安全主管紛紛表示，由于近期公司IT環(huán)境和業(yè)務(wù)環(huán)境的轉(zhuǎn)變、威脅形勢的發(fā)展變化和新興風(fēng)險(xiǎn)的涌現(xiàn)，自身工作重點(diǎn)也隨之做出調(diào)整，反映出相應(yīng)的安全需求。

安全主管正在推進(jìn)面向2022年的整體策略，列出支持企業(yè)彈性的各項(xiàng)重點(diǎn)工作。

為編撰年度《安全重點(diǎn)研究》，網(wǎng)絡(luò)安全媒體CSO對(duì)多位首席信息安全官(CISO)進(jìn)行了問卷調(diào)查。調(diào)查結(jié)果表明，CISO計(jì)劃在未來幾個(gè)月采取一些舉措，但不會(huì)專注于加強(qiáng)任何單個(gè)工具，也不會(huì)依賴任何單一方法。

[[442249]]

相反，他們的工作重點(diǎn)反映出安全職能的演變，如今的安全職能必須是相互依賴的策略、流程和技術(shù)能力的集合，這些策略、程序和技術(shù)能力共同應(yīng)對(duì)CISO所在企業(yè)面臨的特定風(fēng)險(xiǎn)和威脅。

此外，受訪CISO表示，由于近期公司IT環(huán)境和業(yè)務(wù)環(huán)境的轉(zhuǎn)變、威脅形勢的發(fā)展變化和新興風(fēng)險(xiǎn)的涌現(xiàn)，自身工作重點(diǎn)也隨之做出調(diào)整，反映出相應(yīng)的安全需求。

簡而言之，CISO認(rèn)為自己2022年的首要任務(wù)是跟上步伐，變得更好。

威脅形勢的變化推動(dòng)工作重點(diǎn)轉(zhuǎn)變

上云要求凸顯。IT正將應(yīng)用與數(shù)據(jù)層解耦。首席信息官(CIO)正轉(zhuǎn)向更具組合性的架構(gòu)，并在推動(dòng)自身數(shù)字化進(jìn)程。

Constellation Research副總裁兼首席分析師Liz Miller表示：“另一方面是，我們已經(jīng)居家辦公兩年了，所以網(wǎng)絡(luò)邊界現(xiàn)在處于員工工作的最遠(yuǎn)端，而過去兩年來我們一直在管理的這種不安全狀態(tài)仍將繼續(xù)。”

與此同時(shí)，首席信息安全官也需要考慮自己的人手問題。Miller稱：“辭職潮是真實(shí)存在的，落實(shí)到安全職位上就太令人頭痛了。過勞是安全人員離職的主要原因。而2022年會(huì)更難以應(yīng)付。”

“CISO現(xiàn)在面臨的問題是：我們?cè)趺刺幚硭羞@些棘手難題?我們?cè)撛趺粗腔圻\(yùn)營，才能實(shí)現(xiàn)既安全又快速?”

Parkview Health信息安全副總裁兼HIPAA安全官Darrell Keeling對(duì)此有些自己的看法。

與其他安全主管一樣，Keeling任職期間見證了威脅態(tài)勢的演變。

例如，他看到惡意黑客越來越多地采用勒索軟件攻擊醫(yī)療機(jī)構(gòu)。同時(shí)，各家企業(yè)，包括他自己就職的企業(yè)，則越來越數(shù)字化，采用的云環(huán)境越來越多。這種情況極大擴(kuò)張了攻擊面，實(shí)際上消除了邊界的概念。

Keeling稱，他的首要任務(wù)是推動(dòng)安全成熟度，從而匹配不斷發(fā)展的技術(shù)棧和應(yīng)對(duì)隨之而來的威脅。

他表示，這涉及簡化公司安全棧：從出自多個(gè)供應(yīng)商的大量同類最佳解決方案，轉(zhuǎn)變?yōu)橹囟纫蕾囄④洶踩鉀Q方案的單個(gè)解決方案。(Parkview Health IT主要是一家使用Azure云的微軟商店。)Keeling稱，簡化安全棧可帶來更高效的安全運(yùn)營，集成更加方便，費(fèi)用上漲幅度也更小。

為此，Keeling計(jì)劃主抓員工培訓(xùn)，讓團(tuán)隊(duì)里更多人獲得微軟認(rèn)證。

2022年，Keeling的其他重點(diǎn)工作還包括：實(shí)現(xiàn)更多智能化措施、行為分析軟件和云安全技術(shù);建立威脅追蹤能力;以及加強(qiáng)他的第三方風(fēng)險(xiǎn)管理計(jì)劃。

CISO工作重點(diǎn)推升對(duì)工具和技術(shù)的關(guān)注

《安全重點(diǎn)研究》證實(shí)，CISO將繼續(xù)投資技術(shù)，90%的受訪CISO表示其所在企業(yè)在過去12月中至少增添了一種安全工具。

CISO優(yōu)先考慮的技術(shù)也反映出了他們?nèi)找嬲系陌踩椒ā?/p>

企業(yè)繼續(xù)增添和評(píng)估安全解決方案

舉個(gè)例子：云數(shù)據(jù)保護(hù)技術(shù)處于CISO所關(guān)注技術(shù)列表的頭部，87%的CISO正在研究、試點(diǎn)、使用或升級(jí)其云數(shù)據(jù)保護(hù)技術(shù)使用。

與之相關(guān)的另一項(xiàng)發(fā)現(xiàn)表明，88%的CISO優(yōu)先考慮基于云的網(wǎng)絡(luò)安全服務(wù)。

數(shù)據(jù)訪問治理技術(shù)也在CISO優(yōu)先事項(xiàng)列表中名列前茅，零信任同樣處于CISO視線的焦點(diǎn)：84%的受訪CISO表示零信任是自己的首要考慮。

行為監(jiān)測與分析是另一個(gè)備受關(guān)注的重點(diǎn)，82%的受訪CISO表示正在研究、試點(diǎn)、使用或升級(jí)其行為監(jiān)測與分析措施。

CISO還表現(xiàn)出了對(duì)安全編排、自動(dòng)化與響應(yīng)(SOAR)技術(shù)的極大興趣，77%的受訪CISO要么在研究、試點(diǎn)、使用，要么在升級(jí)其所用SOAR技術(shù)。

這些調(diào)查數(shù)據(jù)并沒有令安全分析師和研究人員感到驚訝。他們表示，隨著企業(yè)在云計(jì)算上投入更多資金以實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型和隨時(shí)隨地訪問，我們需要這些技術(shù)來保護(hù)過去幾年間迅速變化的環(huán)境。

咨詢公司Zenaciti首席執(zhí)行官兼The Analyst Syndicate網(wǎng)絡(luò)安全分析師Andrew Plato認(rèn)為：“云確實(shí)是安全的核心。”(他指出，CISO對(duì)云安全態(tài)勢管理平臺(tái)特別感興趣，這些平臺(tái)為CISO提供了全面的視圖，且支持在多個(gè)云部署中實(shí)現(xiàn)安全。)

Kevin F. Brown來年的工作重點(diǎn)代表了這些趨勢。

Brown是科學(xué)應(yīng)用國際公司(SAIC)高級(jí)副總裁兼首席信息安全官。他表示，他的首要任務(wù)是人才招聘和保留;業(yè)務(wù)連續(xù)性與彈性;實(shí)現(xiàn)網(wǎng)絡(luò)、云和數(shù)據(jù)的零信任策略;以及做好業(yè)務(wù)支持。

他解釋道：“網(wǎng)絡(luò)安全人才持續(xù)供不應(yīng)求，尤其是在必不可少的團(tuán)隊(duì)多元化和包容性建設(shè)方面。勒索軟件仍然是整個(gè)行業(yè)的最大威脅，無論是從業(yè)務(wù)中斷的影響方面看，還是從數(shù)據(jù)滲漏增加的方面看。除了保護(hù)能力，還需要制定彈性和恢復(fù)計(jì)劃。”

他繼續(xù)說道：“零信任原則不僅針對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全，還需要作為安全策略保護(hù)不斷擴(kuò)展的用戶邊界和云，并保護(hù)關(guān)鍵數(shù)據(jù)的完整性。”

Brown總結(jié)道：“雖然可能有點(diǎn)包羅萬象，但支持業(yè)務(wù)正常運(yùn)營是安全團(tuán)隊(duì)的重中之重，無論是通過提供安全的業(yè)務(wù)解決方案、降低風(fēng)險(xiǎn)，還是推廣設(shè)計(jì)安全理念等手段。”

推動(dòng)持續(xù)的安全計(jì)劃改進(jìn)

Brown表示，盡管2022年的每項(xiàng)首要任務(wù)都很重要，但其實(shí)這些都是老生常談，不過是他一直以來都在做的事情的延續(xù)。

Plato認(rèn)為，這也反映出了CISO網(wǎng)絡(luò)安全計(jì)劃的總體狀況，且2022年的網(wǎng)絡(luò)安全工作主要是改進(jìn)而不是變革。

Plato稱：“會(huì)出現(xiàn)一些很酷的技術(shù)徹底變革一切嗎?大概不會(huì)。但是，[CISO必須]完成的所有工作就在那里。”

大約67%的受訪CISO表示，所在公司更加關(guān)注提高安全服務(wù)的利用率和/或資源配置;62%的受訪者表示設(shè)置有流程來持續(xù)評(píng)估安全解決方案及服務(wù)的有效性，無論評(píng)估的安全解決方案與服務(wù)是自有的還是通過供應(yīng)商合同訪問的。

World Fuel Services信息安全副總裁Shawn M. Bowen表示，他的首要目標(biāo)是持續(xù)改進(jìn)安全功能，這一目標(biāo)將推動(dòng)他來年的工作。

例如，他正在努力提高自身能力，希望能根據(jù)公司自身已識(shí)別的風(fēng)險(xiǎn)和威脅來設(shè)計(jì)安全策略、程序和控制措施。

他說：“我希望超越框架成熟度模型，打造基于風(fēng)險(xiǎn)的安全運(yùn)營。因此，我們的目標(biāo)不是基于框架構(gòu)建安全并提供標(biāo)準(zhǔn)服務(wù)，而是專注于我們的企業(yè)風(fēng)險(xiǎn)管理計(jì)劃。”

為此，他正與業(yè)務(wù)部門的同事合作，了解、闡明和排序其特定職能范圍內(nèi)的風(fēng)險(xiǎn)和威脅，好讓安全部門能夠真正調(diào)整資源，抵御這些風(fēng)險(xiǎn)和威脅。

此外，Bowen希望業(yè)務(wù)部門能更多地參與安全部門的企業(yè)風(fēng)險(xiǎn)管理方法。他計(jì)劃利用這種參與為他們的每個(gè)產(chǎn)品和服務(wù)開發(fā)適當(dāng)?shù)耐{模型，從而可以針對(duì)這些特定威脅定制安全產(chǎn)品。

他還希望創(chuàng)建一種方法，根據(jù)安全在這些領(lǐng)域提供服務(wù)方面的改進(jìn)程度來衡量進(jìn)展。

2022年面臨的挑戰(zhàn)

受訪CISO表示，未來一年要實(shí)現(xiàn)既定目標(biāo)面臨諸多挑戰(zhàn)。

《安全重點(diǎn)研究》中表明，企業(yè)未能解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要原因，是CISO難以令部分或全體同仁知悉所面臨風(fēng)險(xiǎn)的嚴(yán)重性。30%的受訪CISO都表示，說服同事相信自己直面嚴(yán)重風(fēng)險(xiǎn)真是太難了。

近29%的受訪CISO表示可用的資源不足，27%則表示無法在安全策略中做到足夠主動(dòng)。

未能解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的其他主要原因包括：難以招募和留住專業(yè)人員;無法在應(yīng)用開發(fā)全過程滿足安全要求;用戶安全培訓(xùn)不足。

盡管承認(rèn)這些都是重大挑戰(zhàn)，分析師卻也指出，CISO的很多優(yōu)先考慮事項(xiàng)將幫助他們應(yīng)對(duì)這些問題。

例如，重視事件響應(yīng)，尤其是匹配業(yè)務(wù)風(fēng)險(xiǎn)并結(jié)合業(yè)務(wù)賦能與彈性的事件響應(yīng)，可以為安全計(jì)劃帶來更多的業(yè)務(wù)支持。

同時(shí)，增加數(shù)據(jù)保護(hù)技術(shù)、云安全工具和支持零信任與SOAR的解決方案，有助于將安全更好的嵌入到技術(shù)棧核心，而不是僅僅作為補(bǔ)強(qiáng)式服務(wù)。

而在技術(shù)部署中增加自動(dòng)化功能，可以幫助CISO緩解安全人手不足和偶發(fā)的用戶側(cè)安全失誤所帶來的挑戰(zhàn)。

Symbridge控股有限公司首席信息安全官M(fèi)ichael Ibarra的2022年工作重點(diǎn)與其他安全主管列出的大多相同，并且他認(rèn)為這些都是達(dá)成全面安全策略的關(guān)鍵所在。

投入零信任和增加云數(shù)據(jù)保護(hù)開支

Ibarra正在努力強(qiáng)化公司的數(shù)據(jù)隱私保護(hù)措施和供應(yīng)商風(fēng)險(xiǎn)管理實(shí)踐。

他關(guān)注API安全和數(shù)字身份，這二者都是當(dāng)今數(shù)字時(shí)代CISO必須防護(hù)周全的云環(huán)境所不可或缺的。

加強(qiáng)數(shù)據(jù)泄露防御也是Ibarra的優(yōu)先考慮事項(xiàng)之一，著重研究如何有效緩解和防止黑客國家隊(duì)發(fā)起的網(wǎng)絡(luò)攻擊。

他正致力于將安全計(jì)劃融入公司的技術(shù)變更控制過程，從而使安全跟上IT的發(fā)展腳步，并研究能夠帶來價(jià)值的前沿技術(shù)。

而且他還計(jì)劃加大招聘和留住人才的力度，其中部分措施是確保提供正確的培訓(xùn)和技能提升。

Ibarra表示，要共建網(wǎng)絡(luò)彈性。

“我們始終專注于提供安全可靠的平臺(tái)，我們的首要任務(wù)之一始終是將風(fēng)險(xiǎn)降至最低。但優(yōu)先考慮彈性可以讓我們能夠?yàn)槲粗龊脺?zhǔn)備。”