日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

對于很多首席信息安全官來說，即將到來的2023年是一個很好的時機，可以反思他們在2022年里學到的經(jīng)驗和教訓，以及如何將它們應用到未來。

動蕩的2022年即將結束，在這一年，埃隆·馬斯克收購了Twitter，俄烏沖突，許多員工重返辦公室。人們還看到，一些安全主管因隱瞞數(shù)據(jù)泄露而被判入獄。

這些事件以及更多事件改變了業(yè)務格局，迫使首席信息安全官在不確定領域前行。Trustwave公司的首席信息官Kory Daniels表示：“隨著網(wǎng)絡安全格局的變化，2022年是一個里程碑式的一年，我們將在研究網(wǎng)絡安全與數(shù)字信任何時以及為何融合在一起進行歷史回顧?！?/p>

2022年，很多企業(yè)都增加了安全預算。Daniels補充說，盡管如此，他們也意識到，如果安全團隊沒有真正展示他們?nèi)绾螏椭Ｗo企業(yè)，那么即使獲得投資也可能沒有更好的效果。

每個人都有自己的方法來分析這一年并反思發(fā)生的事情，這一舉措可以為未來提供寶貴的知識，因此人們需要了解一些首席信息安全官在今年學到的經(jīng)驗和教訓。

Veracode公司的首席信息安全官Sohail Iqbal表示:“如果企業(yè)不吸取這些教訓，并完善其安全實踐，我們將看到審計和第三方風險評估中的審查力度加大，這可能會對其業(yè)務產(chǎn)生財務、聲譽、運營甚至合規(guī)方面的影響?！?/p>

1、不要等到出現(xiàn)地緣政治沖突時才提高安全態(tài)勢

俄烏沖突促使民族主義組織和犯罪組織各自站隊，迫使企業(yè)接受政府部門發(fā)布的指導方針，這些指導方針旨在幫助它們提高安全態(tài)勢。這包括美國網(wǎng)絡安全和基礎設施安全局(CISA)的“盾牌”網(wǎng)絡安全警報和英國國家網(wǎng)絡安全中心(NCSC)的技術保證。Daniels說：“這場沖突促使許多企業(yè)詢問他們的網(wǎng)絡安全彈性準備情況，以阻止這些威脅行為者或擊敗網(wǎng)絡攻擊?！?/p>

這些問題早在幾年前就提出了。谷歌云平臺首席信息安全官辦公室主任Taylor Lehmann說:“不要等到擁有強大的進攻性網(wǎng)絡安全團隊的國家之間發(fā)生全球性沖突時，才去評估其安全態(tài)勢是否能夠合理地抵御網(wǎng)絡威脅和攻擊?！?/p>

企業(yè)和機構通常需要數(shù)年時間來彌補這些評估中發(fā)現(xiàn)的差距，并實施建議的控制措施，因此盡早提出問題是有益的。Lehmann補充說:“我們需要承認，保護企業(yè)免受高級安全威脅需要一些時間(有時需要幾十年)和努力?！?/p>

2、威脅行為激增，即服務的業(yè)務模式降低了進行網(wǎng)絡攻擊的門檻

歐盟網(wǎng)絡安全局(ENISA)稱，勒索軟件團伙在2022年不斷增加或重新整合，網(wǎng)絡威脅組織表現(xiàn)出“供應鏈攻擊和針對托管服務提供商的攻擊能力不斷增強”。此外，“黑客即服務”的業(yè)務模式也繼續(xù)受到關注。

美國網(wǎng)絡安全服務商Critical Insight公司的首席信息官Mike Hamilton表示：“現(xiàn)在每個人都可以成為網(wǎng)絡罪犯，并且不需要太多的技能。犯罪團伙采用即服務的業(yè)務模式降低了進入門檻，這體現(xiàn)在他們收到的誘餌信息的數(shù)量和性質(zhì)上?！?/p>

例如，C2aaS平臺DarkUtilities的高級訪問費用僅為9.99歐元。該平臺提供多種服務，包括遠程系統(tǒng)訪問、DDoS功能和加密貨幣挖掘。

3、未經(jīng)安全培訓的員工可能會讓企業(yè)損失數(shù)百萬美元

勒索軟件攻擊數(shù)量在2022年有所增加，企業(yè)和政府機構是最主要的目標。英偉達、豐田、SpiceJet、Optus、Medibank等公司，以及意大利巴勒莫市、哥斯達黎加、阿根廷和多米尼加共和國的政府機構都在2022年成為受害者，在這一年，出于經(jīng)濟動機和政治動機的勒索軟件組織之間的界限繼續(xù)模糊。

GuidePoint Security公司的首席信息官Gary Brickhouse表示，任何企業(yè)防御戰(zhàn)略的一個關鍵部分都應該是員工的安全意識培訓，因為員工仍然成為網(wǎng)絡釣魚和其他社交工程威脅行為者的目標。

不過在今年的一個積極進展是，企業(yè)董事會成員和高管們已經(jīng)開始更多地關注勒索軟件，因為他們已經(jīng)看到了這些網(wǎng)絡攻擊可能造成的運營影響。

4、各國政府正在更積極地為網(wǎng)絡安全立法

美國、英國和歐盟加強網(wǎng)絡安全立法，以更好地保護自己免受網(wǎng)絡事件的侵害。NCC集團的首席信息技術官Lawrence Munro表示:“關鍵風險正在被識別，我們看到立法干預的持續(xù)趨勢?！?/p>

在美國，聯(lián)邦和州一級的安全態(tài)勢都發(fā)生了變化。政府機構現(xiàn)在需要實施安全培訓，并遵循安全政策、標準和實踐。他們還需要報告安全事件并制定應對計劃。

Munro補充說，他的觀點已經(jīng)改變，應該積極主動地為即將到來的監(jiān)管做好準備。他說:“我已經(jīng)制定了監(jiān)控這一點的策略，我將進一步開發(fā)自動化元素，以確保提前為任何變化做好準備?！?/p>

企業(yè)需要注意數(shù)據(jù)隱私和安全規(guī)則不斷發(fā)展的事實。Lehmann表示：“了解企業(yè)之間的差異，并使其能夠滿足數(shù)據(jù)駐留、數(shù)據(jù)主權和數(shù)據(jù)本地化要求，這是當前至關重要的業(yè)務任務，而且將繼續(xù)增加復雜性?！?/p>

5、企業(yè)應該更好地跟蹤開源軟件

2021年底出現(xiàn)的Log4j危機在2022年持續(xù)不斷，影響了全球數(shù)萬個行業(yè)的企業(yè)和組織。根據(jù)CISA公司最近發(fā)布的一份調(diào)查報告，這一涉及遠程代碼執(zhí)行的漏洞在未來將繼續(xù)構成“重大風險”，因為它將在未來長期存在于系統(tǒng)中。

Thrive公司的首席信息安全官Chip Gibbons表示：“Log4j漏洞給很多業(yè)內(nèi)人士敲響了警鐘。許多企業(yè)甚至不知道該軟件正在某些系統(tǒng)中使用，因為他們真正關注的是面向互聯(lián)網(wǎng)的設備?！?/p>

雖然這個安全問題造成了混亂，但它也提供了學習機會。Sumo Logic公司的首席技術官兼高級副總裁George Gerchow說，“Log4j是一種詛咒，也是一種祝福，這讓我們在事件響應和資產(chǎn)跟蹤方面做得更好?！?/p>

Lehmann表示，企業(yè)開始加大力度跟蹤開源軟件，因為他們發(fā)現(xiàn)對他們使用的軟件的來源和質(zhì)量進行未經(jīng)驗證的信任會造成損害。

6、應該在識別漏洞方面加大力度

企業(yè)還應該采取更多措施來識別開源和閉源軟件中的漏洞。然而，這并不是一項簡單的任務，因為每年都會有成千上萬的漏洞出現(xiàn)。漏洞管理工具可以幫助識別操作系統(tǒng)應用程序中發(fā)現(xiàn)的漏洞并確定其優(yōu)先級。Iqbal表示：“我們需要了解第一方代碼中的漏洞，并有一個漏洞清單和管理第三方代碼風險的適當措施?！?/p>

Iqbal認為，一個良好的AppSec程序應該是軟件開發(fā)生命周期的一部分。Iqbal說:“如果一開始就編寫安全代碼，并預先管理漏洞，這對保護企業(yè)的信息安全將是非常重要的。別忘了，一切都是代碼。企業(yè)的軟件、應用程序、防火墻、網(wǎng)絡和策略都是代碼，因為代碼經(jīng)常變化，所以識別漏洞必須持續(xù)進行。”

7、企業(yè)需要采取更多措施防范供應鏈攻擊

供應鏈攻擊一直是導致2022年網(wǎng)絡安全問題的主要原因，一些網(wǎng)絡安全事件成為頭條新聞，包括針對Okra、GitHub OAuth令牌和AccessPress的黑客攻擊。2023年，防范這些威脅仍將是一個復雜的過程。Munro說:“我認為，供應鏈風險領域的快速發(fā)展讓許多企業(yè)感到困惑。我們看到大量資金投入到技術領域以解決問題，但對這些解決方案如何適應現(xiàn)有的生態(tài)系統(tǒng)缺乏了解?！?/p>

Munro表示，軟件材料清單(SBOM)帶來了新的框架和技術。Munro說: “具有管理信息聚合的工具、補充框架，如軟件工件的供應鏈級別(SLSA)和技術標準，例如漏洞可利用性交換或VEX。這一切都增加了復雜性，增加了對網(wǎng)絡防御者的挑戰(zhàn)?！?/p>

Lehmann補充說:“我們還應該考慮，如果硬件供應鏈受到損害將會有什么樣的影響，以及現(xiàn)在擁有什么能力?！?/p>

8、 應該將零信任作為核心理念

零信任計劃不僅僅是部署管理身份或網(wǎng)絡的技術。Iqbal說:“這是一種在數(shù)字交易時消除隱含信任并以展示信任取代的紀律和文化。這是一個同時進行的過程，需要跨越身份、端點設備、網(wǎng)絡、應用程序工作負載和數(shù)據(jù)?！?/p>

Iqbal補充說，每個產(chǎn)品和服務都應該支持單點登錄(SSO)/多因素身份驗證(MFA)，企業(yè)和非生產(chǎn)網(wǎng)絡應該與生產(chǎn)環(huán)境隔離。他補充說:“通過關聯(lián)多個信號，驗證端點的最新安全態(tài)勢，并使用行為分析進行身份驗證、訪問和授權也很重要?！?/p>

9、網(wǎng)絡責任保險的需求可能會繼續(xù)增加

近年來，網(wǎng)絡責任保險已成為一種必需品，但保險費用也有所增加。此外，在確定風險領域方面，企業(yè)還面臨保險公司的更多審查。Brickhouse表示：“這一過程比過去更加嚴格，增加了獲得網(wǎng)絡責任保險的時間和努力。企業(yè)應該將這一過程視為一次審計——提前做好準備，將其安全計劃和控制措施記錄在案，并準備好進行驗證。”

10、軟件測試的“左移”方法已經(jīng)過時

ReversingLabs公司的首席信息官Matt Rose表示，只是將風險“左移”是不夠的，雖然在早期階段通過測試來改進產(chǎn)品的概念是有意義的，但開發(fā)人員只是綜合應用程序安全計劃的一部分。他說：“DevOps流程的所有階段都存在風險，因此工具和調(diào)查必須在流程的各個階段轉(zhuǎn)移，而不僅僅是左移?！?/p>

Rose表示，更好的方法是在DevOps生態(tài)系統(tǒng)中提高安全性，包括構建系統(tǒng)和可部署構件本身。他補充說:“供應鏈風險和安全已變得越來越受重視，如果只實現(xiàn)左移，我認為不可能發(fā)現(xiàn)這些風險?！?/p>

11、為錯誤的資產(chǎn)使用錯誤的工具并不能解決問題

Halborn公司的聯(lián)合創(chuàng)始人、首席信息官Steven Walbroehl表示，“錘子的作用是釘釘子，而不是用來擰螺絲，因此要使用正確的工具。首席信息安全官需要觀察細微差別，為他們想要解決的問題找到合適的工具。他說：“2022年得到的一個教訓是，開發(fā)人員和企業(yè)不應該試圖將安全性泛化，并將其視為可以用于所有資產(chǎn)或資源的解決方案。我們都應該盡最大努力找到適合或適用于需要保護的特定技術的網(wǎng)絡安全解決方案或服務?！?/p>

12、企業(yè)需要理解其完整的應用程序架構

科技世界的復雜性每年都在增加，企業(yè)必須了解其整個應用程序生態(tài)系統(tǒng)，以避免重大安全漏洞。Rose說：“隨著開源軟件包、API、內(nèi)部開發(fā)代碼、第三方開發(fā)代碼和微服務的大量使用，應用程序變得越來越復雜，所有這些都與非常靈活的云原生開發(fā)實踐緊密相連。如果不知道要尋找哪種類型的風險，那么如何才能找到它?”

Rose表示，現(xiàn)代開發(fā)實踐關注的是越來越小的責任塊，因此沒有人能夠完全處理應用程序的每個方面。

13、安全應該是一項持續(xù)的努力

科技行業(yè)以外的很多公司認為，網(wǎng)絡安全是一次性的措施和活動，只需執(zhí)行一次，然后就會保證安全。然而，技術是動態(tài)的，因此保護它應該是一項需要風險管理方法的持續(xù)努力。Walbroehl說，“企業(yè)不應試圖將網(wǎng)絡安全視為一個成功或失敗的目標。”

Walbroehl建議企業(yè)識別關鍵過程和資產(chǎn)。然后，他們應該確定愿意接受其資產(chǎn)或流程有何種程度的安全級別。他補充說，一個很好的主意是優(yōu)先考慮將風險降低到這一水平所需的解決方案或流程。

14、制定計劃

2023年對首席信息安全官來說，很可能會讓人筋疲力盡。再次，他們將在各個方面面臨挑戰(zhàn)：俄烏沖突將會持續(xù)，一些國家可能會經(jīng)濟衰退，科技將繼續(xù)發(fā)展和進步。這就是他們需要為事件發(fā)生的情況制定計劃的原因。Gibbons說:“與其一時沖動，不如現(xiàn)在就做好準備?！?/p>

Trustwave公司的Daniels對此表示認同。他說：“我們在今年得到的一個最重要的教訓是，對網(wǎng)絡安全采取嚴格的反應性方法實際上會減緩或危及企業(yè)的競爭力、財務狀況和市場增長。主動的、甚至是可預測的網(wǎng)絡安全運營，以及創(chuàng)建有效地將安全融入業(yè)務的程序，正在成為安全領導者的一個重要事項?！?/p>
分享題目：首席信息安全官在2022年得到的14個經(jīng)驗和教訓
文章出自：http://m.5511xx.com/article/cocoohi.html