在本文中，喬治城大學(xué)應(yīng)用智能項(xiàng)目和研究生網(wǎng)絡(luò)安全項(xiàng)目的兼職教授Charles Brooks談到了零信任原則、身份訪問(wèn)管理和托管安全服務(wù)對(duì)有效的網(wǎng)絡(luò)安全的重要性，以及AI、ML和跟蹤工具等新興技術(shù)的實(shí)施將如何增強(qiáng)供應(yīng)鏈的安全。 

CISO們認(rèn)為他們有足夠的數(shù)據(jù)保護(hù)措施，但他們?cè)谶^(guò)去的一年中已經(jīng)處理了許多敏感數(shù)據(jù)的丟失問(wèn)題。你是如何調(diào)和這種明顯的矛盾的?

盡管采取了保護(hù)措施，但數(shù)據(jù)仍會(huì)丟失，這并不奇怪。我們都在網(wǎng)絡(luò)安全方面迎頭追趕?；ヂ?lián)網(wǎng)是在政府實(shí)驗(yàn)室發(fā)明的，但在私營(yíng)部門實(shí)現(xiàn)了商業(yè)化。硬件、軟件和網(wǎng)絡(luò)最初是為開(kāi)放通信而設(shè)計(jì)的。網(wǎng)絡(luò)安全不是最初的主要考慮因素。由于互聯(lián)網(wǎng)的連接性和商業(yè)的爆炸式增長(zhǎng)，這種心態(tài)肯定已經(jīng)發(fā)生了改變，而CISO們也正在玩一場(chǎng)追趕游戲。

有許多原因可以解釋敏感數(shù)據(jù)的泄露。首先，黑客已經(jīng)變得更加老練和有破壞力。黑客利用的基本工具和策略包括了惡意軟件、社交工程、網(wǎng)絡(luò)釣魚(yú)(最簡(jiǎn)單、最常見(jiàn)的，尤其是針對(duì)企業(yè)高管的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú))、勒索軟件、內(nèi)部威脅和DDoS攻擊。此外，他們也經(jīng)常使用暗網(wǎng)上所共享的先進(jìn)且自動(dòng)化的黑客工具，包括用于攻擊和探索受害者網(wǎng)絡(luò)的AI和ML工具。對(duì)于CISO們來(lái)說(shuō)，不斷發(fā)展的黑客武器并不是那么容易防御的。

另一個(gè)重要因素是，新冠肺炎疫情推動(dòng)的指數(shù)級(jí)的數(shù)字連接也改變了安全模式。現(xiàn)在，許多員工會(huì)在混合式辦公室和遠(yuǎn)程辦公室中工作。有了更多的攻擊面需要保護(hù)，而對(duì)CISO的可見(jiàn)性和控制措施卻更少了。因此，得出更敏感的數(shù)據(jù)已經(jīng)并將繼續(xù)暴露在黑客面前的結(jié)論是合乎邏輯的。

想要充分保護(hù)是很難的，因?yàn)橥{也在不斷演變。只需要一個(gè)狡猾的網(wǎng)絡(luò)釣魚(yú)，一個(gè)錯(cuò)誤的配置，或者沒(méi)有及時(shí)修補(bǔ)漏洞，就可以為漏洞提供機(jī)會(huì)。最后，許多CISO不得不在有限的預(yù)算和勉強(qiáng)合格的網(wǎng)絡(luò)人員的情況下運(yùn)作。也許他們也對(duì)在這種情況下能夠達(dá)到的安全水平期望較低。

隨著經(jīng)濟(jì)衰退給安全預(yù)算帶來(lái)的更大壓力，CISO們又該如何優(yōu)化資源，并有效的管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?

CISO們必須根據(jù)他們的行業(yè)和規(guī)模制定審慎的風(fēng)險(xiǎn)管理策略，以便能夠更好地優(yōu)化資源。一個(gè)好的風(fēng)險(xiǎn)管理策略將設(shè)計(jì)出一個(gè)漏洞框架，識(shí)別出要保護(hù)的數(shù)字資產(chǎn)和數(shù)據(jù)。一個(gè)好的風(fēng)險(xiǎn)評(píng)估也可以快速的識(shí)別并確定出網(wǎng)絡(luò)漏洞的優(yōu)先級(jí)，以便可以立即部署解決方案，保護(hù)關(guān)鍵資產(chǎn)免受惡意網(wǎng)絡(luò)的攻擊，同時(shí)立即提高整體運(yùn)營(yíng)網(wǎng)絡(luò)的安全。這包括使用新的安全工具(加密、威脅情報(bào)和檢測(cè)、防火墻等)和政策來(lái)保護(hù)和備份企業(yè)系統(tǒng)，例如：財(cái)務(wù)系統(tǒng)、電子郵件交換服務(wù)器、人力資源和采購(gòu)系統(tǒng)等。

在漏洞框架中有一些措施的成本并不高。這些措施包括了要求員工使用強(qiáng)密碼，并要求進(jìn)行多重身份的驗(yàn)證。通過(guò)設(shè)置防火墻，CISO可以制定計(jì)劃來(lái)分割其最敏感的數(shù)據(jù)。加密軟件也在考慮的范圍內(nèi)。云計(jì)算和混合云的使用支持動(dòng)態(tài)策略的實(shí)現(xiàn)、更快的加密、降低成本，并為訪問(wèn)控制提供了更多的透明度(減少來(lái)自內(nèi)部的威脅)。一個(gè)好的云提供商可以以合理的成本提供其中的一些安全控制。云本身并沒(méi)有風(fēng)險(xiǎn)，但CISO和公司需要認(rèn)識(shí)到，他們必須徹底評(píng)估提供商的政策和能力，以保護(hù)其重要數(shù)據(jù)。

如果CISO正在負(fù)責(zé)保護(hù)沒(méi)有深度IT和網(wǎng)絡(luò)安全團(tuán)隊(duì)的中小型企業(yè)，并且對(duì)云成本和管理持謹(jǐn)慎態(tài)度，他們也可以考慮外部管理的安全服務(wù)。

在員工流動(dòng)率高的情況下，企業(yè)如何更好地保護(hù)敏感信息?

這就是零信任策略的本質(zhì)所在。零信任是一組不斷發(fā)展的網(wǎng)絡(luò)安全范式的術(shù)語(yǔ)，這些范例將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到了關(guān)注用戶、資產(chǎn)和資源。企業(yè)需要了解與網(wǎng)絡(luò)、設(shè)備和人員相關(guān)的所有信息。

其中身份訪問(wèn)管理(IAM)是非常重要的。IAM是用于控制誰(shuí)可以訪問(wèn)系統(tǒng)內(nèi)資源的一組技術(shù)和策略的標(biāo)簽。CISO必須確定并知道誰(shuí)可以訪問(wèn)哪些數(shù)據(jù)以及為什么可以訪問(wèn)。如果員工離職，他們需要立即撤銷特權(quán)，并確保沒(méi)有從企業(yè)中刪除任何敏感內(nèi)容。市場(chǎng)上的供應(yīng)商也提供了許多很好的IAM工具。

當(dāng)然，員工流動(dòng)也涉及到了道德和信任因素。員工內(nèi)部威脅很難發(fā)現(xiàn)和管理。其中一些可以在雇傭合同中提前解決，只要員工了解所涉及的法律參數(shù)，他們就不太可能泄露敏感數(shù)據(jù)。

我們看到了CISO的倦怠和對(duì)個(gè)人責(zé)任擔(dān)憂的加劇！是的，CISO的職責(zé)太多，預(yù)算太少，員工太少，無(wú)法運(yùn)營(yíng)和幫助減輕日益增長(zhǎng)的網(wǎng)絡(luò)威脅，這是導(dǎo)致倦怠的直接原因。現(xiàn)在，個(gè)人責(zé)任因素也增加了風(fēng)險(xiǎn)，例如針對(duì)Solar’s Wind首席信息安全官的集體訴訟，以及針對(duì)優(yōu)步CISO隱瞞勒索軟件付款的訴訟。在一個(gè)已經(jīng)缺乏必要網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者和技術(shù)人員的行業(yè)里，CISO不僅需要獲得工具，還需要獲得必要的保護(hù)，以使他們能夠在自己的角色中脫穎而出。否則，倦怠和責(zé)任問(wèn)題將使更多的公司面臨更大的風(fēng)險(xiǎn)。

這些挑戰(zhàn)是如何影響CISO的整體工作效率的，又可以采取什么措施來(lái)應(yīng)對(duì)這些挑戰(zhàn)?

盡管入侵的頻率、復(fù)雜性、致命性和責(zé)任變得越來(lái)越大，但行業(yè)管理層在提高網(wǎng)絡(luò)安全方面幾乎毫無(wú)準(zhǔn)備，且行動(dòng)遲緩。根據(jù)Gartner的一項(xiàng)新的調(diào)查顯示，88%的董事會(huì)將網(wǎng)絡(luò)安全視為商業(yè)風(fēng)險(xiǎn)，而不是技術(shù)風(fēng)險(xiǎn)，而且只有12%的董事會(huì)設(shè)有專門的董事會(huì)級(jí)網(wǎng)絡(luò)安全委員會(huì)。

“是時(shí)候讓IT部門以外的高管承擔(dān)起保護(hù)企業(yè)安全的責(zé)任了，”風(fēng)險(xiǎn)與安全研究主管Paul Proctor說(shuō)。“2021年各地涌入的勒索軟件和供應(yīng)鏈攻擊，其中許多針對(duì)的是關(guān)鍵操作和任務(wù)環(huán)境，是時(shí)候應(yīng)該敲響警鐘了，安全應(yīng)該是一個(gè)業(yè)務(wù)問(wèn)題，而不僅僅是IT要解決的另一個(gè)問(wèn)題?！?/p>

CISO不僅需要在高管層中占有一席之地，還需要擁有類似于其他高管的保險(xiǎn)保障，以限制他們的個(gè)人責(zé)任。因?yàn)闆](méi)有完美的網(wǎng)絡(luò)安全解決方案。在我們岌岌可危的數(shù)字環(huán)境中，任何公司或個(gè)人都可能發(fā)生違規(guī)行為。讓CISO一個(gè)人去做，既不公平，也不合理。類似的，網(wǎng)絡(luò)安全也不應(yīng)再被視為是企業(yè)的成本項(xiàng)目。它已經(jīng)成為了一個(gè)ROI，可以確保運(yùn)營(yíng)的連續(xù)性并保護(hù)聲譽(yù)。對(duì)公司和CISO的薪酬和所需職責(zé)組合的投資都需要成為未來(lái)的優(yōu)先事項(xiàng)。

由于供應(yīng)鏈風(fēng)險(xiǎn)仍然是一個(gè)反復(fù)出現(xiàn)的優(yōu)先事項(xiàng)，CISO如何更好地管理其網(wǎng)絡(luò)安全戰(zhàn)略的這一方面，特別是在預(yù)算有限的情況下?

確保供應(yīng)鏈不被破壞，包括設(shè)計(jì)、制造、生產(chǎn)、分銷、安裝、運(yùn)營(yíng)和維護(hù)要素，對(duì)所有公司來(lái)說(shuō)都是一項(xiàng)挑戰(zhàn)。網(wǎng)絡(luò)攻擊者總是會(huì)尋找最薄弱的切入點(diǎn)，降低第三方的風(fēng)險(xiǎn)對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)是至關(guān)重要的。供應(yīng)鏈網(wǎng)絡(luò)攻擊可能來(lái)自于敵對(duì)國(guó)家、間諜運(yùn)營(yíng)商、罪犯或是黑客活動(dòng)者。

CISO需要了解供應(yīng)鏈中所有供應(yīng)商的可見(jiàn)性，以及既定的政策和監(jiān)控。NIST是美國(guó)商務(wù)部的一個(gè)非監(jiān)管機(jī)構(gòu)，它為供應(yīng)鏈安全提出了一個(gè)建議框架，為政府和行業(yè)提供了健全的指導(dǎo)方針。

NIST的建議如下：

• 識(shí)別、建立和評(píng)估網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理流程，并獲得利益相關(guān)者的同意
• 確定供應(yīng)商和第三方供應(yīng)商合作伙伴，確定其優(yōu)先級(jí)并對(duì)其進(jìn)行評(píng)估
• 與供應(yīng)商和第三方合作伙伴簽訂合同，以實(shí)現(xiàn)企業(yè)的供應(yīng)鏈風(fēng)險(xiǎn)管理目標(biāo)
• 使用審計(jì)、測(cè)試結(jié)果和其他形式的評(píng)估，定期評(píng)估供應(yīng)商和第三方合作伙伴
• 完成相應(yīng)的測(cè)試，以確保供應(yīng)商和第三方供應(yīng)商能夠響應(yīng)并從服務(wù)中斷中恢復(fù)

其他緩解工作則可以通過(guò)獲取監(jiān)測(cè)、警報(bào)和分析供應(yīng)鏈活動(dòng)的新技術(shù)來(lái)完成。AI和ML工具可以幫助實(shí)現(xiàn)可見(jiàn)性和預(yù)測(cè)分析，速記和水印技術(shù)則可以實(shí)現(xiàn)對(duì)產(chǎn)品和軟件的跟蹤。