日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

保護(hù)軟件供應(yīng)鏈和開(kāi)源軟件生態(tài)系統(tǒng)，實(shí)現(xiàn)零信任，教育員工了解社交工程和網(wǎng)絡(luò)釣魚(yú)企圖的風(fēng)險(xiǎn)，這些只是CISOs正在評(píng)估的一些領(lǐng)域，旨在降低潛在風(fēng)險(xiǎn)。

創(chuàng)新互聯(lián)公司主要為客戶提供服務(wù)項(xiàng)目涵蓋了網(wǎng)頁(yè)視覺(jué)設(shè)計(jì)、VI標(biāo)志設(shè)計(jì)、成都全網(wǎng)營(yíng)銷推廣、網(wǎng)站程序開(kāi)發(fā)、HTML5響應(yīng)式成都網(wǎng)站建設(shè)、成都手機(jī)網(wǎng)站制作、微商城、網(wǎng)站托管及網(wǎng)頁(yè)維護(hù)、WEB系統(tǒng)開(kāi)發(fā)、域名注冊(cè)、國(guó)內(nèi)外服務(wù)器租用、視頻、平面設(shè)計(jì)、SEO優(yōu)化排名。設(shè)計(jì)、前端、后端三個(gè)建站步驟的完善服務(wù)體系。一人跟蹤測(cè)試的建站服務(wù)標(biāo)準(zhǔn)。已經(jīng)為成都辦公空間設(shè)計(jì)行業(yè)客戶提供了網(wǎng)站營(yíng)銷服務(wù)。

近日，IT領(lǐng)域的專業(yè)媒體采訪了一些頂級(jí)技術(shù)公司的CISO，就2023年的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)和預(yù)測(cè)做出了概述。

1、谷歌云CISO Phil Venables

惡意行為會(huì)進(jìn)一步加劇，而對(duì)技術(shù)基礎(chǔ)設(shè)施的投資也會(huì)相應(yīng)地增加。

2023年，如何保護(hù)國(guó)家技術(shù)基礎(chǔ)設(shè)施免受惡意攻擊將受到聯(lián)邦政府的更多關(guān)注。在未來(lái)一年里，我預(yù)計(jì)拜登政府將在2021年《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》和2022年《國(guó)家安全備忘錄》之后實(shí)施一系列連貫的政策。

盡管公共和私營(yíng)部門(mén)的合作最近有所增長(zhǎng)，但各機(jī)構(gòu)和大型技術(shù)機(jī)構(gòu)之間必須進(jìn)行更深層次的協(xié)調(diào)與溝通?？梢院侠淼仡A(yù)期，政府可能會(huì)在機(jī)構(gòu)和大型技術(shù)組織之間實(shí)施更多的安全檢查點(diǎn)，以反映其滿足合規(guī)性的進(jìn)展。隨著這些措施的實(shí)施，我們預(yù)計(jì)將看到公共和私營(yíng)組織之間的知識(shí)共享進(jìn)一步加強(qiáng)，從而提高透明度并增強(qiáng)防護(hù)新型威脅攻擊的能力。

考慮到惡意行為會(huì)進(jìn)一步加劇，對(duì)技術(shù)基礎(chǔ)設(shè)施方面的投資也會(huì)相應(yīng)地增加。2022年惡意活動(dòng)不斷增加的情況將繼續(xù)延續(xù)到2023年。盡管我們對(duì)長(zhǎng)期的網(wǎng)絡(luò)安全建設(shè)發(fā)展抱以樂(lè)觀，但對(duì)短期的態(tài)勢(shì)卻需要保持悲觀預(yù)期。受到宏觀經(jīng)濟(jì)態(tài)勢(shì)的影響，可能很多企業(yè)組織在明年的安全建設(shè)投入會(huì)更謹(jǐn)慎，這對(duì)遏制越來(lái)越多的網(wǎng)絡(luò)威脅將是一個(gè)難題。

2023年，我們預(yù)計(jì)在IT現(xiàn)代化方面的投資將會(huì)增加，特別是隨著惡意活動(dòng)的復(fù)雜性持續(xù)上升。在現(xiàn)代化的IT環(huán)境中，安全將成為基礎(chǔ)設(shè)施的“內(nèi)置”元素，而非“附加組件”，因此，即便面臨短期挑戰(zhàn)，IT現(xiàn)代化的長(zhǎng)期利益還是可觀的，是緩解不斷演變的網(wǎng)絡(luò)威脅的關(guān)鍵所在。

2、 AWS CISO CJ Moses

安全不僅要從使用最好的安全工具開(kāi)始，還要從建立安全文化開(kāi)始。

AWS在構(gòu)建安全服務(wù)時(shí)一貫會(huì)高度重視客戶的應(yīng)用體驗(yàn)，我們認(rèn)為，安全不僅始于使用最好的安全工具，還始于構(gòu)建安全文化。

展望2023年，AWS安全團(tuán)隊(duì)將繼續(xù)為用戶提供創(chuàng)新的網(wǎng)絡(luò)安全服務(wù)，幫助客戶優(yōu)先建立安全第一的思維，具體建議如下：

對(duì)每個(gè)人進(jìn)行安全教育——無(wú)論他們的角色或職稱——對(duì)安全運(yùn)營(yíng)而言至關(guān)重要。這包括從軟件開(kāi)發(fā)人員到客戶代表，再到高管層的所有人。

使用一種共同的語(yǔ)言談?wù)摪踩馕吨e極地教育每個(gè)人了解安全最佳實(shí)踐、期望和風(fēng)險(xiǎn)。當(dāng)人們接受安全教育時(shí)，他們就有能力做出更好的決策，從而產(chǎn)生積極的安全結(jié)果和更好的客戶體驗(yàn)。

教育只是一個(gè)開(kāi)始。建立安全第一的文化還需要將知識(shí)與行為結(jié)合起來(lái)。在安全第一的文化中，開(kāi)發(fā)人員在編寫(xiě)一行代碼之前會(huì)考慮安全問(wèn)題;產(chǎn)品經(jīng)理在設(shè)計(jì)新產(chǎn)品或服務(wù)之前會(huì)考慮安全問(wèn)題;高層決策者考慮的是安全風(fēng)險(xiǎn)會(huì)如何影響利潤(rùn)。最重要的是，安全第一的文化使他們所有人都能思考安全對(duì)他們的客戶體驗(yàn)有多么重要，以及為什么適當(dāng)?shù)陌踩顿Y對(duì)業(yè)務(wù)至關(guān)重要。

吸引來(lái)自不同背景的優(yōu)秀人才，培養(yǎng)安全領(lǐng)袖，加強(qiáng)安全第一的文化。如今的員工希望公司提供明確的職業(yè)發(fā)展道路、技能提升和領(lǐng)導(dǎo)力發(fā)展的機(jī)會(huì)。通過(guò)指導(dǎo)、學(xué)徒計(jì)劃和認(rèn)證機(jī)會(huì)來(lái)提升人才技能，建立一個(gè)包容和協(xié)作的環(huán)境，改善業(yè)務(wù)，為客戶提供更多價(jià)值。

盡可能地實(shí)現(xiàn)自動(dòng)化有助于構(gòu)建者專注于為客戶解決高價(jià)值問(wèn)題。像自動(dòng)推理和機(jī)器學(xué)習(xí)這樣的技術(shù)不僅可以為構(gòu)建者節(jié)省時(shí)間，而且還可以快速發(fā)現(xiàn)未知的安全風(fēng)險(xiǎn)，幫助企業(yè)更好地保護(hù)他們的基礎(chǔ)設(shè)施、應(yīng)用程序和客戶。

投資一支充滿活力的員工隊(duì)伍。過(guò)去兩年的經(jīng)歷告訴我們，人們希望在工作地點(diǎn)上保持靈活性和選擇權(quán)。確保員工使用的工具和環(huán)境的安全——無(wú)論他們位于何處——有助于保證企業(yè)的安全。但需要強(qiáng)調(diào)的是，確保所有員工的安全應(yīng)該是簡(jiǎn)單的、無(wú)摩擦的、盡可能自動(dòng)化的。

總之，這些優(yōu)先事項(xiàng)可以幫助企業(yè)通過(guò)關(guān)注團(tuán)隊(duì)中的人員和文化來(lái)改善其安全態(tài)勢(shì)。使用最好的安全工具有助于為安全運(yùn)營(yíng)打下堅(jiān)實(shí)的基礎(chǔ)。但是，提高安全的門(mén)檻意味著要在這個(gè)基礎(chǔ)上建立支柱，使有安全意識(shí)的人得到授權(quán)，并能夠在一種安全第一的文化中工作。

3、微軟 CISO Bret Arsenault

作為安全專業(yè)人士，僅僅關(guān)注和預(yù)測(cè)2023年將發(fā)生什么是不夠的。我們需要展望未來(lái)5年到10年的發(fā)展態(tài)勢(shì)，并為這些威脅做好準(zhǔn)備，因?yàn)槿绻阋晃蹲汾s，只能落入下風(fēng)，很容易受到攻擊。

在微軟之前的發(fā)展預(yù)測(cè)中，我們認(rèn)為云時(shí)代會(huì)很快到來(lái)，傳統(tǒng)密碼技術(shù)將面臨挑戰(zhàn)，因此我們提前做好了計(jì)劃和準(zhǔn)備?，F(xiàn)在，我們認(rèn)為目前廣泛應(yīng)用的MFA可能變得很脆弱，企業(yè)組織需要為此制定計(jì)劃?？傊?，你得像個(gè)黑客一樣思考。

4、 IBM CISO Koos Lodewijkx

過(guò)去兩年發(fā)生的事件清楚地提醒我們，我們的安全在多大程度上依賴于其他國(guó)家的安全——供應(yīng)鏈、合作伙伴和開(kāi)源。

在為2023年做準(zhǔn)備時(shí)，我們的團(tuán)隊(duì)正專注于適應(yīng)不斷變化的威脅環(huán)境，因?yàn)槔账鬈浖艉歪槍?duì)關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊正在成倍增長(zhǎng)，而且這種趨勢(shì)在短期內(nèi)不會(huì)改變。

隨著攻擊面變得越來(lái)越復(fù)雜和分散，更重要的是關(guān)注攻擊面管理，以發(fā)現(xiàn)和修復(fù)高優(yōu)先級(jí)漏洞，并及時(shí)進(jìn)行企業(yè)環(huán)境中的威脅檢測(cè)和響應(yīng)，這樣可以搶在攻擊者得逞之前迅速發(fā)現(xiàn)和阻止對(duì)方。

展望未來(lái)，我們會(huì)迎來(lái)更多非常新穎的人工智能技術(shù)創(chuàng)新應(yīng)用，這些創(chuàng)新在網(wǎng)絡(luò)防御領(lǐng)域擁有巨大潛力。我們正在與IBM研究部門(mén)和IBM安全產(chǎn)品部門(mén)的同事密切合作，探索網(wǎng)絡(luò)安全領(lǐng)域的新穎AI用例，這些用例遠(yuǎn)遠(yuǎn)超出了目前已付諸實(shí)踐的那些。

5、 Elastic CISO Mandy Andress

一個(gè)關(guān)鍵的優(yōu)先事項(xiàng)將是更好地了解組織在其安全態(tài)勢(shì)的技術(shù)和人員方面的交叉點(diǎn)的脆弱性。

考慮到最近和過(guò)去的網(wǎng)絡(luò)攻擊，就像我們?cè)赟olarWinds、Okta和其他公司身上看到的那樣，安全團(tuán)隊(duì)的一個(gè)關(guān)鍵優(yōu)先事項(xiàng)將是更好地了解其組織在安全態(tài)勢(shì)的技術(shù)和人員間的交叉點(diǎn)的脆弱性。當(dāng)前的漏洞和惡意行為者都越來(lái)越專注于利用技術(shù)和人員交叉的拐點(diǎn)。

為了解決任何技術(shù)弱點(diǎn)，我相信更多的組織將需要開(kāi)始在開(kāi)放環(huán)境中開(kāi)發(fā)安全，這使安全從業(yè)者能夠看到產(chǎn)品的底層代碼，并理解其在他們的環(huán)境中是如何運(yùn)行的。這將幫助安全團(tuán)隊(duì)識(shí)別潛在的盲點(diǎn)，并解決安全技術(shù)堆棧中的空白，同時(shí)為新的和正在出現(xiàn)的威脅開(kāi)發(fā)風(fēng)險(xiǎn)預(yù)測(cè)。

安全中的人員因素要稍微微妙一些，因?yàn)樗y以預(yù)測(cè)。某些因素(如大流行和遠(yuǎn)程工作環(huán)境)使人們比以往任何時(shí)候都更多地與技術(shù)聯(lián)系和互動(dòng)，但這并不一定使他們更具安全意識(shí)。

6、 黑莓CISO John McClurg

對(duì)網(wǎng)絡(luò)安全采取“預(yù)防優(yōu)先”的方法將成為企業(yè)防范惡意行為者的最佳方法之一。

根據(jù)拜登總統(tǒng)頒發(fā)的14028號(hào)行政命令，為美國(guó)政府提供軟件的公司首先要考慮的是制定軟件材料清單(SBOM)，因?yàn)樗麄円芾磉@些新要求的細(xì)節(jié)和影響。

對(duì)軟件供應(yīng)鏈的攻擊往往是從訪問(wèn)最薄弱的環(huán)節(jié)開(kāi)始的。隨著我們步入新的一年，根據(jù)新的安全軟件開(kāi)發(fā)實(shí)踐的要求，讓各種規(guī)模的企業(yè)參與進(jìn)來(lái)至關(guān)重要。

安全領(lǐng)域的領(lǐng)導(dǎo)者也將專注于填補(bǔ)他們的網(wǎng)絡(luò)安全技能短缺。面對(duì)不斷擴(kuò)大的網(wǎng)絡(luò)安全人才缺口，在網(wǎng)絡(luò)安全方面采取“預(yù)防優(yōu)先”的方法最終是企業(yè)防范惡意行為者的最佳方式之一，因?yàn)槲覀兯媾R的威脅與所需安全人員之間的差距將越來(lái)越大。

7、Palo Alto Networks CISO Niall Browne

最重要的是，不僅要確保您自己組織的軟件供應(yīng)鏈?zhǔn)前踩?，還要確保與您有業(yè)務(wù)往來(lái)的公司的軟件供應(yīng)鏈也是安全的。

在過(guò)去的幾年里，我們看到每個(gè)組織都變成了數(shù)字企業(yè)。但另一方面，組織在數(shù)字化方面的顯著發(fā)展在一定程度上促進(jìn)了惡意行為者利用脆弱的軟件供應(yīng)鏈。Log4j攻擊向我們展示了這些攻擊的危害性，一個(gè)脆弱的代碼庫(kù)足以影響數(shù)千家公司。

糟糕的是，這些類型的攻擊非但不會(huì)消失，還將在未來(lái)幾年呈指數(shù)級(jí)增長(zhǎng)。Gartner預(yù)測(cè)，到2025年，全球45%的組織的軟件供應(yīng)鏈將遭遇攻擊，比2021年增加三倍。

因此，最重要的是，不僅要確保您自己組織的軟件供應(yīng)鏈?zhǔn)前踩?，還要確保與您有業(yè)務(wù)往來(lái)的公司的軟件供應(yīng)鏈也是安全的。對(duì)于每一位CISO來(lái)說(shuō)，最優(yōu)先考慮的是對(duì)組織使用的每一個(gè)代碼庫(kù)、應(yīng)用程序和第三方進(jìn)行適當(dāng)?shù)陌踩雷o(hù)。

8、Dell CISO Kevin Cross

我們必須出色地執(zhí)行安全基礎(chǔ)操作，因?yàn)橥{行為者通常會(huì)利用這些漏洞侵入、橫向移動(dòng)并破壞網(wǎng)絡(luò)環(huán)境。

展望2023年，我們的首要任務(wù)并不是關(guān)注當(dāng)前的最新安全技術(shù)應(yīng)用趨勢(shì)，而是會(huì)繼續(xù)做好網(wǎng)絡(luò)安全的基礎(chǔ)衛(wèi)生工作。我們必須出色地執(zhí)行這些基本操作，因?yàn)橥{行為者善于利用這些薄弱緩解侵入、橫向移動(dòng)并破壞環(huán)境。

如果基本操作不健全，安全防護(hù)也將無(wú)從談起。我們會(huì)不斷地確?；A(chǔ)性的攔截和應(yīng)對(duì)機(jī)制能夠充分發(fā)揮功效，以便在應(yīng)對(duì)層出不窮的威脅時(shí)保持從容狀態(tài)。

對(duì)許多組織來(lái)說(shuō)，網(wǎng)絡(luò)安全人才匱乏阻礙了安全基本知識(shí)的獲取和執(zhí)行。在現(xiàn)有的勞動(dòng)力中，很少有人具備防護(hù)、檢測(cè)、響應(yīng)和從網(wǎng)絡(luò)威脅中恢復(fù)所需的專業(yè)網(wǎng)絡(luò)安全技能。因此，我們將注重提升安全團(tuán)隊(duì)的專業(yè)能力培養(yǎng)，提供持續(xù)培訓(xùn)和教育，同時(shí)支持他們的職業(yè)道路和興趣愛(ài)好。

9、Arctic Wolf CISO Adam Marré

無(wú)論是供應(yīng)商方面的團(tuán)隊(duì)還是內(nèi)部專家，擁有合適的團(tuán)隊(duì)?wèi)?yīng)該是所有公司的優(yōu)先事項(xiàng)。

由于網(wǎng)絡(luò)攻擊持續(xù)影響全球各地的組織，領(lǐng)導(dǎo)者應(yīng)該繼續(xù)投資于網(wǎng)絡(luò)安全人才，并關(guān)注網(wǎng)絡(luò)安全的基礎(chǔ)衛(wèi)生工作。盡管新技術(shù)不斷涌現(xiàn)，旨在解決不同的攻擊載體，但專注于成功執(zhí)行網(wǎng)絡(luò)安全的基礎(chǔ)衛(wèi)生工作仍然是最有效的戰(zhàn)略。

《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》和其他安全事件報(bào)告顯示，大多數(shù)成功的攻擊都涉及使用憑據(jù)或利用已有安全補(bǔ)丁的軟件漏洞。這意味著大多數(shù)組織仍然沒(méi)有執(zhí)行基礎(chǔ)的安全憑據(jù)處理和補(bǔ)丁/漏洞管理。

為了確保完成這些基礎(chǔ)操作，組織需要一支專注于安全的團(tuán)隊(duì)。無(wú)論是供應(yīng)商方面的團(tuán)隊(duì)還是內(nèi)部專家，擁有合適的團(tuán)隊(duì)?wèi)?yīng)該是所有公司的優(yōu)先事項(xiàng)。

10、CyCognito CISO Anne Marie Zettlemoyer

和大多數(shù)公司一樣，我們必須最大化安全資源和投資;因此，安全“左移”——將安全盡早納入產(chǎn)品的開(kāi)發(fā)流程中——至關(guān)重要。

作為一家技術(shù)公司，我們面臨著一項(xiàng)重要的責(zé)任，那就是確保我們所構(gòu)建的東西及其構(gòu)建方式對(duì)公司和我們所服務(wù)的每位客戶都是安全的。我們感謝客戶賦予我們的信任，并努力將安全構(gòu)建到我們所做的每一件事中。

和大多數(shù)公司一樣，我們必須最大化安全資源和投資;因此，安全“左移”——將安全盡早納入產(chǎn)品的開(kāi)發(fā)流程中——至關(guān)重要。這樣一來(lái)，我們將能盡早發(fā)現(xiàn)缺陷，以便更快、更有效的實(shí)施補(bǔ)救，從而減少M(fèi)TTR并降低成本。

我們利用在安全和工程方面的專業(yè)知識(shí)，開(kāi)發(fā)安全、可靠和值得信賴的工具;我們利用自己的平臺(tái)來(lái)確保我們不僅對(duì)自己的動(dòng)態(tài)攻擊面有很好的了解，還會(huì)定期測(cè)試我們的應(yīng)用程序、機(jī)器和云實(shí)例的可靠性，以便以主動(dòng)的方式管理風(fēng)險(xiǎn)，并領(lǐng)先于攻擊者。

11、Tessian CISO Josh Yavor

在攻擊者眼中，并沒(méi)有所謂的工作和生活的界限。

2023年，CISO需要專注于如何在公司系統(tǒng)之外保護(hù)員工。我們?cè)絹?lái)越多地看到，攻擊者利用員工的個(gè)人網(wǎng)絡(luò)——通過(guò)領(lǐng)英、短信或個(gè)人電子郵件賬戶——進(jìn)行社會(huì)工程詐騙，目標(biāo)是破壞企業(yè)網(wǎng)絡(luò)環(huán)境。

例如，如果一名員工的筆記本電腦被侵入，攻擊者通?？梢栽L問(wèn)該員工的個(gè)人電子郵件，然后試圖通過(guò)社會(huì)工程讓其雇主的IT團(tuán)隊(duì)賦予他們?cè)L問(wèn)權(quán)限。

攻擊者并不會(huì)尊重員工工作和生活的界限，所以，很明顯，安全需要擴(kuò)展到企業(yè)網(wǎng)絡(luò)之外，但有一個(gè)重要的平衡，CISOs和安全領(lǐng)導(dǎo)者需要達(dá)成。我們?nèi)绾尾粌H在工作上支持員工，而且在他們的個(gè)人生活中也支持他們，同時(shí)還尊重他們的個(gè)人設(shè)備和賬戶隱私?

12、Netskope CISO Jason Clark

安全性最大的敵人是復(fù)雜性。

最近與我交談過(guò)的幾乎每一位首席信息官都有同樣的優(yōu)先考慮事項(xiàng)：簡(jiǎn)化安全操作。由于預(yù)算整合，技術(shù)堆棧變得過(guò)于復(fù)雜，無(wú)法長(zhǎng)期可持續(xù)發(fā)展，它們正被迫簡(jiǎn)化安全。以下是我建議你首先評(píng)估的幾個(gè)方面：

安全建設(shè)的頭號(hào)敵人是復(fù)雜性，因此在策略設(shè)計(jì)時(shí)就要關(guān)注并考慮運(yùn)營(yíng)流程的簡(jiǎn)化性。在許多情況下，存在太多的安全控制，而沒(méi)有考慮到由此給業(yè)務(wù)帶來(lái)的摩擦。通過(guò)簡(jiǎn)化流程，您還可以消除一些不必要的控制措施。

13、Lightspin CISO Jonathan Rau

由于社會(huì)工程攻擊，基于推送的MFA(即MFA疲勞攻擊)已被證明是MFA的一個(gè)薄弱實(shí)現(xiàn)。

2022年，一種稱為“MFA”疲勞攻擊(又名“MFA推送垃圾郵件”)的社會(huì)工程技術(shù)在威脅行為者中越來(lái)越受歡迎。Lapsus$和Yanluowang威脅行為者更是成功使用這種類型的社會(huì)工程技術(shù)攻破了微軟、思科和優(yōu)步等大型知名組織。

到2023年，需要對(duì)MFA的實(shí)現(xiàn)方式和位置進(jìn)行投資和深入分析，捕獲日志細(xì)節(jié)并制定基于風(fēng)險(xiǎn)的策略控制，以防止MFA疲勞攻擊。

14、ExtraHop CISO Jeff Costlow

民族國(guó)家行為體將會(huì)升級(jí)他們?cè)趹{據(jù)填充(credential stuffing)方面的企圖。

個(gè)人社交媒體賬戶的用戶名和密碼仍然占據(jù)泄露數(shù)據(jù)的很大一部分。2023年，使用這些泄露憑據(jù)(包括企業(yè)賬戶)的更具針對(duì)性的賬戶接管攻擊嘗試將會(huì)增加。更具體地說(shuō)，民族國(guó)家行為體將會(huì)升級(jí)他們?cè)趹{據(jù)填充方面的企圖。

15、Cobalt CISO Andrew Obadiaru

幾乎每個(gè)組織都有收集和存儲(chǔ)客戶的敏感數(shù)據(jù)，這些數(shù)據(jù)的安全和防護(hù)將仍是2023年的一個(gè)關(guān)鍵優(yōu)先事項(xiàng)。

由于勒索軟件仍然是企業(yè)數(shù)據(jù)安全的頭號(hào)威脅，CISO應(yīng)該優(yōu)先強(qiáng)化安全監(jiān)控能力并建立防御機(jī)制。

另一個(gè)重點(diǎn)是安全分析。考慮到實(shí)時(shí)威脅的規(guī)模和速度，傳統(tǒng)的基于規(guī)則的安全信息和事件管理(SIEM)已遠(yuǎn)遠(yuǎn)不足。為了更好地應(yīng)對(duì)2023年，CISO應(yīng)將數(shù)據(jù)分析集成到安全監(jiān)控和警報(bào)分析中。

擺脫不掉的問(wèn)題，“我們是否已經(jīng)竭盡全力來(lái)保護(hù)我們自己和我們的客戶?我們是否可以采取其他措施?”真的讓我夜不能寐。事實(shí)是，我們已經(jīng)實(shí)施了一些安全措施，我們將繼續(xù)評(píng)估這些措施是否充分。

16、Darktrace CISO Mike Beck

鑒于日趨緊張的預(yù)算限制，CISO在建立有效的安全計(jì)劃方面將面臨一些艱難的選擇。

每年，網(wǎng)絡(luò)攻擊者都在不斷創(chuàng)新，以提高他們實(shí)施攻擊的能力和效率。

受到金錢(qián)利益誘惑的網(wǎng)絡(luò)犯罪分子，受到地緣政治緊張局勢(shì)驅(qū)動(dòng)的民族國(guó)家行為體，情報(bào)收集的可能性，全球組織面臨的攻擊正在繼續(xù)擴(kuò)大。全球企業(yè)的CISO在每一個(gè)網(wǎng)絡(luò)安全決策中都必須應(yīng)對(duì)這種背景。

在全球經(jīng)濟(jì)放緩的通貨膨脹環(huán)境下，鑒于預(yù)算日益緊張，CISO在建立有效的安全計(jì)劃方面將面臨幾個(gè)艱難的選擇。

許多公司將沒(méi)有能力繼續(xù)投資可以手動(dòng)操作安全功能的大型安全團(tuán)隊(duì)，而不得不將人工智能視為力量的乘數(shù)器。獲得全面的人工智能驅(qū)動(dòng)的安全解決方案，整合作為網(wǎng)絡(luò)安全項(xiàng)目補(bǔ)充的外包服務(wù)，以及保留關(guān)鍵的安全人才，將是CISO在2023年的主要目標(biāo)。

17、Corelight CISO Bernard Brantle

我在未來(lái)一年的首要任務(wù)是通過(guò)人員因素加強(qiáng)網(wǎng)絡(luò)安全。

2023年降至，面對(duì)不斷變化的威脅環(huán)境，我們當(dāng)前“以控制為中心”的應(yīng)對(duì)方法仍然是低效的，我們必須找到一種方法來(lái)發(fā)展我們最關(guān)鍵的資產(chǎn)：組織中的人員(人員網(wǎng)絡(luò))的安全敏感性。

安全組織需要維持許多以技術(shù)為中心的功能，以識(shí)別結(jié)構(gòu)缺陷并保護(hù)組織，但同時(shí)也要為“以人員為中心”的檢測(cè)、應(yīng)對(duì)和恢復(fù)功能提供支持。

18、Wiz CISO Ryan Kazanciyan

組織將與為這些機(jī)制提供不一致或不完整支持的內(nèi)部系統(tǒng)和供應(yīng)商系統(tǒng)作斗爭(zhēng)。

大規(guī)模部署抗釣魚(yú)多因素認(rèn)證，并管理不可避免的差距：2022年發(fā)生的事件強(qiáng)調(diào)了擺脫SMS、一次性密碼(TOTP)和基于推送的多因素認(rèn)證(MFA)的必要性。

抗釣魚(yú)的FIDO2 Web認(rèn)證(WebAuthn)比以往任何時(shí)候都更容易使用——通過(guò)硬件令牌、內(nèi)置硬件如TouchID和Windows Hello，以及最近發(fā)布的PassKeys——但組織將與為這些機(jī)制提供不一致或不完整支持的內(nèi)部系統(tǒng)和供應(yīng)商系統(tǒng)作斗爭(zhēng)。

“尾大不掉”的不兼容系統(tǒng)將迫使許多組織在未來(lái)許多年里繼續(xù)使用不安全的MFA方法來(lái)支持他們的環(huán)境。

19、GoTo CISO Michael Oberlaender

GoTo正致力于監(jiān)控并持續(xù)改進(jìn)自身的安全、技術(shù)和組織措施，以保護(hù)客戶的敏感信息。

除了SOC和SOC 3合規(guī)外，我們正在執(zhí)行一種“設(shè)計(jì)性防御(Security by Design，SbD)”方法，致力于最小權(quán)限和身份訪問(wèn)管理(IAM)、增強(qiáng)的多因素認(rèn)證(MFA)、零信任、資產(chǎn)管理和自動(dòng)化功能，這也將繼續(xù)成為我們未來(lái)一年的優(yōu)先事項(xiàng)。

考慮到數(shù)據(jù)泄露的平均成本已經(jīng)達(dá)到了歷史最高水平，企業(yè)需要采取一切預(yù)防措施來(lái)保護(hù)自己免受外部或內(nèi)部惡意人員的攻擊，而SbD模型是無(wú)可置疑的有效方法。

20、 JupiterOne CISO Sounil Yu

就我們的軟件供應(yīng)鏈而言，我們無(wú)異于正在吃“毒蘋(píng)果”。

我們最近看到了一些非常高調(diào)的攻擊行為，它們?yōu)E用了MFA實(shí)現(xiàn)，而這些實(shí)現(xiàn)仍然容易受到社交工程的影響。顯然，MFA并非萬(wàn)靈藥，尤其是考慮到用戶仍然容易被攻擊者誘騙交出MFA令牌。

2023年，我們應(yīng)該努力讓用戶意識(shí)到這些攻擊，并改進(jìn)MFA實(shí)現(xiàn)，使他們更有效地抵抗網(wǎng)絡(luò)釣魚(yú)。借用Richard Danzig的比喻，就我們的軟件供應(yīng)鏈而言，我們無(wú)異于正在吃“毒蘋(píng)果”。這種藥性并不會(huì)消失，所以我們需要學(xué)習(xí)如何在這些條件下生存和發(fā)展。

意識(shí)到風(fēng)險(xiǎn)(通過(guò)SOMS等努力)和管理風(fēng)險(xiǎn)(通過(guò)出口過(guò)濾等補(bǔ)償控制)將是2023年和未來(lái)的優(yōu)先事項(xiàng)。

21、 Digital Shadows CISO Rick Holland

CISO應(yīng)該了解公司明年的戰(zhàn)略目標(biāo)，并尋找最小化風(fēng)險(xiǎn)和實(shí)現(xiàn)業(yè)務(wù)主動(dòng)性的方法。

現(xiàn)在是為2023年制定計(jì)劃的時(shí)候，大部分焦點(diǎn)都集中在CISO明年應(yīng)該投資哪些安全工具上。CISO不應(yīng)該優(yōu)先考慮安全工具，而應(yīng)優(yōu)先考慮2023年的業(yè)務(wù)目標(biāo)。

明年的業(yè)務(wù)計(jì)劃是什么?公司是否將發(fā)布一款新產(chǎn)品，以產(chǎn)生實(shí)現(xiàn)收入目標(biāo)所需的可觀收入?公司要拓展到一個(gè)新的領(lǐng)域嗎?

CISO應(yīng)該了解公司明年的戰(zhàn)略目標(biāo)，并尋找最小化風(fēng)險(xiǎn)和實(shí)現(xiàn)業(yè)務(wù)主動(dòng)性的方法。業(yè)務(wù)風(fēng)險(xiǎn)也應(yīng)該驅(qū)動(dòng)CISO 2023年的優(yōu)先事項(xiàng)。美國(guó)證券交易委員會(huì)(SEC)10-K財(cái)務(wù)報(bào)表是很好的資源，概述了業(yè)務(wù)的主要風(fēng)險(xiǎn)。

22、Netenrich CISO Chris Morale

我們可以持續(xù)地對(duì)威脅可能性和業(yè)務(wù)影響進(jìn)行評(píng)分，以便對(duì)資源的最佳集中位置做出明智的決定。

我對(duì)2023年有一個(gè)優(yōu)先考慮的問(wèn)題——實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的風(fēng)險(xiǎn)決策。這意味著為業(yè)務(wù)部門(mén)提供一個(gè)儀表板和趨勢(shì)指標(biāo)，以了解構(gòu)成攻擊面的資產(chǎn)、漏洞和威脅的狀態(tài)。

由此，我們可以持續(xù)地對(duì)威脅可能性和業(yè)務(wù)影響進(jìn)行評(píng)分，從而對(duì)資源最好集中在何處做出明智的決定。要做到這一點(diǎn)，需要一個(gè)緊密集成的安全堆棧，將數(shù)據(jù)共享到單個(gè)聚合數(shù)據(jù)湖。

23、ReliaQuest CISO John Burger

2023年，我希望提高我們的量化能力，這樣我們就可以向領(lǐng)導(dǎo)層展示風(fēng)險(xiǎn)和美元之間的關(guān)聯(lián)性。

風(fēng)險(xiǎn)量化是我2023年的首要任務(wù)，因?yàn)檫@對(duì)確保我所有安全舉措的資金至關(guān)重要。而且，正如大多數(shù)CISO所意識(shí)到的那樣，新的安全支出并不容易獲得。

為了獲得資金支持，CISO必須能夠用美元量化潛在風(fēng)險(xiǎn)。雖然量化丟失一天應(yīng)用程序的實(shí)質(zhì)性影響，甚至是一次勒索軟件攻擊通常更容易，但要量化這種影響發(fā)生的概率就困難得多。

2023年，我希望提高我們的量化能力，這樣我們就可以向領(lǐng)導(dǎo)層展示風(fēng)險(xiǎn)和美元之間的關(guān)聯(lián)性。風(fēng)險(xiǎn)量化有可能提高我們與業(yè)務(wù)溝通的清晰度。

24、NS1 CISO Ryan Davis

長(zhǎng)久以來(lái)，安全問(wèn)題一直被視為事后考慮事項(xiàng)和成本中心。

面對(duì)不穩(wěn)定的經(jīng)濟(jì)環(huán)境，CISO要尋找在無(wú)需大量額外成本或投資的情況下增強(qiáng)安全部門(mén)影響力的方法，其中一個(gè)切實(shí)可行的方法是在組織內(nèi)部發(fā)展伙伴關(guān)系。

當(dāng)CISO和安全團(tuán)隊(duì)能夠帶頭與其他部門(mén)建立伙伴關(guān)系時(shí)，就可以降低組織安全的總體成本——無(wú)論是與HR合作在全公司范圍內(nèi)提高安全意識(shí)，還是對(duì)開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行安全方面的培訓(xùn)，或者與市場(chǎng)營(yíng)銷合作使安全成為業(yè)務(wù)差異化因素。

25、Nile CISO Krishna Athur

CISO必須努力實(shí)現(xiàn)安全協(xié)議的零信任。

網(wǎng)絡(luò)安全方法將成為未來(lái)的法律：CISO 必須積極與州和聯(lián)邦官員合作，就業(yè)務(wù)和數(shù)據(jù)安全要求教育政策制定者和立法者，以積極影響新法規(guī)的制定方式。

更重要的是，由于不同的州以不同的速度和方法采取行動(dòng)，CISO應(yīng)該專注于倡導(dǎo)聯(lián)邦官員介入，創(chuàng)建數(shù)據(jù)隱私和保護(hù)的國(guó)家標(biāo)準(zhǔn)。

CISO必須努力實(shí)現(xiàn)安全協(xié)議的零信任。CISO還必須尋找解決方案和供應(yīng)商，幫助他們將零信任從一個(gè)難以實(shí)現(xiàn)的目標(biāo)提升到一個(gè)安全標(biāo)準(zhǔn)。

26、 vArmour CISO Marc Woolward

我專注于幫助客戶從內(nèi)到外地了解他們的IT供應(yīng)鏈。

2023年，我的首要任務(wù)之一是解決軟件供應(yīng)鏈中的網(wǎng)絡(luò)安全和運(yùn)營(yíng)風(fēng)險(xiǎn)，特別是在監(jiān)管機(jī)構(gòu)繼續(xù)制定有關(guān)保護(hù)這一領(lǐng)域關(guān)鍵業(yè)務(wù)功能和機(jī)密數(shù)據(jù)的指導(dǎo)方針的情況下。從PyPI到Lapsus$，攻擊者正在充分利用第三方應(yīng)用程序中的漏洞，而且企業(yè)無(wú)法阻止他們。

我專注于幫助客戶從內(nèi)到外地了解他們的IT供應(yīng)鏈——無(wú)論是他們的應(yīng)用程序、數(shù)據(jù)流、代碼還是人員——并制定動(dòng)態(tài)策略來(lái)控制它。

只有通過(guò)這種由內(nèi)而外的供應(yīng)鏈視圖(通過(guò)可觀察性技術(shù)和軟件材料清單)，我們才能全面評(píng)估企業(yè)風(fēng)險(xiǎn)及其周圍的環(huán)境，選擇優(yōu)先級(jí)的安全策略，然后關(guān)閉企業(yè)軟件中容易被攻擊者利用的日常漏洞。

27、SandboxAQ CISO Nikolai Chernyy

我們需要集中精力保持良好的安全態(tài)度和積極的文化，鼓勵(lì)報(bào)告可疑活動(dòng)。

在2022年，Sandbox的員工從20人增加到近100人，我們預(yù)計(jì)在2023年將達(dá)到200-300人。隨著公司的發(fā)展，在維護(hù)安全規(guī)程(例如，繼續(xù)在所有地方強(qiáng)制SSO)的同時(shí)，支持越來(lái)越多的平臺(tái)的壓力也日益增加。

我們沒(méi)有邊界，用戶和技術(shù)復(fù)雜性的增加導(dǎo)致了更多的場(chǎng)景可以疊加起來(lái)，允許威脅行為者進(jìn)行操作。因此，我們必須格外小心，以確保遙測(cè)和隨著基礎(chǔ)設(shè)施和安全政策的變化而變化的規(guī)模繼續(xù)得到執(zhí)行。

最后，當(dāng)組織規(guī)模超過(guò)“鄧巴數(shù)字”時(shí)——是對(duì)一個(gè)人能夠保持穩(wěn)定社會(huì)關(guān)系的人數(shù)的認(rèn)知極限，鄧巴數(shù)字的估計(jì)值一般在100至250之間——我們需要集中精力保持良好的安全態(tài)度和積極的文化，鼓勵(lì)報(bào)告可疑活動(dòng)。

28、Cohesity CISO Brian Spanswick

攻擊者正在利用基本的漏洞訪問(wèn)關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)。

2023年，我們的工作重心將側(cè)重于提升主要安全控制措施的覆蓋面和有效性。最近幾起影響重大的安全事件表明，攻擊者只需要利用安全環(huán)境中的基本漏洞，就可以訪問(wèn)關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)。

我們同時(shí)將繼續(xù)致力于為所有員工提供安全意識(shí)培訓(xùn)和社會(huì)工程攻擊方面的教育，通過(guò)加強(qiáng)安全意識(shí)來(lái)形成和保持減小威脅暴露面所需的肌肉記憶。

我們另一個(gè)重心是繼續(xù)關(guān)注憑據(jù)管理，這包括加強(qiáng)基于角色的訪問(wèn)控制(RBAC)、最低權(quán)限訪問(wèn)和適當(dāng)?shù)拿艽a管理。這個(gè)方面需要不斷加強(qiáng)管理，才能確保環(huán)境變化后，憑據(jù)管理依然保持在預(yù)期的應(yīng)用水平。

29、Azion CISO Mauricio Pegoraro

我們期望CISO比以往任何時(shí)候都更重視代碼保護(hù)。

軟件供應(yīng)鏈的安全性繼續(xù)困擾著組織。我們預(yù)計(jì)，供應(yīng)鏈攻擊將變得更加復(fù)雜，但我們也希望看到組織開(kāi)發(fā)出復(fù)雜的解決方案來(lái)挫敗這些攻擊。

隨著供應(yīng)鏈攻擊的增加，我們預(yù)計(jì)CISO將在保護(hù)軟件開(kāi)發(fā)生命周期和建立形式化的補(bǔ)丁管理程序方面投入更多資金，以維護(hù)干凈的軟件庫(kù)。開(kāi)源代碼是軟件開(kāi)發(fā)創(chuàng)新的命脈，因此我們期望CISO比以往任何時(shí)候都更重視代碼保護(hù)。

30、Red Canary CISO Robb Reck

攻擊者比以往任何時(shí)候都更善于找到入侵環(huán)境的方法。

CISO最重要的技能是對(duì)公司內(nèi)外的了解，這意味著了解如何使用技術(shù)和數(shù)據(jù)來(lái)創(chuàng)造價(jià)值，并盡早參與新項(xiàng)目。這種程度的整合并不容易，也沒(méi)有結(jié)束日期，因此應(yīng)該是每個(gè)CISO在2023年優(yōu)先考慮的首要事項(xiàng)。

除此之外，CISO明年也確實(shí)有其他重要的優(yōu)先事項(xiàng)。

• 疫情永久地改變了員工對(duì)工作的看法。所有的領(lǐng)導(dǎo)者都需要重新評(píng)估他們對(duì)員工的期望，并通過(guò)外部合作伙伴和額外招聘來(lái)擴(kuò)充團(tuán)隊(duì)。
• 攻擊者比以往任何時(shí)候都更善于找到入侵環(huán)境的途徑，并利用這種途徑進(jìn)行勒索、知識(shí)產(chǎn)權(quán)盜竊或其他惡意目的。因此，組織需要專注于實(shí)現(xiàn)流程和技術(shù)，以幫助其快速發(fā)現(xiàn)并應(yīng)對(duì)繞過(guò)公司安全控制的攻擊者。

31、Druva CISO Yogesh Badwe

事實(shí)一再證明，人是安全鏈條中最薄弱的一環(huán)。

2023年，領(lǐng)導(dǎo)者應(yīng)該專注于培訓(xùn)員工、自動(dòng)化，并找到一個(gè)綜合解決方案，將安全和數(shù)據(jù)保護(hù)結(jié)合起來(lái)，以加固組織的數(shù)據(jù)安全。

將數(shù)據(jù)交給合適的人可能是棘手而復(fù)雜的事情。無(wú)數(shù)人員在數(shù)據(jù)泄露事件中扮演關(guān)鍵角色的例子證明：有人的地方就有風(fēng)險(xiǎn)，你永遠(yuǎn)無(wú)法安全。

事實(shí)一再證明，人是安全鏈條中最薄弱的一環(huán)。為了確保在災(zāi)難或攻擊后的數(shù)據(jù)恢復(fù)能力，組織應(yīng)該優(yōu)先考慮對(duì)IT專業(yè)人員進(jìn)行適當(dāng)?shù)呐嘤?xùn)，同時(shí)為他們配備正確的系統(tǒng)以實(shí)現(xiàn)流程自動(dòng)化。

重要的是，組織應(yīng)該拋棄團(tuán)隊(duì)必須手動(dòng)處理這些過(guò)程——從每晚備份數(shù)據(jù)到監(jiān)視系統(tǒng)——的想法。使用非接觸式系統(tǒng)，團(tuán)隊(duì)可以放心，他們的操作和數(shù)據(jù)總是安全的——即使災(zāi)難來(lái)襲。

32、CafeX CISO Neil Ellis

生態(tài)系統(tǒng)的復(fù)雜性正在改變2023年的威脅格局。

我們認(rèn)識(shí)到了這一點(diǎn)，并大力投資于監(jiān)控、檢測(cè)和提供IT環(huán)境信息的解決方案。作為一名CISO，我看到安全團(tuán)隊(duì)面臨的最大挑戰(zhàn)是如何利用這些信息并顯著減少補(bǔ)救時(shí)間。

我們使用我們的Challo平臺(tái)來(lái)編排和自動(dòng)化事件響應(yīng)，以此來(lái)加速內(nèi)部和外部專家之間的協(xié)作，簡(jiǎn)化對(duì)系統(tǒng)數(shù)據(jù)和文檔的安全訪問(wèn)，并自動(dòng)化與監(jiān)測(cè)工具捕獲和報(bào)告的各種事件類型相關(guān)的工作流程。

對(duì)事件響應(yīng)的投資直接解決了生態(tài)系統(tǒng)復(fù)雜性帶來(lái)的挑戰(zhàn)，并提高了過(guò)程中的敏捷性和網(wǎng)絡(luò)安全態(tài)勢(shì)。

網(wǎng)頁(yè)名稱：32位優(yōu)秀CISO對(duì)2023年網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)及預(yù)測(cè)的概述
網(wǎng)站網(wǎng)址：http://www.dlmjj.cn/article/cdgipji.html