2022年CISO最關(guān)心的問題

呂蘊(yùn)藉

對于許多組織而言，需要增加安全預(yù)算和員工編制來保護(hù)有價(jià)值的數(shù)據(jù)。我們生活在數(shù)字時(shí)代，如今即便是基本任務(wù)對技術(shù)的依賴也在成倍增加，而且每天都有新公司進(jìn)入市場，并承諾通過應(yīng)用程序和數(shù)字解決方案讓我們的生活變得更輕松。

由于疫情的影響，現(xiàn)在的企業(yè)比以往任何時(shí)候都更加依賴技術(shù)，雖然有些限制已經(jīng)解除，但世界已經(jīng)進(jìn)入“新常態(tài)”，世界各地的企業(yè)表示他們正在采用遠(yuǎn)程或混合辦公模式。再加上業(yè)務(wù)運(yùn)營對各種應(yīng)用程序和服務(wù)的日益依賴，從而導(dǎo)致漏洞不斷增加。

隨著員工對靈活工作方式的適應(yīng)，安全專業(yè)人員的任務(wù)便是尋找新的、可靠的方法來實(shí)現(xiàn)數(shù)據(jù)和網(wǎng)絡(luò)安全。在這種新形勢下，2022年CISO最關(guān)心的是什么？有幾個(gè)關(guān)鍵領(lǐng)域脫穎而出。

勒索軟件/惡意軟件

網(wǎng)絡(luò)犯罪分子的敏捷性是無與倫比的，勒索軟件攻擊的增加就是明證。《福布斯》最近的一篇文章列出了一些驚人的數(shù)字：勒索軟件占所有安全漏洞的10 %；一項(xiàng)調(diào)查發(fā)現(xiàn)，37 %的全球組織在2021年成為某種勒索軟件攻擊的受害者；根據(jù)FBI的數(shù)據(jù)，2021年1-7月，勒索軟件攻擊同比增長了62 %。

2021年，平均贖金為81.2萬美元，比上一年增加了近65萬美元。受這些攻擊影響的公司中有近一半支付了攻擊者要求的贖金，這使得勒索軟件本身成為了一個(gè)行業(yè)。

由于勒索軟件經(jīng)常利用最終用戶的天真或失誤，導(dǎo)致整個(gè)組織的網(wǎng)絡(luò)和數(shù)據(jù)受到攻擊。CISO專注于通過滲透測試（通過模仿攻擊）采取預(yù)防措施，并確保最終用戶獲得充足的信息以做出明智的決策，還要確保軟件和補(bǔ)丁更新對于IT預(yù)算和戰(zhàn)略至關(guān)重要。

云和網(wǎng)絡(luò)安全

雖然遠(yuǎn)離本地安裝和物理介質(zhì)為IT部門節(jié)省了大量時(shí)間和精力，但它也讓安全專業(yè)人員保持警覺。云環(huán)境可能會造成嚴(yán)重的安全可見性差距，增加預(yù)防策略、管理網(wǎng)絡(luò)和應(yīng)用程序的復(fù)雜性。

2021年底，Log4Shell攻擊敲響了警鐘，將云安全推到了各地CISO優(yōu)先級列表的首位。該攻擊利用了Java應(yīng)用程序使用的Log4j日志框架，允許攻擊者加載和執(zhí)行惡意代碼。黑客可以通過Java控制易受攻擊的設(shè)備，進(jìn)而允許他們建立后門、創(chuàng)建僵尸網(wǎng)絡(luò)并發(fā)起勒索軟件攻擊。

這次全球性攻擊引起了人們對云安全的關(guān)注，87 %的受訪者表示他們對自己的策略缺乏信心。為多云平臺提供保護(hù)的公司已通過加速其工具的開發(fā)來應(yīng)對這一威脅。

API安全

API是現(xiàn)代社會的基礎(chǔ)，因?yàn)閹缀跛泄δ芏家蕾囉谀撤N應(yīng)用程序。隨著組織使用的應(yīng)用程序數(shù)量的增長，用于集成或支撐流程的API數(shù)量也在增加。

不幸的是，盡管API對使用它們的組織很有幫助，但它們也吸引了試圖利用安全漏洞的狡猾攻擊者注意。

2021年，API攻擊增長了令人難以置信的681 %，而API流量增長了321 %。API特別容易受到攻擊，因此，它們對強(qiáng)大的安全性提出了獨(dú)特的挑戰(zhàn)。API環(huán)境的不斷變化使得安全專業(yè)人員難以跟上步伐，使得組織容易受到數(shù)據(jù)泄露、SQL注入、拒絕服務(wù)攻擊、惡意軟件和偽造用戶身份驗(yàn)證的影響。

員工培養(yǎng)、人才招聘和儲備

2022年，各行業(yè)普遍存在的抱怨是缺乏熟練且可用的人員來填補(bǔ)關(guān)鍵職位。網(wǎng)絡(luò)安全職業(yè)網(wǎng)站CyberSeek報(bào)告稱，截至撰寫本文時(shí)，美國有超過70萬個(gè)職位空缺，而且數(shù)月來這個(gè)數(shù)字一直保持穩(wěn)定。

CISO認(rèn)識到了他們的組織中對頂級安全專業(yè)人員的需求（和價(jià)值），但在填補(bǔ)適當(dāng)角色上比較困難。培訓(xùn)和提升現(xiàn)有IT專業(yè)人員的技能會有所幫助，但這只是增加了他們的工作量而不是專注于網(wǎng)絡(luò)安全，因此這只是一種權(quán)宜之計(jì)。

隨著員工轉(zhuǎn)向遠(yuǎn)程和混合辦公模式，CISO還需要提醒最終用戶主動加強(qiáng)安全性。通過幫助用戶了解網(wǎng)絡(luò)犯罪分子使用的狡猾策略，組織更有機(jī)會保護(hù)他們的數(shù)據(jù)和最終用戶免受惡意活動的侵害。

隨著勒索軟件攻擊、API安全和網(wǎng)絡(luò)漏洞利用的增加，安全形勢正在迅速發(fā)生變化。CISO將預(yù)算和戰(zhàn)略重點(diǎn)放在主動和預(yù)防性安全措施上，同時(shí)提高員工的技能，并在市場上為他們的團(tuán)隊(duì)尋找有才華的專業(yè)人士。對于許多組織而言，需要增加安全預(yù)算和員工編制來保護(hù)有價(jià)值的數(shù)據(jù)。