十位頂級CISO預測:2023年網絡安全發展態勢與優先事項
責編:gltian |2022-12-02 11:03:252022年,在日趨實戰化、高動態、高強度對抗的網絡安全環境中,網絡安全廠商和企業用戶都在重新思考和評估新的安全技術、安全戰術和安全策略。
2023年,將是企業數字化發展的關鍵年,隨著企業面臨越來越大的發展壓力,唯有優化網絡安全建設與運營工作,才能更好地適應宏觀經濟形勢挑戰,實現預期增長目標。日前,IT領域專業媒體VentureBeat采訪了多家知名科技公司的CISO,就2023年企業網絡安全威脅發展態勢和重點工作進行了展望和預測。
對短期的安全態勢保持悲觀
—— Phil?Venables??|?谷歌云 CISO
2023年,如何保護國家技術基礎設施免受惡意攻擊將受到主管機構的更多關注,因此我們預計,將會有更多的安全防護政策頒布實施。
作為業務覆蓋全球的科技巨頭企業,Google的安全管理部門將會和有關政府機構進行更深層次的協調與溝通,有效落實政府部門對于大型科技企業的保護性安全機制要求。在此背景下,公共部門和私營組織需要進一步加強知識共享,提高透明度,并增強防護新型威脅攻擊的能力。
2023年,由于惡意攻擊引發的威脅形勢可能會變得更糟糕,這需要在技術基礎設施方面相應的增加投入。惡意網絡攻擊在2023年只會有增無減。盡管我們對長期的網絡安全建設發展抱以樂觀,但對短期的態勢卻需要保持悲觀預期。受到宏觀經濟態勢的影響,可能很多企業組織在明年的安全建設投入會更謹慎,這對遏制越來越多的網絡威脅將是一個難題。
打造積極的安全文化
—— CJ Moses??|?AWS CISO
AWS在構建安全服務時一貫會高度重視客戶的應用體驗,我們認為,安全建設不只是使用最好的安全工具,更需要打造積極的安全文化。展望2023年,AWS安全團隊將繼續為組織和用戶提供創新的網絡安全服務,以解決業務健康發展問題,同時幫助客戶確立安全第一的數字化發展觀念。
為此,我們需要向所有人普及安全意識,同時吸引背景各異的一流網絡人才,通過導師輔助、實習生計劃和認證機會來培養更多的網絡安全人才,進一步提高安全防護的自動化程度,并致力于建設充滿活力的網絡安全員工隊伍。
應著眼更長遠的未來
——?Bret Arsenault??|?微軟?CISO
網絡安全建設是一個持續的、系統性的工作,因此作為安全專業人員,如果僅僅關注和預測2023年的威脅挑戰是不夠的,我們需要展望未來5年到10年的發展態勢,為新型安全威脅出現做好準備。如果安全建設長期處于被動追趕和已發生的事件處置,那么只會更容易受到攻擊。
在微軟之前的發展預測中,我們認為云時代會很快到來,傳統密碼技術將面臨挑戰,因此我們提前做好了計劃和準備。現在,我們認為目前廣泛應用的MFA可能變得不再安全,企業組織需要盡快做好應對計劃和準備,企業的安全管理者需要站在攻擊者的角度去思考。
攻擊面管理將更加復雜
——?Koos Lodewijkx? |?IBM?CISO
2023年將至,我們的團隊正在積極致力于適應不斷變化的威脅環境,我們看到勒索軟件攻擊和針對關鍵基礎設施的破壞性攻擊正在成倍增長,這種趨勢在短期內不會改變。同時,隨著企業組織的網絡攻擊面變得更復雜、更分散,做好攻擊面管理工作變得更重要。關注并加強攻擊面管理以發現和修復高優先級漏洞,并及時進行企業環境中的威脅檢測和響應,這樣可以搶在攻擊者得逞之前迅速發現和阻止對方。
展望2023年,我們會迎來更多非常新穎的人工智能技術創新應用,這些創新在網絡防御領域有很大潛力。我們正在與IBM研究部門、IBM安全產品部門的同事密切合作,探索網絡安全領域中全新的人工智能應用場景。
繼續做好安全的基本面
—— Kevin Cross??|?Dell CISO
展望2023年,我和戴爾公司安全團隊的首要任務并不是關注當下的最新安全技術應用趨勢,而是會繼續做好公司內部的網絡安全基本功。我們必須做好安全防護的基本面,因為威脅分子善于利用并不復雜的安全弱點發起攻擊。
如果基本面沒做到位,安全防護也將無從談起。我們會首先確保基礎性的攔截和應對機制能夠充分發揮功效,以便在應對層出不窮的威脅時保持從容狀態。
網絡安全人才匱乏阻礙了許多公司做好安全基本面。如今,沒有多少員工擁有防護、檢測和應對網絡威脅的專業安全技能。因此,我們將注重提升安全團隊的專業能力培養,提供持續培訓和教育,同時支持他們的職業道路和興趣愛好。
倡導開放式的安全建設
——?Mandy Andress? |?Elastic?CISO
網絡安全并不只是技術性的工作。2023年,網絡安全團隊的一種重要工作就是要更好地了解組織在技術層面和人員層面協同配合方面的薄弱環節。因為,當前的惡意攻擊者越來越多的利用這些弱點來開展攻擊。事實再三證明,人是安全鏈條中最薄弱的一環,企業應重視對IT專業人員進行適當的培訓,同時為他們配備合適的系統以實現流程自動化。
為了克服那些在技術層面難以解決的問題,企業組織需要進一步倡導開放式的安全建設,讓安全從業人員能夠查看應用系統的底層代碼,并了解其在實際工作環境中的工作狀態。這將幫助安全團隊識別潛在盲點,并堵住安全技術架構的缺口,同時更好的剖析安全威脅風險。
由于新冠疫情和遠程工作環境等因素影響,企業員工需要使用新技術來實現數字化的辦公方式,但他們的安全意識卻可能滯后,這就需要進一步加強網絡安全意識培養,并在公司中構建網絡安全文化。
提前做好網絡安全預防措施
—— John McClurg??|?BlackBerry??CISO
根據美國政府頒布的14028號行政令,為政府部門提供軟件的公司首先要考慮的是編制軟件材料清單(SBOM),因為針對軟件供應鏈的攻擊通常是從訪問最薄弱的環節開始的。在2023年,新的安全軟件開發實踐將會不斷涌現,如何確保各種類型的企業組織遵循這些實踐很重要。
2023年,我們還將致力于克服網絡安全建設中普遍存在的專業技能短缺問題。面對人才儲備告急的形勢,提前采取網絡安全預防措施將成為企業防范惡意攻擊的有效手段之一,這樣在面對突發性的安全事件時,不會因為一線安全員工數量不足導致慌亂和失誤。
簡化安全運營流程和人工操作
—— Jason Clark??|?Netskope CISO
隨著網絡威脅的發展以及企業數字化轉型的深入,現代企業的網絡安全運營工作正變得無比復雜,超過了很多企業安全團隊的實際承受能力。在2023年,通過應用自動化技術,簡化安全運營中的人工操作將幾乎是所有CISO及其團隊的工作重心。在此過程中,我們會優先評估以下方面因素:
- 安全建設的頭號敵人是復雜性,因此在策略設計時就要關注并考慮運營流程的簡化性;
- 組織在實施安全控制措施的時候,應該同時考慮其給帶來安全運營帶來的阻力;
- 重新梳理安全流程,擯棄那些并不必要的安全控制措施。
保障安全控制措施的覆蓋面和有效性
—— Brian Spanswick??|?Cohesity CISO
2023年,我們的工作重心將側重于提升主要安全控制措施的覆蓋面和有效性。最近幾起影響重大的安全事件表明,攻擊者只需要利用安全環境中的基本漏洞,就可以訪問關鍵系統和敏感數據。我們同時將繼續致力于為所有員工提供安全意識培訓和社會工程攻擊方面的教育,通過加強安全意識來形成和保持減小威脅暴露面所需的“肌肉記憶”。
我們另一個重心是繼續關注憑據管理,這包括加強基于角色的訪問控制、最低權限訪問和適當的密碼管理。這個方面需要不斷加強管理,才能確保環境變化后,憑據管理依然保持在預期的應用水平。
加強軟件供應鏈安全建設
—— Niall?Browne??|?Palo Alto Networks CISO
在過去幾年中,企業組織的數字化轉型快速發展,數字化程度大大提高,這讓軟件供應鏈安全防護受到廣泛的關注。Log4j漏洞攻擊已經表明了這類攻擊的危害性,一個脆弱的代碼庫就能影響成數千家公司。而這類攻擊不會銷聲匿跡,并會在今后幾年急劇增多。
2023年,我們不僅要確保自身的軟件應用系統安全可靠,還要確保合作伙伴的軟件供應鏈也很安全。企業CISO的當務之急是,為組織使用的所有代碼庫、應用程序和第三方應用提供安全防護。
來源:安全牛