CISO在2022年的课程中吸取的14条经验教训以及如何将它们应用到未来。动荡的2022年即将结束,埃隆·马斯克买下推特,俄罗斯和乌克兰发生冲突,许多员工回到办公室。还看到一些安全主管因隐瞒数据泄露而被判入狱。这些事件以及更多事件已经改变了商业格局,迫使CISO在不确定的领域中前行。Trustwave首席信息官KoryDaniels表示:“随着网络安全格局的变化,2022年是具有里程碑意义的一年,因为我们回顾历史,研究网络安全和数字信任何时以及为何融合。”2022年,许多企业增加了安全预算。尽管如此,Daniels补充说,他们也意识到,如果安全团队没有真正展示他们如何帮助保护企业,那么即使获得投资也可能不会变得更好。每个人都有自己的方式来分析这一年并反思所发生的事情,此举可以为未来提供宝贵的知识,因此值得看看CISO在今年吸取的一些教训。Veracode首席信息安全官SohailIqbal表示:“如果组织不吸取这些教训并改进他们的安全实践,我们将看到审计和第三方风险评估方面的审查越来越严格,这可能会对他们的业务产生财务影响,声誉、运营,甚至合规性。”1.不要等地缘政治冲突提升安全态势指南旨在帮助他们改善安全态势,包括美国网络安全和基础设施安全局(CISA)的“盾牌”网络安全警报和英国网络安全局的技术保证。国家网络安全中心(NCSC)。“这场冲突促使许多企业询问他们的网络安全弹性准备情况,以阻止这些威胁行为者或击败网络攻击,”丹尼尔斯说。这些问题在多年前就被问到了。“不要等到拥有强大进攻性网络安全团队的国家之间存在全球冲突,以评估其安全态势是否能够合理抵御网络威胁和攻击,”谷歌云平台首席信息安全官办公室主任泰勒莱曼说。“它经常企业和机构需要数年时间才能弥补这些评估中发现的差距并实施建议的控制措施,因此它早点提问是有好处的。Lehmann补充说:“我们需要承认,保护企业免受高级安全威胁需要一些时间(有时是几十年)和努力。”据美国国家安全局(ENISA)称,勒索软件团伙将在2022年增加或重组,网络威胁团体展示出“供应链攻击和针对托管服务提供商的攻击能力不断增强”。此外,“黑客即服务”的商业模式也持续受到关注。美国网络安全服务提供商CriticalInsight的首席信息官MikeHamilton表示:“现在每个人都可以成为网络犯罪分子,而且不需要太多的技能。犯罪团伙采用即服务的商业模式已经降低了进入门槛,这反映在他们收到的诱饵信息的数量和性质上。”例如,C2aaS平台DarkUtilities的高级访问费用仅为9.99欧元。该平台提供多种服务,包括远程系统访问、DDoS功能和加密货币挖掘。3.没有接受安全培训的员工可能使企业损失数百万美元。勒索软件攻击的数量将增加2022年,企业和政府机构成为首要目标,英伟达、丰田、SpiceJet、Optus、Medibank等公司,以及意大利巴勒莫市、哥斯达黎加、阿根廷和多米尼加共和国的政府机构都成为受害者2022年,经济和政治勒索的一年软件组织之间的界限继续模糊。GuidePointSecurity首席信息官GaryBrickhouse表示,任何企业防御策略的一个关键部分都应该是对员工的安全意识培训,因为员工仍然成为网络钓鱼和其他社会工程威胁参与者的目标。在一个积极的开发中然而,今年以来,公司董事会成员和高管开始更加关注勒索软件,因为他们看到了这些网络攻击可能产生的运营影响。4.政府更加积极地执行网络安全立法。美国、英国和欧盟加强了网络安全立法,以更好地保护自己免受网络事件的影响。NCC集团首席信息技术官劳伦斯·蒙罗(LawrenceMunro)表示:“正在识别主要风险,我们看到立法干预的持续趋势。”在美国,联邦和州一级的安全态势都发生了变化。政府机构现在需要实施安全培训并遵循安全政策、标准和实践。他们还需要报告安全事件并制定响应计划。蒙罗补充说,他的观点已经改变,人们应该积极主动地为即将到来的监管做准备。他说:“我制定了一个策略来监控这一点,我将进一步开发自动化元素,以确保提前准备好任何变化。”企业需要注意数据隐私和安全规则不断发展的事实。“了解企业之间的差异并使他们能够满足数据驻留、数据主权和数据本地化要求是当今的一项关键业务任务,而且复杂性将继续增加,”Lehmann说。5.企业应更好地跟踪开源软件2021年底出现的Log4j危机将持续到2022年,影响全球各行各业数以万计的企业和组织。根据最近的CISA调查报告,涉及远程代码执行的漏洞将在未来继续构成“重大风险”,因为它将在系统中保留很长时间。“Log4j漏洞为业内许多人敲响了警钟,”Thrive首席信息安全官ChipGibbons说。这个安全问题造成了混乱,但也提供了一个学习机会。SumoLogic首席技术官兼高级副总裁GeorgeGerchow表示,“Log4j是诅咒也是祝福,它使我们能够在事件响应和资产跟踪方面做得更好。”当他们发现对他们使用的软件的来源和质量进行未经验证的信任所造成的损害时,他们努力跟踪开源软件。6.加大漏洞识别力度企业还应加大对开源和闭源软件漏洞的识别力度。然而,这并非易事,因为每年都会发现数以千计的漏洞。漏洞管理工具可以帮助识别操作系统应用程序中发现的漏洞并确定其优先级。“我们需要了解第一方代码中的漏洞,并拥有一份漏洞清单和适当的措施来管理第三方代码中的风险,”Iqbal说。Iqbal认为一个好的AppSec程序应该是软件开发生命周期的一部分。Iqbal说:“如果从一开始就编写安全代码并预先管理漏洞,那么保护企业的信息安全将非常重要。不要忘记,一切都是代码。企业软件、应用程序、防火墙、网络和策略都是代码,而且由于代码经常变化,所以必须不断地识别漏洞。”7、企业需采取更多措施防范供应链攻击供应链攻击一直是2022年网络安全问题的主因,一些网络安全事件已经成为头条新闻,包括针对Okra、GitHubOAuth令牌和AccessPress的黑客攻击。到2023年,防范这些威胁仍将是一个复杂的过程。“我认为供应链风险领域的快速发展让许多企业感到困惑,”Munro说。“我们看到大量资金涌入技术以解决问题,但人们对这些解决方案如何适应现有生态系统缺乏了解。”Munro表示该公司表示,软件物料清单(SBOM)带来了新的框架和技术。“拥有管理信息聚合的工具、软件工件供应链级别(SLSA)等补充框架和漏洞利用交换(VEX)等技术标准,”Munro说。Lehmann补充说:“我们还应该考虑如果硬件供应链受到损害会产生什么影响,以及我们现在拥有什么能力。”8.零信任应该是一个核心概念。零信任计划不仅是部署用于管理身份或网络的技术。Iqbal说:“这是一种纪律和文化,在进行数字交易时消除隐含的信任并用明显的信任取而代之。”“这是一个同步过程,需要跨越身份、端点设备、网络、应用程序工作负载和数据。Iqbal补充说,每个产品和服务都应支持单点登录(SSO)/多因素身份验证(MFA),企业和非生产网络应与生产环境隔离。他补充说:“通过关联多个信号并使用行为分析进行身份验证、访问和授权来验证端点的最新安全态势也很重要。”9.近年来,对网络责任保险的需求可能会继续增加。保险成为必需品,但保险费用也增加了。此外,企业在识别风险领域时面临着保险公司越来越严格的审查。“这个过程比过去更加严格,增加了获得网络责任保险的时间和精力,”布里克豪斯说。“企业应将此过程视为审计——提前做好准备并记录其安全计划和控制措施。”,并准备好进行验证。”10.软件测试的“左移”方法已经过时ReversingLabs的CIOMattRose表示,仅仅将风险“左移”是不够的,尽管在早期阶段进行测试以改进产品概念是有道理的,但开发人员只是综合应用程序安全计划的一部分。“DevOps流程的所有阶段都存在风险,因此工具和调查必须在流程的各个阶段进行转移,而不仅仅是离开,”他说.Rose说,更好的方法是提高DevOps生态系统的安全性,这包括构建系统和可部署工件本身。他补充说:“供应链风险和安全性变得更加强调,我认为这不是如果你只是向左移动,就有可能发现这些风险。11.对错误的资产使用错误的工具并不能解决问题Halborn的联合创始人兼首席信息官StevenWalbroehl说,“锤子是用来钉钉子的,而不是用来拧螺丝的,所以要使用正确的工具。.CISO需要看到细微差别,以便为他们想要解决的问题找到合适的工具。“2022年的一个教训是,开发人员和企业不应试图将安全性普遍化,并将其视为一刀切——所有资产或资源的所有解决方案。针对需要保护的特定技术的网络安全解决方案或服务。”12.企业需要了解其完整的应用程序架构技术世界的复杂性逐年增加,企业必须了解其整个应用程序生态系统以避免重大安全漏洞。“随着开源包、API、内部开发的代码、第三方开发的代码和微服务的大量涌现,应用程序变得越来越复杂,所有这些都与非常灵活的云原生开发实践紧密结合,”Rose说。如果你不知道要寻找什么类型的风险,你怎么找到它?”Rose说,现代开发实践关注的是越来越小的责任块,因此没有人能够完全处理应用程序的每个方面。13.安全应该是一项持续的努力科技行业以外的许多公司认为网络安全是一次性的措施和活动,需要完成一次然后确保安全。但是,技术是动态的,因此保护它应该是一项持续的努力,需要一种风险管理方法。Walbroehl说:“公司不应试图将网络安全视为成败攸关的目标。”他建议公司确定关键流程和资产。资产或流程。他补充说,一个好主意是优先考虑将风险降低到这一水平所需的解决方案或流程。14.制定计划2023年CISO可能会筋疲力尽。同样,他们将面临各方面的挑战nts:俄乌冲突还会继续,一些国家可能会出现经济衰退,科技会继续发展进步。这就是为什么他们需要为事件的展开方式制定计划。“现在就做好准备总比一时冲动好,”吉本斯说。Trustwave的丹尼尔斯对此表示赞同。“我们今年吸取的最重要的教训之一是,对网络安全采取严格的反应方法实际上可能会减缓或危及企业的竞争力、财务健康和市场增长。主动、甚至可预测的网络安全运营,并制定有效的计划将安全嵌入到业务中,正成为安全领导者的当务之急。”
