2023年首席信息安全官（CISO）应该优先开展的10项重点工作

　　数据泄露、勒索软件攻击以及新冠疫情带来的严峻挑战，使企业管理层不断提升对网络安全的重视度，并开始就风险暴露和管理方法提出了更高要求。网络安全建设不再只是企业经营的一项成本，而是未来数字化转型发展的基础。因此，CISO和安全团队需要认真思考如何顺应这种不断变化的发展趋势。

　　为了帮助企业CISO更加高效地开展2023年度网络安全规划和建设工作，网络安全专家们给出了以下重点工作建议。

1. “提前做好勒索软件攻击的准备”

——Jobber安全主管Brian Masson

2023年，企业组织会看到更多的勒索软件攻击，因此安全主管们需要提前做好准备。身份和访问管理(IAM)一直是企业网络安全建设的薄弱环节。糟糕的密码实践、缺失多因素身份验证(MFA)等诸多不完善的网络安全防护状况在很长时间内难以在企业中得到根本性改变。同时，我们还会看到有政府背景的攻击正在造成越来越大的影响。在此形势下，企业组织应该尽快加强关键基础设施的安全防护，提前发现勒索软件攻击可能对组织数字化业务发展带来的影响，并通过开展安全演练等活动做好应对勒索攻击的准备。

2. “利用EDR技术重建端点安全”

——NTT DATA安全服务副总裁Sushila Nair

勒索软件攻击是企业数字化业务安全的主要威胁，并会愈演愈烈。而勒索病毒的初始感染途径大多是通过端点，因此组织需要加强端点安全建设，以减小攻击面。2023年，组织应该重视使用复杂的端点检测和响应(EDR)来重建端点的安全防护能力。此外，企业组织应该更注重结合MFA保护的单点登录，并更慎重地使用免费版SaaS应用程序或无法与单点登录集成的应用系统。

3. “让企业安全协同建设更广泛”

——Devo CISO Kayla Williams

如今企业对谁是网络安全工作的责任人存在诸多误解。CISO及安全团队所制定的安全战略，如果得不到企业管理层和各个业务部门的支持，就无法有效的落地实施。因此，要保障数字化转型的安全开展，企业每个部门都应该参与并配合实施安全团队的安全建议和防护控制措施。企业数字化发展中之所以存在大量的安全漏洞，主要原因在于安全团队的规划与具体实施之间存在脱节。在2023年，各企业应该努力去解决好这个问题，让各部门更重视网络安全工作，并且和IT部门、安全运营团队更好地协同配合。

4. “向零信任架构转型将更加重要”

——Veeam首席技术官Danny Allan

2023年企业网络安全建设的根本性任务就是要通过各种有效的方式应对新型网络攻击威胁，作为一种验证访问和提高安全性的手段，零信任架构会越来越重要，并会得到更多的项目预算。不过，企业向零信任架构转型需要慎重规划，现有系统和零信任环境需要时间磨合才能共存。目前零信任技术仍在快速成长，持续了解零信任技术和解决方案的发展对于长期保护投资很重要。

5. “让网络安全建设实践更加透明”

——Object First产品营销副总裁Tony Liau

消费者已经越来越意识到数据隐私保护的重要性，因此在2023年，企业与客户互动和沟通的方式将会有所改变。组织需要在与消费者的信息传达方面加强透明度，而不是企图淡化或隐瞒安全事件。企业需要及时承认问题，并透露安全事件的更多细节，这样可以表明自己在采取什么措施来缓解问题，并防止重蹈覆辙。客户会欣赏这种坦诚的做法，并更加信任在网络安全实践方面做到开放透明的企业。

6. “生成式AI被更加广泛的采用”

——Info-Tech Research Group首席研究员Fritz Jean-Louis

2023年，业务运营部门需要更加了解网络安全威胁环境，并招聘经验丰富的网络专家。这将使CISO能够在持续发展的数字化转型时代跟上竞争对手的步伐。生成式AI技术会在新一代安全工具中得到更广泛的应用。这种技术基于卷积神经网络，有助于检测关键性的网络异常、风险和模式。随着软件供应链攻击越来越致力于利用零day漏洞，企业现在有必要实现数字化业务发展中的持续安全运营。

7. “将安全策略即代码纳入到建设实践中”

——Veeam产品和合作伙伴关系副总裁Gaurav Rishi

随着容器化的应用系统开发模式成为主流，新型网络攻击途径和强度也会随之发生变化。这将导致Kubernetes原生数据保护工具变得更加重要，确保系统数据安全仍然是最后一道防线。企业不仅应该重视系统本身的使用安全和基础代码库保护，还应该加强系统使用中的身份管理和数据应用加密。在DevSecOps环境下，企业要尽快地将安全策略即代码整合到流程中，以落实额外的保护层，并确保安全实践在各种异构环境下能够统一实施。

8. “通过增强网络弹性来降低风险”

——Perfecto by Perforce首席市场官Eran Kinsbruner

移动设备在现代化办公中已经触手可及，其中存储有大量个人敏感数据，很容易成为恶意攻击的目标。企业在2023年须高度重视网络安全弹性和降低潜在风险的战略。为此，团队可以引入“安全左移”的防护方法，在应用的开发阶段识别安全漏洞和风险代码。当然，最理想的状态是在整个应用系统全生命周期中持续敏捷地整合测试参数和检查点，而不是仅仅局限于“安全左移”。因此，有条件的安全团队应该将安全分析能力引入到CI/CD管道，包括静态代码和动态分析活动，以及利用功能测试和模拟服务来进行验证。

9. “加强物联网应用的合规”

——比特梵德物联网安全主管Dan Berte

物联网漏洞将继续存在，并在2023年会继续困扰企业的物联网应用。一个重要原因就是，物联网方案商对安全研究人员披露的漏洞和补丁反应缓慢。随着《欧盟网络弹性法案》等新法规的颁布，预计会改善这方面的情况，这些法规会对物联网产品的销售和应用提出强制性的网络安全要求，并明确处罚的措施和要求。尽管相关法案的最终生效还需要几年的时间，但是企业应该对此提前进行准备。

10.“不断加强企业员工的安全培训”

——Menlo Security网络安全战略高级主管Mark Guntrip

目前，还没有迹象表明网络犯罪分子会减慢发起攻击的步伐。因此在2023年的网络安全威胁形势下，没有一家组织的信息化应用系统是绝对安全的，而人是安全领域最薄弱的环节。研究数据显示，无视组织安全建议的员工是企业安全决策管理者最为担心的薄弱因素。随着网络攻击者变得越来越狡猾，我们不断看到可以规避典型安全架构的新技术层出不穷，比如高度规避性自适应威胁(HEAT)攻击等。只有全面提升每个员工的安全意识和责任心，才能尽可能减少企业被恶意攻击的次数。

原创文章，作者：lishengli，如若转载，请注明出处：http://www.lishengli.com/lee/795.html