2022年,在日趨實(shí)戰(zhàn)化、高動態(tài)、高強(qiáng)度對抗的網(wǎng)絡(luò)安全環(huán)境中,網(wǎng)絡(luò)安全廠商和企業(yè)用戶都在重新思考和評估新的安全技術(shù)、安全戰(zhàn)術(shù)和安全策略。
2023年,將是企業(yè)數(shù)字化發(fā)展的關(guān)鍵年,隨著企業(yè)面臨越來越大的發(fā)展壓力,唯有優(yōu)化網(wǎng)絡(luò)安全建設(shè)與運(yùn)營工作,才能更好地適應(yīng)宏觀經(jīng)濟(jì)形勢挑戰(zhàn),實(shí)現(xiàn)預(yù)期增長目標(biāo)。日前,IT領(lǐng)域?qū)I(yè)媒體VentureBeat采訪了多家知名科技公司的CISO,就2023年企業(yè)網(wǎng)絡(luò)安全威脅發(fā)展態(tài)勢和重點(diǎn)工作進(jìn)行了展望和預(yù)測。
對短期的安全態(tài)勢保持悲觀
—— Phil Venables | 谷歌云 CISO
2023年,如何保護(hù)國家技術(shù)基礎(chǔ)設(shè)施免受惡意攻擊將受到主管機(jī)構(gòu)的更多關(guān)注,因此我們預(yù)計(jì),將會有更多的安全防護(hù)政策頒布實(shí)施。
作為業(yè)務(wù)覆蓋全球的科技巨頭企業(yè),Google的安全管理部門將會和有關(guān)政府機(jī)構(gòu)進(jìn)行更深層次的協(xié)調(diào)與溝通,有效落實(shí)政府部門對于大型科技企業(yè)的保護(hù)性安全機(jī)制要求。在此背景下,公共部門和私營組織需要進(jìn)一步加強(qiáng)知識共享,提高透明度,并增強(qiáng)防護(hù)新型威脅攻擊的能力。
2023年,由于惡意攻擊引發(fā)的威脅形勢可能會變得更糟糕,這需要在技術(shù)基礎(chǔ)設(shè)施方面相應(yīng)的增加投入。惡意網(wǎng)絡(luò)攻擊在2023年只會有增無減。盡管我們對長期的網(wǎng)絡(luò)安全建設(shè)發(fā)展抱以樂觀,但對短期的態(tài)勢卻需要保持悲觀預(yù)期。受到宏觀經(jīng)濟(jì)態(tài)勢的影響,可能很多企業(yè)組織在明年的安全建設(shè)投入會更謹(jǐn)慎,這對遏制越來越多的網(wǎng)絡(luò)威脅將是一個(gè)難題。
打造積極的安全文化
—— CJ Moses | AWS CISO
AWS在構(gòu)建安全服務(wù)時(shí)一貫會高度重視客戶的應(yīng)用體驗(yàn),我們認(rèn)為,安全建設(shè)不只是使用最好的安全工具,更需要打造積極的安全文化。展望2023年,AWS安全團(tuán)隊(duì)將繼續(xù)為組織和用戶提供創(chuàng)新的網(wǎng)絡(luò)安全服務(wù),以解決業(yè)務(wù)健康發(fā)展問題,同時(shí)幫助客戶確立安全第一的數(shù)字化發(fā)展觀念。
為此,我們需要向所有人普及安全意識,同時(shí)吸引背景各異的一流網(wǎng)絡(luò)人才,通過導(dǎo)師輔助、實(shí)習(xí)生計(jì)劃和認(rèn)證機(jī)會來培養(yǎng)更多的網(wǎng)絡(luò)安全人才,進(jìn)一步提高安全防護(hù)的自動化程度,并致力于建設(shè)充滿活力的網(wǎng)絡(luò)安全員工隊(duì)伍。
應(yīng)著眼更長遠(yuǎn)的未來
—— Bret Arsenault | 微軟 CISO
網(wǎng)絡(luò)安全建設(shè)是一個(gè)持續(xù)的、系統(tǒng)性的工作,因此作為安全專業(yè)人員,如果僅僅關(guān)注和預(yù)測2023年的威脅挑戰(zhàn)是不夠的,我們需要展望未來5年到10年的發(fā)展態(tài)勢,為新型安全威脅出現(xiàn)做好準(zhǔn)備。如果安全建設(shè)長期處于被動追趕和已發(fā)生的事件處置,那么只會更容易受到攻擊。
在微軟之前的發(fā)展預(yù)測中,我們認(rèn)為云時(shí)代會很快到來,傳統(tǒng)密碼技術(shù)將面臨挑戰(zhàn),因此我們提前做好了計(jì)劃和準(zhǔn)備?,F(xiàn)在,我們認(rèn)為目前廣泛應(yīng)用的MFA可能變得不再安全,企業(yè)組織需要盡快做好應(yīng)對計(jì)劃和準(zhǔn)備,企業(yè)的安全管理者需要站在攻擊者的角度去思考。
攻擊面管理將更加復(fù)雜
—— Koos Lodewijkx | IBM CISO
2023年將至,我們的團(tuán)隊(duì)正在積極致力于適應(yīng)不斷變化的威脅環(huán)境,我們看到勒索軟件攻擊和針對關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊正在成倍增長,這種趨勢在短期內(nèi)不會改變。同時(shí),隨著企業(yè)組織的網(wǎng)絡(luò)攻擊面變得更復(fù)雜、更分散,做好攻擊面管理工作變得更重要。關(guān)注并加強(qiáng)攻擊面管理以發(fā)現(xiàn)和修復(fù)高優(yōu)先級漏洞,并及時(shí)進(jìn)行企業(yè)環(huán)境中的威脅檢測和響應(yīng),這樣可以搶在攻擊者得逞之前迅速發(fā)現(xiàn)和阻止對方。
展望2023年,我們會迎來更多非常新穎的人工智能技術(shù)創(chuàng)新應(yīng)用,這些創(chuàng)新在網(wǎng)絡(luò)防御領(lǐng)域有很大潛力。我們正在與IBM研究部門、IBM安全產(chǎn)品部門的同事密切合作,探索網(wǎng)絡(luò)安全領(lǐng)域中全新的人工智能應(yīng)用場景。
繼續(xù)做好安全的基本面
—— Kevin Cross | Dell CISO
展望2023年,我和戴爾公司安全團(tuán)隊(duì)的首要任務(wù)并不是關(guān)注當(dāng)下的最新安全技術(shù)應(yīng)用趨勢,而是會繼續(xù)做好公司內(nèi)部的網(wǎng)絡(luò)安全基本功。我們必須做好安全防護(hù)的基本面,因?yàn)橥{分子善于利用并不復(fù)雜的安全弱點(diǎn)發(fā)起攻擊。
如果基本面沒做到位,安全防護(hù)也將無從談起。我們會首先確保基礎(chǔ)性的攔截和應(yīng)對機(jī)制能夠充分發(fā)揮功效,以便在應(yīng)對層出不窮的威脅時(shí)保持從容狀態(tài)。
網(wǎng)絡(luò)安全人才匱乏阻礙了許多公司做好安全基本面。如今,沒有多少員工擁有防護(hù)、檢測和應(yīng)對網(wǎng)絡(luò)威脅的專業(yè)安全技能。因此,我們將注重提升安全團(tuán)隊(duì)的專業(yè)能力培養(yǎng),提供持續(xù)培訓(xùn)和教育,同時(shí)支持他們的職業(yè)道路和興趣愛好。
倡導(dǎo)開放式的安全建設(shè)
—— Mandy Andress | Elastic CISO
網(wǎng)絡(luò)安全并不只是技術(shù)性的工作。2023年,網(wǎng)絡(luò)安全團(tuán)隊(duì)的一種重要工作就是要更好地了解組織在技術(shù)層面和人員層面協(xié)同配合方面的薄弱環(huán)節(jié)。因?yàn)椋?dāng)前的惡意攻擊者越來越多的利用這些弱點(diǎn)來開展攻擊。事實(shí)再三證明,人是安全鏈條中最薄弱的一環(huán),企業(yè)應(yīng)重視對IT專業(yè)人員進(jìn)行適當(dāng)?shù)呐嘤?xùn),同時(shí)為他們配備合適的系統(tǒng)以實(shí)現(xiàn)流程自動化。
為了克服那些在技術(shù)層面難以解決的問題,企業(yè)組織需要進(jìn)一步倡導(dǎo)開放式的安全建設(shè),讓安全從業(yè)人員能夠查看應(yīng)用系統(tǒng)的底層代碼,并了解其在實(shí)際工作環(huán)境中的工作狀態(tài)。這將幫助安全團(tuán)隊(duì)識別潛在盲點(diǎn),并堵住安全技術(shù)架構(gòu)的缺口,同時(shí)更好的剖析安全威脅風(fēng)險(xiǎn)。
由于新冠疫情和遠(yuǎn)程工作環(huán)境等因素影響,企業(yè)員工需要使用新技術(shù)來實(shí)現(xiàn)數(shù)字化的辦公方式,但他們的安全意識卻可能滯后,這就需要進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全意識培養(yǎng),并在公司中構(gòu)建網(wǎng)絡(luò)安全文化。
提前做好網(wǎng)絡(luò)安全預(yù)防措施
—— John McClurg | BlackBerry CISO
根據(jù)美國政府頒布的14028號行政令,為政府部門提供軟件的公司首先要考慮的是編制軟件材料清單(SBOM),因?yàn)獒槍浖?yīng)鏈的攻擊通常是從訪問最薄弱的環(huán)節(jié)開始的。在2023年,新的安全軟件開發(fā)實(shí)踐將會不斷涌現(xiàn),如何確保各種類型的企業(yè)組織遵循這些實(shí)踐很重要。
2023年,我們還將致力于克服網(wǎng)絡(luò)安全建設(shè)中普遍存在的專業(yè)技能短缺問題。面對人才儲備告急的形勢,提前采取網(wǎng)絡(luò)安全預(yù)防措施將成為企業(yè)防范惡意攻擊的有效手段之一,這樣在面對突發(fā)性的安全事件時(shí),不會因?yàn)橐痪€安全員工數(shù)量不足導(dǎo)致慌亂和失誤。
簡化安全運(yùn)營流程和人工操作
—— Jason Clark | Netskope CISO
隨著網(wǎng)絡(luò)威脅的發(fā)展以及企業(yè)數(shù)字化轉(zhuǎn)型的深入,現(xiàn)代企業(yè)的網(wǎng)絡(luò)安全運(yùn)營工作正變得無比復(fù)雜,超過了很多企業(yè)安全團(tuán)隊(duì)的實(shí)際承受能力。在2023年,通過應(yīng)用自動化技術(shù),簡化安全運(yùn)營中的人工操作將幾乎是所有CISO及其團(tuán)隊(duì)的工作重心。在此過程中,我們會優(yōu)先評估以下方面因素:
安全建設(shè)的頭號敵人是復(fù)雜性,因此在策略設(shè)計(jì)時(shí)就要關(guān)注并考慮運(yùn)營流程的簡化性;
組織在實(shí)施安全控制措施的時(shí)候,應(yīng)該同時(shí)考慮其給帶來安全運(yùn)營帶來的阻力;
重新梳理安全流程,擯棄那些并不必要的安全控制措施。
保障安全控制措施的覆蓋面和有效性
—— Brian Spanswick | Cohesity CISO
2023年,我們的工作重心將側(cè)重于提升主要安全控制措施的覆蓋面和有效性。最近幾起影響重大的安全事件表明,攻擊者只需要利用安全環(huán)境中的基本漏洞,就可以訪問關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)。我們同時(shí)將繼續(xù)致力于為所有員工提供安全意識培訓(xùn)和社會工程攻擊方面的教育,通過加強(qiáng)安全意識來形成和保持減小威脅暴露面所需的“肌肉記憶”。
我們另一個(gè)重心是繼續(xù)關(guān)注憑據(jù)管理,這包括加強(qiáng)基于角色的訪問控制、最低權(quán)限訪問和適當(dāng)?shù)拿艽a管理。這個(gè)方面需要不斷加強(qiáng)管理,才能確保環(huán)境變化后,憑據(jù)管理依然保持在預(yù)期的應(yīng)用水平。
加強(qiáng)軟件供應(yīng)鏈安全建設(shè)
—— Niall Browne | Palo Alto Networks CISO
在過去幾年中,企業(yè)組織的數(shù)字化轉(zhuǎn)型快速發(fā)展,數(shù)字化程度大大提高,這讓軟件供應(yīng)鏈安全防護(hù)受到廣泛的關(guān)注。Log4j漏洞攻擊已經(jīng)表明了這類攻擊的危害性,一個(gè)脆弱的代碼庫就能影響成數(shù)千家公司。而這類攻擊不會銷聲匿跡,并會在今后幾年急劇增多。
2023年,我們不僅要確保自身的軟件應(yīng)用系統(tǒng)安全可靠,還要確保合作伙伴的軟件供應(yīng)鏈也很安全。企業(yè)CISO的當(dāng)務(wù)之急是,為組織使用的所有代碼庫、應(yīng)用程序和第三方應(yīng)用提供安全防護(hù)。
文章來源:安全牛