压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

首席信息安全官（CISO）是企業(yè)中負責(zé)制定組織信息安全戰(zhàn)略并落實的高級管理人員，在保護組織有價值的信息資產(chǎn)方面發(fā)揮著至關(guān)重要的作用。但是在實際工作中，很多CISO卻被稱為“救火隊員”，他們花費了大量的時間去響應(yīng)和處置各種突發(fā)的安全事件，而不能從一開始就專注于積極預(yù)防這些事件的發(fā)生。

在此背景下，專業(yè)安全媒體CyberTalk.org主編Shira Landau日前表示：現(xiàn)代企業(yè)的CISO們在2024年必須做出改變，要更多關(guān)注于企業(yè)整體安全路線圖的推進與實現(xiàn)，讓網(wǎng)絡(luò)安全工作與業(yè)務(wù)發(fā)展目標(biāo)保持更緊密的一致性。因此，CISO在2024年應(yīng)該優(yōu)先考慮以下7項安全任務(wù)：

01?升級現(xiàn)有的云安全防護策略

根據(jù)專業(yè)安全廠商Thales發(fā)布的《2023年全球云安全研究報告》數(shù)據(jù)顯示，過去一年中約39%的受訪企業(yè)經(jīng)歷過云上數(shù)據(jù)泄露，相比之前一年的數(shù)據(jù)35%繼續(xù)增長。此外，有55%的受訪者認為“人為錯誤”已經(jīng)成為云上數(shù)據(jù)泄露的主要原因。在此背景下，專業(yè)安全人士表示，企業(yè)需要實現(xiàn)更強大的云安全策略，利用零信任框架取代傳統(tǒng)的數(shù)據(jù)隱私和合規(guī)保護方式，這將成為企業(yè)組織2024年云安全工作中的關(guān)鍵優(yōu)先事項。

此外，確保SaaS化服務(wù)生態(tài)系統(tǒng)的安全性也是CISO必須面對的關(guān)鍵任務(wù)。數(shù)據(jù)顯示，在云攻擊活動中，針對各類SaaS服務(wù)應(yīng)用的攻擊占比為38%，是最主要的攻擊目標(biāo)。然而，當(dāng)前的SaaS安全策略和方法顯然是不夠的。為此，68%的組織需要增加在SaaS安全防護方面的投資，有很多工作要做，例如部署更復(fù)雜的威脅預(yù)防和防御工具。

02?確保API應(yīng)用的安全性

在Salt Security發(fā)布的《2023年API安全狀況報告》中指出，針對應(yīng)用程序編程接口（API）的攻擊在過去六個月中快速增加了400%；并且80%的攻擊發(fā)生在經(jīng)過身份驗證的API上。而在過去一年中，94%的安全專業(yè)人員和API開發(fā)人員都遇到過與API相關(guān)的安全問題。

由于此類安全問題的影響，API安全性已經(jīng)成為組織內(nèi)部廣泛關(guān)注的安全性議題，有95%的受訪CISO表示會在未來兩年內(nèi)優(yōu)先考慮API安全性。但究竟能否在API安全成熟度方面取得進展，從而更有效地預(yù)防API應(yīng)用風(fēng)險還尚未可知。

想要實現(xiàn)API安全成熟度，首先要能夠發(fā)現(xiàn)識別組織中使用的所有API，方法包括從部署發(fā)現(xiàn)工具到技術(shù)文檔審查，再到與開發(fā)人員的對話；其次，組織需要評估現(xiàn)有工具是否能夠滿足可見性和遵從性需求；此外，組織需要集成更好的工具來減少數(shù)據(jù)泄露（以及影子API等），并在適用的地方整合工具。

03?為后量子密碼應(yīng)用做好準(zhǔn)備

隨著量子計算機技術(shù)的不斷進步，傳統(tǒng)密碼學(xué)面臨著被攻破的風(fēng)險。為了應(yīng)對這一挑戰(zhàn)，后量子密碼（PQC）學(xué)逐漸成為當(dāng)前密碼技術(shù)領(lǐng)域的熱門研究方向。

在2023年8月，CISA、NIST和NSA聯(lián)合發(fā)布了一份指南文件《量子準(zhǔn)備：向后量子密碼遷移》，向各組織闡明量子能力帶來的影響，尤其是那些與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的組織，應(yīng)該從現(xiàn)在開始積極地制定量子準(zhǔn)備路線圖，提前規(guī)劃以遷移到PQC標(biāo)準(zhǔn)。

當(dāng)前，NIST正在加快制定第一批PQC標(biāo)準(zhǔn)，并計劃于2024年發(fā)布，以應(yīng)對未來潛在對抗性的、與密碼分析有關(guān)的量子計算機安全威脅。NIST在持續(xù)推進PQC標(biāo)準(zhǔn)制定的同時，也在為各組織如何著手開展PQC遷移工作做出指導(dǎo)，要求組織成立專門的項目管理團隊，梳理并形成本組織易受量子攻擊的系統(tǒng)和資產(chǎn)清單，摸清當(dāng)前使用的加密技術(shù)，并加強與技術(shù)供應(yīng)商（包括云服務(wù)商）的合作。

04?預(yù)防AI驅(qū)動的新威脅

AI技術(shù)的不斷發(fā)展和應(yīng)用，使得其被惡意使用的可能性也越來越大。黑客和犯罪分子正在利用人工智能的強大計算能力和智能分析能力，來實施大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露和欺詐活動。為了應(yīng)對這種威脅，CISO也需要盡快利用AI技術(shù)來建立強大的安全防御系統(tǒng)。例如，可以利用機器學(xué)習(xí)算法來分析網(wǎng)絡(luò)流量和用戶行為，及時發(fā)現(xiàn)異常波動并采取相應(yīng)措施。

AI驅(qū)動的新一代安全平臺能夠以人類永遠無法匹敵的速度分析大量數(shù)據(jù)。CISO和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須投資于人工智能驅(qū)動的安全工具，以增強其組織主動預(yù)防和應(yīng)對新出現(xiàn)的威脅的能力，降低網(wǎng)絡(luò)入侵的可能性。

與此同時，隨著不斷將人工智能集成到組織的網(wǎng)絡(luò)安全堆棧中，安全人員的角色和職責(zé)也需要隨之發(fā)展。組織需要戰(zhàn)略性地規(guī)劃重新部署現(xiàn)有人才的使用方式，以最大限度地利用好專業(yè)安全人才資源。

05?開展針對AI應(yīng)用的紅隊演練

所謂的“紅隊演練”概念來源于軍事模擬，即通過模擬假想的“敵人”，來測試本方的安全防護準(zhǔn)備水平。在AI技術(shù)應(yīng)用中，“紅隊”的任務(wù)就是模擬黑客或其他潛在惡意行為者，以實戰(zhàn)化方式找到大語言模型的漏洞，從而避免AI技術(shù)在現(xiàn)實中被惡意利用。

由于AI技術(shù)相對較新，目前還沒有成熟的AI紅隊標(biāo)準(zhǔn)，但從微軟相關(guān)的實踐經(jīng)驗看，在基礎(chǔ)模型層面和應(yīng)用層面測試AI模型的安全性至關(guān)重要。對AI模型進行紅隊測試有助于在過程的早期識別模型可能被濫用的情況，確定模型的功能范圍，并了解模型的局限性。

06?阻止影子IT蔓延

公民開發(fā)者（Citizen Developer）是指那些在有別于傳統(tǒng)軟件開發(fā)流程的背景下，利用易于使用的開發(fā)工具和平臺創(chuàng)建業(yè)務(wù)應(yīng)用程序和系統(tǒng)的人員。2023年，企業(yè)中由公民開發(fā)者創(chuàng)建的應(yīng)用系統(tǒng)越來越受歡迎，這也要求了CISO必須盡快制定明確的責(zé)任制度和適當(dāng)?shù)木W(wǎng)絡(luò)安全措施，確保這些由公民開發(fā)者創(chuàng)建的應(yīng)用不會成為“影子”IT。

一直以來，影子IT大大增加了企業(yè)網(wǎng)絡(luò)安全建設(shè)的難度，加劇了IT資產(chǎn)的可見性缺失。很多看似無害的影子IT卻可能帶來嚴重的安全風(fēng)險，并導(dǎo)致數(shù)據(jù)泄露或惡意軟件侵入。企業(yè)安全團隊?wèi)?yīng)該教育指導(dǎo)員工，幫助他們按要求使用正確的工具完成工作，并簡化審查和批準(zhǔn)過程，管控影子IT的潛在使用風(fēng)險。

07?推進零信任架構(gòu)應(yīng)用落地

根據(jù)OKTA發(fā)布的《2022年零信任安全狀態(tài)報告》數(shù)據(jù)顯示，已經(jīng)有超過的企業(yè)組織正在或計劃開展零信任安全的建設(shè)項目。為了更完善推進零信任實現(xiàn)的成熟度，CISO可以將CISA發(fā)布的《零信任成熟度模型》作為一個很好的指導(dǎo)框架，它描述了零信任落地的五個“支柱”，分別為身份（Identity）、設(shè)備（Device）、網(wǎng)絡(luò)（Network）、應(yīng)用與工作負載（Application and Workload）以及數(shù)據(jù)（Data）。此外，還包含了一些橫向的能力：可見性與分析、自動化與編排，以及治理。

參考鏈接：

https://www.cybertalk.org/2023/11/21/these-7-items-should-be-on-your-ciso-checklist-for-2024/