2022年,在日趋实战化、高动态、高强度对抗的网络安全环境中,网络安全厂商和企业用户都在重新思考和评估新的安全技术、安全战术和安全策略。
2023年,将是企业数字化发展的关键年,随着企业面临越来越大的发展压力,唯有优化网络安全建设与运营工作,才能更好地适应宏观经济形势挑战,实现预期增长目标。日前,IT领域专业媒体VentureBeat采访了多家知名科技公司的CISO,就2023年企业网络安全威胁发展态势和重点工作进行了展望和预测。
对短期的安全态势保持悲观
—— Phil Venables | 谷歌云 CISO
2023年,如何保护国家技术基础设施免受恶意攻击将受到主管机构的更多关注,因此我们预计,将会有更多的安全防护政策颁布实施。
作为业务覆盖全球的科技巨头企业,Google的安全管理部门将会和有关政府机构进行更深层次的协调与沟通,有效落实政府部门对于大型科技企业的保护性安全机制要求。在此背景下,公共部门和私营组织需要进一步加强知识共享,提高透明度,并增强防护新型威胁攻击的能力。
2023年,由于恶意攻击引发的威胁形势可能会变得更糟糕,这需要在技术基础设施方面相应的增加投入。恶意网络攻击在2023年只会有增无减。尽管我们对长期的网络安全建设发展抱以乐观,但对短期的态势却需要保持悲观预期。受到宏观经济态势的影响,可能很多企业组织在明年的安全建设投入会更谨慎,这对遏制越来越多的网络威胁将是一个难题。
打造积极的安全文化
—— CJ Moses | AWS CISO
AWS在构建安全服务时一贯会高度重视客户的应用体验,我们认为,安全建设不只是使用最好的安全工具,更需要打造积极的安全文化。展望2023年,AWS安全团队将继续为组织和用户提供创新的网络安全服务,以解决业务健康发展问题,同时帮助客户确立安全第一的数字化发展观念。
为此,我们需要向所有人普及安全意识,同时吸引背景各异的一流网络人才,通过导师辅助、实习生计划和认证机会来培养更多的网络安全人才,进一步提高安全防护的自动化程度,并致力于建设充满活力的网络安全员工队伍。
应着眼更长远的未来
—— Bret Arsenault | 微软 CISO
网络安全建设是一个持续的、系统性的工作,因此作为安全专业人员,如果仅仅关注和预测2023年的威胁挑战是不够的,我们需要展望未来5年到10年的发展态势,为新型安全威胁出现做好准备。如果安全建设长期处于被动追赶和已发生的事件处置,那么只会更容易受到攻击。
在微软之前的发展预测中,我们认为云时代会很快到来,传统密码技术将面临挑战,因此我们提前做好了计划和准备。现在,我们认为目前广泛应用的MFA可能变得不再安全,企业组织需要尽快做好应对计划和准备,企业的安全管理者需要站在攻击者的角度去思考。
攻击面管理将更加复杂
—— Koos Lodewijkx | IBM CISO
2023年将至,我们的团队正在积极致力于适应不断变化的威胁环境,我们看到勒索软件攻击和针对关键基础设施的破坏性攻击正在成倍增长,这种趋势在短期内不会改变。同时,随着企业组织的网络攻击面变得更复杂、更分散,做好攻击面管理工作变得更重要。关注并加强攻击面管理以发现和修复高优先级漏洞,并及时进行企业环境中的威胁检测和响应,这样可以抢在攻击者得逞之前迅速发现和阻止对方。
展望2023年,我们会迎来更多非常新颖的人工智能技术创新应用,这些创新在网络防御领域有很大潜力。我们正在与IBM研究部门、IBM安全产品部门的同事密切合作,探索网络安全领域中全新的人工智能应用场景。
继续做好安全的基本面
—— Kevin Cross | Dell CISO
展望2023年,我和戴尔公司安全团队的首要任务并不是关注当下的最新安全技术应用趋势,而是会继续做好公司内部的网络安全基本功。我们必须做好安全防护的基本面,因为威胁分子善于利用并不复杂的安全弱点发起攻击。
如果基本面没做到位,安全防护也将无从谈起。我们会首先确保基础性的拦截和应对机制能够充分发挥功效,以便在应对层出不穷的威胁时保持从容状态。
网络安全人才匮乏阻碍了许多公司做好安全基本面。如今,没有多少员工拥有防护、检测和应对网络威胁的专业安全技能。因此,我们将注重提升安全团队的专业能力培养,提供持续培训和教育,同时支持他们的职业道路和兴趣爱好。
倡导开放式的安全建设
—— Mandy Andress | Elastic CISO
网络安全并不只是技术性的工作。2023年,网络安全团队的一种重要工作就是要更好地了解组织在技术层面和人员层面协同配合方面的薄弱环节。因为,当前的恶意攻击者越来越多的利用这些弱点来开展攻击。事实再三证明,人是安全链条中最薄弱的一环,企业应重视对IT专业人员进行适当的培训,同时为他们配备合适的系统以实现流程自动化。
为了克服那些在技术层面难以解决的问题,企业组织需要进一步倡导开放式的安全建设,让安全从业人员能够查看应用系统的底层代码,并了解其在实际工作环境中的工作状态。这将帮助安全团队识别潜在盲点,并堵住安全技术架构的缺口,同时更好的剖析安全威胁风险。
由于新冠疫情和远程工作环境等因素影响,企业员工需要使用新技术来实现数字化的办公方式,但他们的安全意识却可能滞后,这就需要进一步加强网络安全意识培养,并在公司中构建网络安全文化。
提前做好网络安全预防措施
—— John McClurg | BlackBerry CISO
根据美国政府颁布的14028号行政令,为政府部门提供软件的公司首先要考虑的是编制软件材料清单(SBOM),因为针对软件供应链的攻击通常是从访问最薄弱的环节开始的。在2023年,新的安全软件开发实践将会不断涌现,如何确保各种类型的企业组织遵循这些实践很重要。
2023年,我们还将致力于克服网络安全建设中普遍存在的专业技能短缺问题。面对人才储备告急的形势,提前采取网络安全预防措施将成为企业防范恶意攻击的有效手段之一,这样在面对突发性的安全事件时,不会因为一线安全员工数量不足导致慌乱和失误。
简化安全运营流程和人工操作
—— Jason Clark | Netskope CISO
随着网络威胁的发展以及企业数字化转型的深入,现代企业的网络安全运营工作正变得无比复杂,超过了很多企业安全团队的实际承受能力。在2023年,通过应用自动化技术,简化安全运营中的人工操作将几乎是所有CISO及其团队的工作重心。在此过程中,我们会优先评估以下方面因素:
安全建设的头号敌人是复杂性,因此在策略设计时就要关注并考虑运营流程的简化性;
组织在实施安全控制措施的时候,应该同时考虑其给带来安全运营带来的阻力;
重新梳理安全流程,摈弃那些并不必要的安全控制措施。
保障安全控制措施的覆盖面和有效性
—— Brian Spanswick | Cohesity CISO
2023年,我们的工作重心将侧重于提升主要安全控制措施的覆盖面和有效性。最近几起影响重大的安全事件表明,攻击者只需要利用安全环境中的基本漏洞,就可以访问关键系统和敏感数据。我们同时将继续致力于为所有员工提供安全意识培训和社会工程攻击方面的教育,通过加强安全意识来形成和保持减小威胁暴露面所需的“肌肉记忆”。
我们另一个重心是继续关注凭据管理,这包括加强基于角色的访问控制、最低权限访问和适当的密码管理。这个方面需要不断加强管理,才能确保环境变化后,凭据管理依然保持在预期的应用水平。
加强软件供应链安全建设
—— Niall Browne | Palo Alto Networks CISO
在过去几年中,企业组织的数字化转型快速发展,数字化程度大大提高,这让软件供应链安全防护受到广泛的关注。Log4j漏洞攻击已经表明了这类攻击的危害性,一个脆弱的代码库就能影响成数千家公司。而这类攻击不会销声匿迹,并会在今后几年急剧增多。
2023年,我们不仅要确保自身的软件应用系统安全可靠,还要确保合作伙伴的软件供应链也很安全。企业CISO的当务之急是,为组织使用的所有代码库、应用程序和第三方应用提供安全防护。