2023年CISO应优先完成的10项重点工作提出了更高要求。网络安全建设不再只是企业运营成本,而是未来数字化转型发展的基础。因此,CISO和安全团队需要认真思考如何适应这种不断变化的发展趋势。为帮助企业CISO更高效地开展2023年网络安全规划建设,网络安全专家给出了以下重点工作建议。1.“提前为勒索软件攻击做好准备”——Jobber安全总监BrianMasson2023年,组织将看到更多的勒索软件攻击,因此安全主管需要提前做好准备。身份与访问管理(IAM)一直是企业网络安全建设中的薄弱环节。糟糕的密码做法、缺乏多因素身份验证(MFA)以及许多其他不完善的网络安全状况不太可能在企业中长期发生根本性改变。与此同时,我们还将看到政府支持的攻击的影响越来越大。在此形势下,企业组织应尽快加强关键基础设施的安全防护,提前发现勒索软件攻击对组织数字化业务发展可能造成的影响,并通过安全演练等活动做好应对勒索软件攻击的准备。2.“使用EDR技术重建端点安全”-NTTDATA安全服务副总裁SushilaNair勒索软件攻击是对企业数字业务安全的主要威胁,并将加剧。勒索软件的大部分初始感染途径都是通过端点,因此组织需要加强端点安全以减少攻击面。到2023年,组织应将重点放在使用复杂的端点检测和响应(EDR)重建端点安全功能上。此外,企业组织应更加重视单点登录与MFA保护的结合,更加谨慎地使用免费版SaaS应用程序或无法与单点登录集成的应用系统。3.“让企业安全协作更广泛”——KaylaWilliams,DevoCISO现在的企业对于谁负责网络安全工作存在很多误解。如果没有企业管理层和各业务部门的支持,CISO和安全团队制定的安全策略不能得到有效实施。因此,为确保数字化转型的安全实施,企业各部门均应参与并配合安全团队的安全建议和防护管控措施的实施。企业数字化发展存在大量安全漏洞的主要原因是安全团队的规划与实际实施脱节。2023年,各企业要努力解决这个问题,让各部门更加重视网络安全工作,更好地配合IT部门和安全运营团队。4、“向零信任架构的过渡将更加重要”——Veeam首席技术官DannyAllan2023年企业网络安全建设的根本任务是以多种有效方式应对新型网络攻击威胁,作为验证访问和改进的手段作为一种安全手段,零信任架构将变得越来越重要,并将获得更多的项目预算。但是,企业向零信任架构的转型需要周密的规划,现有的系统和零信任环境需要时间来适应并存。目前,零信任技术仍在快速增长,持续了解零信任技术和解决方案的发展对于长期投资保护非常重要。5、“让网络安全建设实践更加透明”——物先科技产品营销副总裁TonyLiau消费者越来越意识到数据隐私保护的重要性,因此在2023年,企业与客户互动和沟通的方式将受到制约改变。组织需要更加透明地了解他们如何与消费者沟通,而不是试图淡化或隐瞒安全事件。企业需要及时确认问题并披露有关安全事件的更多详细信息,这样他们才能展示他们正在采取哪些措施来缓解问题并防止其再次发生。客户欣赏这种坦率,并更加信任对其网络安全实践公开透明的公司。6.“生成式AI被更广泛地采用”-Info-TechResearchGroup首席研究员FritzJean-Louis2023年,业务运营部门需要更加了解网络安全威胁环境并招聘经验丰富的网络专家。这将使CISO能够在持续数字化转型的时代跟上竞争对手的步伐。生成式人工智能技术将在新一代安全工具中得到更广泛的应用。该技术基于卷积神经网络,有助于检测关键的网络异常、风险和模式。随着软件供应链攻击越来越集中于利用零日漏洞,企业在数字化业务发展中实现持续安全运营势在必行。7.“将安全策略作为代码纳入构建实践”——GauravRishi,Veeam产品与合作伙伴副总裁随着容器化应用系统开发模式成为主流,新的网络攻击向量和强度也将随之发生变化。这会让Kubernetes原生的数据保护工具变得更加重要,保证系统数据安全仍然是最后一道防线。企业不仅要重视系统本身的使用安全和基础代码库的保护,还要在系统使用过程中加强身份管理和数据应用加密。在DevSecOps环境下,企业应尽快将安全策略以代码的形式融入到流程中,多一层保护,确保安全实践能够在各种异构环境中统一实施。8.“通过增强网络弹性降低风险”——EranKinsbruner,PerfectobyPerforce首席营销官移动设备在现代办公室已经触手可及,存储了大量个人和敏感数据,很容易成为恶意攻击的目标攻击。到2023年,企业必须高度重视网络安全弹性和减轻潜在风险的战略。为此,团队可以引入“安全左移”保护方式,在应用开发阶段识别安全漏洞和风险代码。当然,最理想的状态是在应用系统的整个生命周期中持续、敏捷地集成测试参数和检查点,而不是局限于“安全左移”。因此,合格的安全团队应该在CI/CD流水线中引入安全分析能力,包括静态代码和动态分析活动,并使用功能测试和模拟服务进行验证。9.《加强物联网应用的合规性》——DanBerte,物联网安全负责人,Bitdefender物联网漏洞将继续存在,并将在2023年继续困扰企业物联网应用。一个重要原因是物联网解决方案提供商对漏洞的反应迟缓和安全研究人员披露的补丁。随着《欧盟网络弹性法案》等新规的出台,预计这方面的情况会有所改善。这些规定将对物联网产品的销售和应用提出强制性网络安全要求,明确处罚措施和要求。尽管相关法律最终生效还需要数年时间,但企业应提前做好准备。10、“不断加强企业员工的安全培训”——MarkGuntrip,MenloSecurity网络安全战略高级总监目前,没有迹象表明网络犯罪分子会放慢攻击步伐。因此,在2023年的网络安全威胁形势下,没有任何组织的信息应用系统是绝对安全的,人是安全领域最薄弱的环节。研究数据表明,忽视组织安全建议的员工是企业安全决策管理者最担心的脆弱因素。随着网络攻击者变得越来越老练,我们不断看到绕过典型安全架构的新技术,例如高度规避自适应威胁(HEAT)攻击。只有全面提高每个员工的安全意识和责任感,才能尽可能减少企业遭受恶意攻击的次数。参考链接:https://img.ydisp.cn/news/20221128/lkjj1nlzabs
