調(diào)研 | 安全主管2022年工作重點(diǎn):進(jìn)步而非徹底變革
安全主管紛紛表示,由于近期公司IT環(huán)境和業(yè)務(wù)環(huán)境的轉(zhuǎn)變、威脅形勢(shì)的發(fā)展變化和新興風(fēng)險(xiǎn)的涌現(xiàn),自身工作重點(diǎn)也隨之做出調(diào)整,反映出相應(yīng)的安全需求。
安全主管正在推進(jìn)面向2022年的整體策略,列出支持企業(yè)彈性的各項(xiàng)重點(diǎn)工作。
為編撰年度《安全重點(diǎn)研究》,網(wǎng)絡(luò)安全媒體CSO對(duì)多位首席信息安全官(CISO)進(jìn)行了問(wèn)卷調(diào)查。調(diào)查結(jié)果表明,CISO計(jì)劃在未來(lái)幾個(gè)月采取一些舉措,但不會(huì)專注于加強(qiáng)任何單個(gè)工具,也不會(huì)依賴任何單一方法。
相反,他們的工作重點(diǎn)反映出安全職能的演變,如今的安全職能必須是相互依賴的策略、流程和技術(shù)能力的集合,這些策略、程序和技術(shù)能力共同應(yīng)對(duì)CISO所在企業(yè)面臨的特定風(fēng)險(xiǎn)和威脅。
此外,受訪CISO表示,由于近期公司IT環(huán)境和業(yè)務(wù)環(huán)境的轉(zhuǎn)變、威脅形勢(shì)的發(fā)展變化和新興風(fēng)險(xiǎn)的涌現(xiàn),自身工作重點(diǎn)也隨之做出調(diào)整,反映出相應(yīng)的安全需求。
簡(jiǎn)而言之,CISO認(rèn)為自己2022年的首要任務(wù)是跟上步伐,變得更好。
威脅形勢(shì)的變化推動(dòng)工作重點(diǎn)轉(zhuǎn)變
上云要求凸顯。IT正將應(yīng)用與數(shù)據(jù)層解耦。首席信息官(CIO)正轉(zhuǎn)向更具組合性的架構(gòu),并在推動(dòng)自身數(shù)字化進(jìn)程。
Constellation Research副總裁兼首席分析師Liz Miller表示:“另一方面是,我們已經(jīng)居家辦公兩年了,所以網(wǎng)絡(luò)邊界現(xiàn)在處于員工工作的最遠(yuǎn)端,而過(guò)去兩年來(lái)我們一直在管理的這種不安全狀態(tài)仍將繼續(xù)。”
與此同時(shí),首席信息安全官也需要考慮自己的人手問(wèn)題。Miller稱:“辭職潮是真實(shí)存在的,落實(shí)到安全職位上就太令人頭痛了。過(guò)勞是安全人員離職的主要原因。而2022年會(huì)更難以應(yīng)付。”
“CISO現(xiàn)在面臨的問(wèn)題是:我們?cè)趺刺幚硭羞@些棘手難題?我們?cè)撛趺粗腔圻\(yùn)營(yíng),才能實(shí)現(xiàn)既安全又快速?”
Parkview Health信息安全副總裁兼HIPAA安全官Darrell Keeling對(duì)此有些自己的看法。
與其他安全主管一樣,Keeling任職期間見證了威脅態(tài)勢(shì)的演變。
例如,他看到惡意黑客越來(lái)越多地采用勒索軟件攻擊醫(yī)療機(jī)構(gòu)。同時(shí),各家企業(yè),包括他自己就職的企業(yè),則越來(lái)越數(shù)字化,采用的云環(huán)境越來(lái)越多。這種情況極大擴(kuò)張了攻擊面,實(shí)際上消除了邊界的概念。
Keeling稱,他的首要任務(wù)是推動(dòng)安全成熟度,從而匹配不斷發(fā)展的技術(shù)棧和應(yīng)對(duì)隨之而來(lái)的威脅。
他表示,這涉及簡(jiǎn)化公司安全棧:從出自多個(gè)供應(yīng)商的大量同類最佳解決方案,轉(zhuǎn)變?yōu)橹囟纫蕾囄④洶踩鉀Q方案的單個(gè)解決方案。(Parkview Health IT主要是一家使用Azure云的微軟商店。)Keeling稱,簡(jiǎn)化安全??蓭?lái)更高效的安全運(yùn)營(yíng),集成更加方便,費(fèi)用上漲幅度也更小。
為此,Keeling計(jì)劃主抓員工培訓(xùn),讓團(tuán)隊(duì)里更多人獲得微軟認(rèn)證。
2022年,Keeling的其他重點(diǎn)工作還包括:實(shí)現(xiàn)更多智能化措施、行為分析軟件和云安全技術(shù);建立威脅追蹤能力;以及加強(qiáng)他的第三方風(fēng)險(xiǎn)管理計(jì)劃。
CISO工作重點(diǎn)推升對(duì)工具和技術(shù)的關(guān)注
《安全重點(diǎn)研究》證實(shí),CISO將繼續(xù)投資技術(shù),90%的受訪CISO表示其所在企業(yè)在過(guò)去12月中至少增添了一種安全工具。
CISO優(yōu)先考慮的技術(shù)也反映出了他們?nèi)找嬲系陌踩椒ā?/p>
企業(yè)繼續(xù)增添和評(píng)估安全解決方案
舉個(gè)例子:云數(shù)據(jù)保護(hù)技術(shù)處于CISO所關(guān)注技術(shù)列表的頭部,87%的CISO正在研究、試點(diǎn)、使用或升級(jí)其云數(shù)據(jù)保護(hù)技術(shù)使用。
與之相關(guān)的另一項(xiàng)發(fā)現(xiàn)表明,88%的CISO優(yōu)先考慮基于云的網(wǎng)絡(luò)安全服務(wù)。
數(shù)據(jù)訪問(wèn)治理技術(shù)也在CISO優(yōu)先事項(xiàng)列表中名列前茅,零信任同樣處于CISO視線的焦點(diǎn):84%的受訪CISO表示零信任是自己的首要考慮。
行為監(jiān)測(cè)與分析是另一個(gè)備受關(guān)注的重點(diǎn),82%的受訪CISO表示正在研究、試點(diǎn)、使用或升級(jí)其行為監(jiān)測(cè)與分析措施。
CISO還表現(xiàn)出了對(duì)安全編排、自動(dòng)化與響應(yīng)(SOAR)技術(shù)的極大興趣,77%的受訪CISO要么在研究、試點(diǎn)、使用,要么在升級(jí)其所用SOAR技術(shù)。
這些調(diào)查數(shù)據(jù)并沒(méi)有令安全分析師和研究人員感到驚訝。他們表示,隨著企業(yè)在云計(jì)算上投入更多資金以實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型和隨時(shí)隨地訪問(wèn),我們需要這些技術(shù)來(lái)保護(hù)過(guò)去幾年間迅速變化的環(huán)境。
咨詢公司Zenaciti首席執(zhí)行官兼The Analyst Syndicate網(wǎng)絡(luò)安全分析師Andrew Plato認(rèn)為:“云確實(shí)是安全的核心。”(他指出,CISO對(duì)云安全態(tài)勢(shì)管理平臺(tái)特別感興趣,這些平臺(tái)為CISO提供了全面的視圖,且支持在多個(gè)云部署中實(shí)現(xiàn)安全。)
Kevin F. Brown來(lái)年的工作重點(diǎn)代表了這些趨勢(shì)。
Brown是科學(xué)應(yīng)用國(guó)際公司(SAIC)高級(jí)副總裁兼首席信息安全官。他表示,他的首要任務(wù)是人才招聘和保留;業(yè)務(wù)連續(xù)性與彈性;實(shí)現(xiàn)網(wǎng)絡(luò)、云和數(shù)據(jù)的零信任策略;以及做好業(yè)務(wù)支持。
他解釋道:“網(wǎng)絡(luò)安全人才持續(xù)供不應(yīng)求,尤其是在必不可少的團(tuán)隊(duì)多元化和包容性建設(shè)方面。勒索軟件仍然是整個(gè)行業(yè)的最大威脅,無(wú)論是從業(yè)務(wù)中斷的影響方面看,還是從數(shù)據(jù)滲漏增加的方面看。除了保護(hù)能力,還需要制定彈性和恢復(fù)計(jì)劃。”
他繼續(xù)說(shuō)道:“零信任原則不僅針對(duì)傳統(tǒng)的網(wǎng)絡(luò)安全,還需要作為安全策略保護(hù)不斷擴(kuò)展的用戶邊界和云,并保護(hù)關(guān)鍵數(shù)據(jù)的完整性。”
Brown總結(jié)道:“雖然可能有點(diǎn)包羅萬(wàn)象,但支持業(yè)務(wù)正常運(yùn)營(yíng)是安全團(tuán)隊(duì)的重中之重,無(wú)論是通過(guò)提供安全的業(yè)務(wù)解決方案、降低風(fēng)險(xiǎn),還是推廣設(shè)計(jì)安全理念等手段。”
推動(dòng)持續(xù)的安全計(jì)劃改進(jìn)
Brown表示,盡管2022年的每項(xiàng)首要任務(wù)都很重要,但其實(shí)這些都是老生常談,不過(guò)是他一直以來(lái)都在做的事情的延續(xù)。
Plato認(rèn)為,這也反映出了CISO網(wǎng)絡(luò)安全計(jì)劃的總體狀況,且2022年的網(wǎng)絡(luò)安全工作主要是改進(jìn)而不是變革。
Plato稱:“會(huì)出現(xiàn)一些很酷的技術(shù)徹底變革一切嗎?大概不會(huì)。但是,[CISO必須]完成的所有工作就在那里。”
大約67%的受訪CISO表示,所在公司更加關(guān)注提高安全服務(wù)的利用率和/或資源配置;62%的受訪者表示設(shè)置有流程來(lái)持續(xù)評(píng)估安全解決方案及服務(wù)的有效性,無(wú)論評(píng)估的安全解決方案與服務(wù)是自有的還是通過(guò)供應(yīng)商合同訪問(wèn)的。
World Fuel Services信息安全副總裁Shawn M. Bowen表示,他的首要目標(biāo)是持續(xù)改進(jìn)安全功能,這一目標(biāo)將推動(dòng)他來(lái)年的工作。
例如,他正在努力提高自身能力,希望能根據(jù)公司自身已識(shí)別的風(fēng)險(xiǎn)和威脅來(lái)設(shè)計(jì)安全策略、程序和控制措施。
他說(shuō):“我希望超越框架成熟度模型,打造基于風(fēng)險(xiǎn)的安全運(yùn)營(yíng)。因此,我們的目標(biāo)不是基于框架構(gòu)建安全并提供標(biāo)準(zhǔn)服務(wù),而是專注于我們的企業(yè)風(fēng)險(xiǎn)管理計(jì)劃。”
為此,他正與業(yè)務(wù)部門的同事合作,了解、闡明和排序其特定職能范圍內(nèi)的風(fēng)險(xiǎn)和威脅,好讓安全部門能夠真正調(diào)整資源,抵御這些風(fēng)險(xiǎn)和威脅。
此外,Bowen希望業(yè)務(wù)部門能更多地參與安全部門的企業(yè)風(fēng)險(xiǎn)管理方法。他計(jì)劃利用這種參與為他們的每個(gè)產(chǎn)品和服務(wù)開發(fā)適當(dāng)?shù)耐{模型,從而可以針對(duì)這些特定威脅定制安全產(chǎn)品。
他還希望創(chuàng)建一種方法,根據(jù)安全在這些領(lǐng)域提供服務(wù)方面的改進(jìn)程度來(lái)衡量進(jìn)展。
2022年面臨的挑戰(zhàn)
受訪CISO表示,未來(lái)一年要實(shí)現(xiàn)既定目標(biāo)面臨諸多挑戰(zhàn)。
《安全重點(diǎn)研究》中表明,企業(yè)未能解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的首要原因,是CISO難以令部分或全體同仁知悉所面臨風(fēng)險(xiǎn)的嚴(yán)重性。30%的受訪CISO都表示,說(shuō)服同事相信自己直面嚴(yán)重風(fēng)險(xiǎn)真是太難了。
近29%的受訪CISO表示可用的資源不足,27%則表示無(wú)法在安全策略中做到足夠主動(dòng)。
未能解決網(wǎng)絡(luò)風(fēng)險(xiǎn)的其他主要原因包括:難以招募和留住專業(yè)人員;無(wú)法在應(yīng)用開發(fā)全過(guò)程滿足安全要求;用戶安全培訓(xùn)不足。
盡管承認(rèn)這些都是重大挑戰(zhàn),分析師卻也指出,CISO的很多優(yōu)先考慮事項(xiàng)將幫助他們應(yīng)對(duì)這些問(wèn)題。
例如,重視事件響應(yīng),尤其是匹配業(yè)務(wù)風(fēng)險(xiǎn)并結(jié)合業(yè)務(wù)賦能與彈性的事件響應(yīng),可以為安全計(jì)劃帶來(lái)更多的業(yè)務(wù)支持。
同時(shí),增加數(shù)據(jù)保護(hù)技術(shù)、云安全工具和支持零信任與SOAR的解決方案,有助于將安全更好的嵌入到技術(shù)棧核心,而不是僅僅作為補(bǔ)強(qiáng)式服務(wù)。
而在技術(shù)部署中增加自動(dòng)化功能,可以幫助CISO緩解安全人手不足和偶發(fā)的用戶側(cè)安全失誤所帶來(lái)的挑戰(zhàn)。
Symbridge控股有限公司首席信息安全官M(fèi)ichael Ibarra的2022年工作重點(diǎn)與其他安全主管列出的大多相同,并且他認(rèn)為這些都是達(dá)成全面安全策略的關(guān)鍵所在。
投入零信任和增加云數(shù)據(jù)保護(hù)開支
Ibarra正在努力強(qiáng)化公司的數(shù)據(jù)隱私保護(hù)措施和供應(yīng)商風(fēng)險(xiǎn)管理實(shí)踐。
他關(guān)注API安全和數(shù)字身份,這二者都是當(dāng)今數(shù)字時(shí)代CISO必須防護(hù)周全的云環(huán)境所不可或缺的。
加強(qiáng)數(shù)據(jù)泄露防御也是Ibarra的優(yōu)先考慮事項(xiàng)之一,著重研究如何有效緩解和防止黑客國(guó)家隊(duì)發(fā)起的網(wǎng)絡(luò)攻擊。
他正致力于將安全計(jì)劃融入公司的技術(shù)變更控制過(guò)程,從而使安全跟上IT的發(fā)展腳步,并研究能夠帶來(lái)價(jià)值的前沿技術(shù)。
而且他還計(jì)劃加大招聘和留住人才的力度,其中部分措施是確保提供正確的培訓(xùn)和技能提升。
Ibarra表示,要共建網(wǎng)絡(luò)彈性。
“我們始終專注于提供安全可靠的平臺(tái),我們的首要任務(wù)之一始終是將風(fēng)險(xiǎn)降至最低。但優(yōu)先考慮彈性可以讓我們能夠?yàn)槲粗龊脺?zhǔn)備。”