首席信息安全官對2022年網(wǎng)絡(luò)安全形勢的分析

陸英

隨著疫情的影響開始消散，首席信息安全官如何應(yīng)對隨之而來的安全挑戰(zhàn)和即將到來的障礙，這些挑戰(zhàn)需要得到所有網(wǎng)絡(luò)安全人員和業(yè)務(wù)利益相關(guān)者的關(guān)注。

恢復(fù)和彈性

隨著市場低迷成為私營部門真正關(guān)注的問題，彈性和恢復(fù)是網(wǎng)絡(luò)安全從業(yè)者的關(guān)鍵。對行業(yè)領(lǐng)先的安全解決方案的需求并沒有改變，因此，安全專家建議人們在“動蕩”時期要避免下意識地反應(yīng)和恐慌。

SYN Ventures公司執(zhí)行合伙人兼聯(lián)合創(chuàng)始人Jay Leek說：“這是一個負面的峰值，但它與安全社區(qū)正在實現(xiàn)的價值不斷增加無關(guān)，我們正處于一個真正的重建周期。這是首席信息安全官和安全從業(yè)人員發(fā)揮領(lǐng)導(dǎo)作用，并在展示自己能力的同時繼續(xù)前進的機會。”

他表示，雖然在經(jīng)濟不穩(wěn)定和災(zāi)難性地緣政治事件中尋找機會可能具有挑戰(zhàn)性，但網(wǎng)絡(luò)安全一直具有彈性，部分原因在于其作為安全網(wǎng)的固有作用。安全行業(yè)的工作是幫助公眾減少恐懼感。首席信息安全官有機會幫助人們管理和減輕風(fēng)險，并緩解最近事件可能加劇的擔(dān)憂。如果能夠滿懷信心地利用這一責(zé)任，而不是傲慢自大，將會實現(xiàn)網(wǎng)絡(luò)安全。

首席信息安全官有很多事情要做，這是因為如今的網(wǎng)絡(luò)攻擊事件和原因越來越復(fù)雜，因為民族國家行為者也在利用網(wǎng)絡(luò)和最近的全球性事件通過竊取、泄露數(shù)據(jù)以及破壞關(guān)鍵業(yè)務(wù)和客戶資產(chǎn)來獲得戰(zhàn)略優(yōu)勢。

JupiterOne公司首席信息安全官兼研究主管Sounil Yu說：“首席信息安全官仍在努力解決基本問題，但解決問題從來都不是一件容易的事情，而且在過去的一年里變得越來越麻煩。除了我們已經(jīng)看到的面向數(shù)據(jù)和面向網(wǎng)絡(luò)的攻擊之外，還會遇到由于固件被屏蔽而無法恢復(fù)端點的情況。還將遇到無法重新創(chuàng)建或重新部署應(yīng)用程序的情況，因為代碼已被完全清除，甚至可能會達到無法從這些類型的災(zāi)難性、不可逆轉(zhuǎn)的事件中恢復(fù)過來的地步。”

勒索軟件攻擊

當(dāng)前持續(xù)的俄烏沖突將勒索軟件攻擊推到了風(fēng)口浪尖，Agora公司首席安全官Roger HaleRoger Hale認為，這一新發(fā)展及其對安全的影響表明過去幾年首席信息安全官的角色發(fā)生了轉(zhuǎn)變。他說：“處理勒索軟件不僅是安全問題，還是業(yè)務(wù)連續(xù)性問題。如果問從新冠疫情和轉(zhuǎn)向遠程工作中學(xué)到了什么，那就是安全對于企業(yè)開展業(yè)務(wù)的影響范圍越來越廣。在這場沖突中，國際公司意識到他們在這2個國家都擁有資產(chǎn)，因此必須減輕客戶對其資源的擔(dān)憂，并處理核實他們是否遵守國際商業(yè)制裁的要求。這些問題都要在首席信息安全官那里得到解決?！?h3>首席信息安全官的角色正在發(fā)生變化

Jay Leek強調(diào)了這種改變首席信息安全官角色的方法，這是初創(chuàng)公司創(chuàng)始人應(yīng)該注意的一個急劇轉(zhuǎn)變。他說：“大多數(shù)大型企業(yè)中的首席信息安全官不再對其產(chǎn)品或解決方案做出任何決定，已將其委托給團隊中的人員。如果你還在努力向首席信息安全官推銷解決方案，但決策的職位卻低了1～2層，雖然首席信息安全官可以阻止或批準，但他不會將這個方案推薦給他們的團隊。當(dāng)你為企業(yè)的安全計劃營銷解決方案時，需要確保針對的是正確的群體。”

最近發(fā)生的另一次網(wǎng)絡(luò)攻擊Log4j漏洞讓人們發(fā)現(xiàn)了一個震驚的盲點，盡管該漏洞無處不在，但許多企業(yè)未能做好準備。IBM咨詢公司全球網(wǎng)絡(luò)安全副總裁兼高級合伙人Debbie Taylor Moore說：“人們?nèi)匀粚@次網(wǎng)絡(luò)攻擊感到不知所措，這是一個持續(xù)的過程。嵌套依賴項存在真正的挑戰(zhàn)，我們正在意識到20世紀90年代的缺陷如何從過去卷土重來，并在未來幾年困擾著所有人?，F(xiàn)在這是一個供應(yīng)生態(tài)系統(tǒng)。到處都有相互依賴關(guān)系，如果企業(yè)想在共享供應(yīng)商中進行依賴關(guān)系映射并鞏固治理或合規(guī)性，這是一個機會?！?/p>

對于首席信息安全官來說，確保其供應(yīng)商自身安全已不再足夠，這些依賴關(guān)系很復(fù)雜，代碼依賴關(guān)系通常通過供應(yīng)鏈連接到其他各個方面，從而引入了必須管理的大量風(fēng)險。

Sounil Yu說：“Log4J漏洞真正讓我們注意的是，必須將其視為必須管理的風(fēng)險，而不是指望另一方的修復(fù)，企業(yè)應(yīng)該對Log4J漏洞持續(xù)不斷地損害做好預(yù)防和準備，并考慮到這一點來設(shè)計環(huán)境，例如設(shè)計系統(tǒng)需要企業(yè)具有良好的出口過濾功能。如果能夠管理好自己的風(fēng)險，就不必擔(dān)心供應(yīng)鏈中發(fā)生的事情?！?h3>尋找合適的安全平臺

首席信息安全官的安全堆?？赡芤呀?jīng)準備好緩解這些和即將到來的威脅，但是隨著網(wǎng)絡(luò)安全社區(qū)的重建和重組，首席信息安全官對于企業(yè)安全態(tài)勢的看法很感興趣———多點解決方案是否比一個統(tǒng)一的安全平臺更可??？

Debbie Taylor Moore說：“每個企業(yè)都有諾亞方舟的解決方案，解決方案和安全平臺方法都有價值。如果選擇一個平臺但忽略新興技術(shù)，那將是一個劣勢。另一方面，首席信息安全官已經(jīng)厭倦了與多個供應(yīng)商會面，可能正在尋找方法以跟上技術(shù)的發(fā)展。”

Sounil Yu堅持認為，當(dāng)首席信息安全官在點或平臺之間進行選擇時，以及當(dāng)企業(yè)家考慮構(gòu)建什么類型的產(chǎn)品時，他們必須考慮合適的時機。他說：“如果有一個新的威脅向量，那么單點解決方案每次都會獲勝。但隨著威脅向量的成熟，以及人們弄清楚如何處理它，集成良好的解決方案將成為贏家。這是一個時間問題，如果企業(yè)構(gòu)建了一個解決緊急問題的單點解決方案并且沒有其他解決方案，那么要盡快構(gòu)建和使用，但如果來不及，最好提供一個集成的解決方案。”

這些網(wǎng)絡(luò)風(fēng)險已經(jīng)轉(zhuǎn)化為日益普遍的商業(yè)風(fēng)險，經(jīng)濟衰退加劇了這種風(fēng)險，首席信息安全官的角色必須做出相應(yīng)的調(diào)整。企業(yè)的目標(biāo)應(yīng)該成為與支出、預(yù)算分配、目標(biāo)優(yōu)先級和其他高管關(guān)注點，以確保它們的重要性不會降低。如果首席信息安全官不能在談判桌前占有一席之地，無法全面了解業(yè)務(wù)轉(zhuǎn)變以及不能使企業(yè)保持其競爭優(yōu)勢，那么面對這些變化和威脅，他們將無法確保彈性和恢復(fù)。