2023年,将是企业数字化发展的关键年,随着企业面临越来越大的发展压力,唯有优化网络安全建设与运营工作,才能更好地适应宏观经济形势挑战,实现预期增长目标。日前,IT领域专业媒体VentureBeat采访了多家知名科技公司的CISO,就2023年企业网络安全威胁发展态势和重点工作进行了展望和预测。
—— Phil Venables | 谷歌云 CISO
作为业务覆盖全球的科技巨头企业,Google的安全管理部门将会和有关政府机构进行更深层次的协调与沟通,有效落实政府部门对于大型科技企业的保护性安全机制要求。在此背景下,公共部门和私营组织需要进一步加强知识共享,提高透明度,并增强防护新型威胁攻击的能力。
2023年,由于恶意攻击引发的威胁形势可能会变得更糟糕,这需要在技术基础设施方面相应的增加投入。恶意网络攻击在2023年只会有增无减。尽管我们对长期的网络安全建设发展抱以乐观,但对短期的态势却需要保持悲观预期。受到宏观经济态势的影响,可能很多企业组织在明年的安全建设投入会更谨慎,这对遏制越来越多的网络威胁将是一个难题。
—— CJ Moses | AWS CISO
为此,我们需要向所有人普及安全意识,同时吸引背景各异的一流网络人才,通过导师辅助、实习生计划和认证机会来培养更多的网络安全人才,进一步提高安全防护的自动化程度,并致力于建设充满活力的网络安全员工队伍。
—— Bret Arsenault | 微软 CISO
在微软之前的发展预测中,我们认为云时代会很快到来,传统密码技术将面临挑战,因此我们提前做好了计划和准备。现在,我们认为目前广泛应用的MFA可能变得不再安全,企业组织需要尽快做好应对计划和准备,企业的安全管理者需要站在攻击者的角度去思考。
—— Koos Lodewijkx | IBM CISO
展望2023年,我们会迎来更多非常新颖的人工智能技术创新应用,这些创新在网络防御领域有很大潜力。我们正在与IBM研究部门、IBM安全产品部门的同事密切合作,探索网络安全领域中全新的人工智能应用场景。
—— Kevin Cross | Dell CISO
如果基本面没做到位,安全防护也将无从谈起。我们会首先确保基础性的拦截和应对机制能够充分发挥功效,以便在应对层出不穷的威胁时保持从容状态。
网络安全人才匮乏阻碍了许多公司做好安全基本面。如今,没有多少员工拥有防护、检测和应对网络威胁的专业安全技能。因此,我们将注重提升安全团队的专业能力培养,提供持续培训和教育,同时支持他们的职业道路和兴趣爱好。
—— Mandy Andress | Elastic CISO
为了克服那些在技术层面难以解决的问题,企业组织需要进一步倡导开放式的安全建设,让安全从业人员能够查看应用系统的底层代码,并了解其在实际工作环境中的工作状态。这将帮助安全团队识别潜在盲点,并堵住安全技术架构的缺口,同时更好的剖析安全威胁风险。
由于新冠疫情和远程工作环境等因素影响,企业员工需要使用新技术来实现数字化的办公方式,但他们的安全意识却可能滞后,这就需要进一步加强网络安全意识培养,并在公司中构建网络安全文化。
—— John McClurg | BlackBerry CISO
2023年,我们还将致力于克服网络安全建设中普遍存在的专业技能短缺问题。面对人才储备告急的形势,提前采取网络安全预防措施将成为企业防范恶意攻击的有效手段之一,这样在面对突发性的安全事件时,不会因为一线安全员工数量不足导致慌乱和失误。
—— Jason Clark | Netskope CISO
- 安全建设的头号敌人是复杂性,因此在策略设计时就要关注并考虑运营流程的简化性;
- 组织在实施安全控制措施的时候,应该同时考虑其给带来安全运营带来的阻力;
- 重新梳理安全流程,摈弃那些并不必要的安全控制措施。
—— Brian Spanswick | Cohesity CISO
我们另一个重心是继续关注凭据管理,这包括加强基于角色的访问控制、最低权限访问和适当的密码管理。这个方面需要不断加强管理,才能确保环境变化后,凭据管理依然保持在预期的应用水平。
—— Niall Browne | Palo Alto Networks CISO
2023年,我们不仅要确保自身的软件应用系统安全可靠,还要确保合作伙伴的软件供应链也很安全。企业CISO的当务之急是,为组织使用的所有代码库、应用程序和第三方应用提供安全防护。
文章来源:安全牛综合编译
原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/831.html