方代碼風(fēng)險(xiǎn)的適當(dāng)措施?！?/p>

Iqbal認(rèn)為，一個(gè)良好的AppSec程序應(yīng)該是軟件開發(fā)生命周期的一部分。Iqbal說:“如果一開始就編寫安全代碼，并預(yù)先管理漏洞，這對保護(hù)企業(yè)的信息安全將是非常重要的。別忘了，一切都是代碼。企業(yè)的軟件、應(yīng)用程序、防火墻、網(wǎng)絡(luò)和策略都是代碼，因?yàn)榇a經(jīng)常變化，所以識別漏洞必須持續(xù)進(jìn)行?！?/p>

7、企業(yè)需要采取更多措施防范供應(yīng)鏈攻擊

供應(yīng)鏈攻擊一直是導(dǎo)致2022年網(wǎng)絡(luò)安全問題的主要原因，一些網(wǎng)絡(luò)安全事件成為頭條新聞，包括針對Okra、GitHub OAuth令牌和AccessPress的黑客攻擊。2023年，防范這些威脅仍將是一個(gè)復(fù)雜的過程。Munro說:“我認(rèn)為，供應(yīng)鏈風(fēng)險(xiǎn)領(lǐng)域的快速發(fā)展讓許多企業(yè)感到困惑。我們看到大量資金投入到技術(shù)領(lǐng)域以解決問題，但對這些解決方案如何適應(yīng)現(xiàn)有的生態(tài)系統(tǒng)缺乏了解?！?/p>

Munro表示，軟件材料清單(SBOM)帶來了新的框架和技術(shù)。Munro說: “具有管理信息聚合的工具、補(bǔ)充框架，如軟件工件的供應(yīng)鏈級別(SLSA)和技術(shù)標(biāo)準(zhǔn)，例如漏洞可利用性交換或VEX。這一切都增加了復(fù)雜性，增加了對網(wǎng)絡(luò)防御者的挑戰(zhàn)?！?/p>

Lehmann補(bǔ)充說:“我們還應(yīng)該考慮，如果硬件供應(yīng)鏈?zhǔn)艿綋p害將會(huì)有什么樣的影響，以及現(xiàn)在擁有什么能力。”

8、 應(yīng)該將零信任作為核心理念

零信任計(jì)劃不僅僅是部署管理身份或網(wǎng)絡(luò)的技術(shù)。Iqbal說:“這是一種在數(shù)字交易時(shí)消除隱含信任并以展示信任取代的紀(jì)律和文化。這是一個(gè)同時(shí)進(jìn)行的過程，需要跨越身份、端點(diǎn)設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序工作負(fù)載和數(shù)據(jù)?！?/p>

Iqbal補(bǔ)充說，每個(gè)產(chǎn)品和服務(wù)都應(yīng)該支持單點(diǎn)登錄(SSO)/多因素身份驗(yàn)證(MFA)，企業(yè)和非生產(chǎn)網(wǎng)絡(luò)應(yīng)該與生產(chǎn)環(huán)境隔離。他補(bǔ)充說:“通過關(guān)聯(lián)多個(gè)信號，驗(yàn)證端點(diǎn)的最新安全態(tài)勢，并使用行為分析進(jìn)行身份驗(yàn)證、訪問和授權(quán)也很重要?！?/p>

9、網(wǎng)絡(luò)責(zé)任保險(xiǎn)的需求可能會(huì)繼續(xù)增加

近年來，網(wǎng)絡(luò)責(zé)任保險(xiǎn)已成為一種必需品，但保險(xiǎn)費(fèi)用也有所增加。此外，在確定風(fēng)險(xiǎn)領(lǐng)域方面，企業(yè)還面臨保險(xiǎn)公司的更多審查。Brickhouse表示：“這一過程比過去更加嚴(yán)格，增加了獲得網(wǎng)絡(luò)責(zé)任保險(xiǎn)的時(shí)間和努力。企業(yè)應(yīng)該將這一過程視為一次審計(jì)——提前做好準(zhǔn)備，將其安全計(jì)劃和控制措施記錄在案，并準(zhǔn)備好進(jìn)行驗(yàn)證。”

10、軟件測試的“左移”方法已經(jīng)過時(shí)

ReversingLabs公司的首席信息官M(fèi)att Rose表示，只是將風(fēng)險(xiǎn)“左移”是不夠的，雖然在早期階段通過測試來改進(jìn)產(chǎn)品的概念是有意義的，但開發(fā)人員只是綜合應(yīng)用程序安全計(jì)劃的一部分。他說：“DevOps流程的所有階段都存在風(fēng)險(xiǎn)，因此工具和調(diào)查必須在流程的各個(gè)階段轉(zhuǎn)移，而不僅僅是左移?！?/p>

Rose表示，更好的方法是在DevOps生態(tài)系統(tǒng)中提高安全性，包括構(gòu)建系統(tǒng)和可部署構(gòu)件本身。他補(bǔ)充說:“供應(yīng)鏈風(fēng)險(xiǎn)和安全已變得越來越受重視，如果只實(shí)現(xiàn)左移，我認(rèn)為不可能發(fā)現(xiàn)這些風(fēng)險(xiǎn)?！?/p>

11、為錯(cuò)誤的資產(chǎn)使用錯(cuò)誤的工具并不能解決問題

Halborn公司的聯(lián)合創(chuàng)始人、首席信息官Steven Walbroehl表示，“錘子的作用是釘釘子，而不是用來擰螺絲，因此要使用正確的工具。首席信息安全官需要觀察細(xì)微差別，為他們想要解決的問題找到合適的工具。他說：“2022年得到的一個(gè)教訓(xùn)是，開發(fā)人員和企業(yè)不應(yīng)該試圖將安全性泛化，并將其視為可以用于所有資產(chǎn)或資源的解決方案。我們都應(yīng)該盡最大努力找到適合或適用于需要保護(hù)的特定技術(shù)的網(wǎng)絡(luò)安全解決方案或服務(wù)?！?/p>

12、企業(yè)需要理解其完整的應(yīng)用程序架構(gòu)

科技世界的復(fù)雜性每年都在增加，企業(yè)必須了解其整個(gè)應(yīng)用程序生態(tài)系統(tǒng)，以避免重大安全漏洞。Rose說：“隨著開源軟件包、API、內(nèi)部開發(fā)代碼、第三方開發(fā)代碼和微服務(wù)的大量使用，應(yīng)用程序變得越來越復(fù)雜，所有這些都與非常靈活的云原生開發(fā)實(shí)踐緊密相連。如果不知道要尋找哪種類型的風(fēng)險(xiǎn)，那么如何才能找到它?”

Rose表示，現(xiàn)代開發(fā)實(shí)踐關(guān)注的是越來越小的責(zé)任塊，因此沒有人能夠完全處理應(yīng)用程序的每個(gè)方面。

13、安全應(yīng)該是一項(xiàng)持續(xù)的努力

科技行業(yè)以外的很多公司認(rèn)為，網(wǎng)絡(luò)安全是一次性的措施和活動(dòng)，只需執(zhí)行一次，然后就會(huì)保證安全。然而，技術(shù)是動(dòng)態(tài)的，因此保護(hù)它應(yīng)該是一項(xiàng)需要風(fēng)險(xiǎn)管理方法的持續(xù)努力。Walbroehl說，“企業(yè)不應(yīng)試圖將網(wǎng)絡(luò)安全視為一個(gè)成功或失敗的目標(biāo)?！?/p>

Walbroehl建議企業(yè)識別關(guān)鍵過程和資產(chǎn)。然后，他們應(yīng)該確定愿意接受其資產(chǎn)或流程有何種程度的安全級別。他補(bǔ)充說，一個(gè)很好的主意是優(yōu)先考慮將風(fēng)險(xiǎn)降低到這一水平所需的解決方案或流程。

14、制定計(jì)劃

2023年對首席信息安全官來說，很可能會(huì)讓人筋疲力盡。再次，他們將在各個(gè)方面面臨挑戰(zhàn)：俄烏沖突將會(huì)持續(xù)，一些國家可能會(huì)經(jīng)濟(jì)衰退，科技將繼續(xù)發(fā)展和進(jìn)步。這就是他們需要為事件發(fā)生的情況制定計(jì)劃的原因。Gibbons說:“與其一時(shí)沖動(dòng)，不如現(xiàn)在就做好準(zhǔn)備?！?/p>

Trustwave公司的Daniels對此表示認(rèn)同。他說：“我們在今年得到的一個(gè)最重要的教訓(xùn)是，對網(wǎng)絡(luò)安全采取嚴(yán)格的反應(yīng)性方法實(shí)際上會(huì)減緩或危及企業(yè)的競爭力、財(cái)務(wù)狀況和市場增長。主動(dòng)的、甚至是可預(yù)測的網(wǎng)絡(luò)安全運(yùn)營，以及創(chuàng)建有效地將安全融入業(yè)務(wù)的程序，正在成為安全領(lǐng)導(dǎo)者的一個(gè)重要事項(xiàng)?！?/p>