2022年即将过去。今年以来,新冠疫情发展进入新阶段。许多员工已经返回办公室。许多大型企业因网络攻击或数据泄露而受到严厉处罚,一些安全管理人员甚至因此入狱。2022年,不少企业为了保障数字化转型的稳定发展,增加了安全预算,但他们也意识到,如果安全团队没有合理的网络安全规划和方法,这些安全投资可能会付之东流。回顾过去,总结经验,可以为未来的发展指明方向。为此,安全专业媒体《CSO》网站邀请了多位一线CISO专家,分享了他们在2022年实际工作中的主要感受和经验教训。组织可以从这些经验教训中吸取教训,更好地改进安全实践,加强审计和第三方风险评估审查,确保数字业务安全发展。一、提前防范地缘政治冲突引发的安全隐患。2022年初,东欧地区爆发了激烈的地缘军事冲突。这一事件引发了一些民族主义者和犯罪组织的介入,并严重影响了许多商业组织。谷歌云CISO办公室主任TaylorLehmann表示,不要等到拥有强大进攻性网络安全团队的国家之间已经存在激烈的地缘政治冲突时,再评估一个组织的安全态势是否能够合理抵御这些威胁和攻击。企业和政府机构通常需要数年时间才能弥补这些评估中发现的差距并实施建议的控制措施。对网络安全采取完全被动的方法实际上会使企业的竞争力、财务健康和市场增长面临风险,因此及早提出问题大有帮助。2、安全意识淡薄后果更严重。勒索软件攻击将在2022年迅速增加,NVIDIA、丰田、Optus和Medibank等大型企业组织都将在2022年成为受害者。GuidePointSecurity的CISOGaryBrickhouse表示,员工安全意识教育和培训应该是任何组织的基础。组织的安全防御策略,因为威胁行为者越来越多地使用网络钓鱼和其他社会工程来发起攻击。不过,现在我们看到了积极的举措,因为董事会和管理层看到了这些攻击对业务运营的影响,并开始采取行动提高员工的安全意识。3、更加密切地跟踪开源软件2021年底爆发的Log4j漏洞危机的影响将持续几乎整个2022年,涉及超过10000家企业和组织,甚至会继续成为企业的隐患。未来很长一段时间。ThriveCISOChipGibbons表示,Log4j漏洞为业内许多人敲响了警钟。许多组织只关注面向Internet的应用程序,但不知道其中实际使用了哪些开源组件。虽然Log4j问题会造成混乱,但它们也提供了学习的机会。SumoLogic的CSO兼高级副总裁GeorgeGerchow说,这使我们能够改进事件响应和资产跟踪。许多公司开始投入更多精力来跟踪开源软件,因为企业发现他们使用的软件不能盲目信任。4.识别应用程序代码中的漏洞组织还应该更加关注识别应用程序代码中的漏洞,这绝非易事。漏洞管理工具有助于识别操作系统应用程序中发现的漏洞并确定其优先级。一个好的应用程序安全程序应该是软件开发生命周期的一部分。从软件项目开始就编写安全代码并预先管理漏洞可以大大有助于保护企业应用程序。数字开发中的一切都是通过代码实现的。所有软件、应用程序、防火墙、网络和策略都需要代码支持。由于代码经常迭代,因此必须不断识别漏洞。5.需加大力度防范供应链攻击供应链攻击是2022年网络安全问题的主因,2023年防范这些威胁还有很长的路要走。软件物料清单(SBOM)是一种新的软件供应链安全框架和技术。市场上也有很多管理信息集成的工具,例如软件组件供应链级(SLSA)、漏洞利用交换(VEX)等。这些都增加了供应链安全管理的复杂性,也增加了企业面临的难度。此外,企业还应该考虑:如果硬件供应链被破坏,我们将受到怎样的影响;我们现在有什么能力,或者说需要准备什么能力来考虑那些硬件计算平台的可信度。6.零信任安全成为核心概念零信任倡议的重点不仅仅是部署技术来管理身份或网络。零信任是一种在数字交易中消除隐性信任并建立显性信任的概念。此过程需要考虑身份、端点、网络、应用程序工作负载和数据。企业必须为每个产品或服务分配数字身份,并进行有效的验证和管理。企业网络系统应分类隔离。通过零信任的建设,企业将能够有效面对诸多未知威胁带来的安全隐患。七、网络保险需求持续增长。由于没有绝对的安全保障,网络保险近年来受到不少企业的欢迎,但保费也相应上涨。此外,企业和组织在购买保险时,会受到保险公司更严格的安全审查,以识别风险所在。这个流程比过去严格很多,增加了企业购买网络责任险的时间和精力。组织应该像对待审计一样对待这个过程——提前准备,详细记录安全计划和控制,并为验证做好准备。8.安全测试的左移方法已经过时ReversingLabs的首席信息安全官MattRose表示,仅在左侧(即更早的位置)寻找风险是不够的。虽然通过早期测试改进产品的概念很聪明,但开发人员只是综合应用程序安全计划的一部分。DevOps流程的所有阶段都存在风险,因此工具和调查必须在流程的所有阶段进行转换,而不仅仅是早期。如果组织只关注发现早期的安全问题,他们只会发现早期的安全风险。更好的方法是提高整个DevOps生态系统的安全性,包括构建系统和可部署工件本身。供应链风险和安全变得越来越重要,如果只关注左侧,将无法全面识别风险。9.你无法使用错误的工具解决网络安全问题Halborn的联合创始人兼首席信息安全官StevenWalbroehl说锤子是用来钉钉子的,而不是用来拧螺丝的。2022年,我们要吸取的一个教训是,企业不可能通过构建一套安全解决方案来解决所有资产或资源的网络安全问题。因此,CISO们需要观察其中的细微差别,为他们想要解决的各种网络安全问题找到合适的工具和方法。10.帮助CISO了解完整的应用架构。信息技术的发展每年都变得越来越复杂。组织必须了解整个应用系统的整体生态,以避免出现重大安全漏洞。到2022年,我们看到开源包、API、自主代码、第三方开发代码和微服务的使用将继续快速增长,所有这些都与现代应用程序变得更加流畅的极其流畅的云原生开发实践密切相关。并且更复杂。如果企业不知道要寻找什么类型的风险,那么安全就无从谈起。现代开发实践侧重于细分责任,因此没有人可以完全控制应用程序的每个方面。CISO需要更多帮助来理解完整的应用程序架构。11、保安工作需要毅力。网络安全不可能一蹴而就。信息技术的应用是动态变化的。因此,安全防护技术也应该是一项持续性的工作,这就需要一套风险管理的方法。组织需要确定关键业务流程和资产,然后确定他们可以接受的安全暴露级别。一个好的方法是优先将安全风险降低到业务人员愿意接受的水平,并以此来制定安全建设工作和流程计划。12、关注网络安全法规的更新和变化NCC集团CISOLawrenceMunro表示,我们看到相关政府机构不断通过立法干预网络安全。美国、英国和欧盟都加强了立法,以更有效地防范网络事件。因此,组织需要密切关注数据隐私和安全保护法规不断变化和完善的事实。CISO需要了解数据驻留、数据主权和数据本地化之间的区别,并让组织做好准备以满足这三个方面的要求。这是企业数字化发展中至关重要的合规要求,未来只会越来越多。更严格。参考链接:https://img.ydisp.cn/news/20221213/mtuies4kgwm
