https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

觀點

CISO怎麼看2023年? 美國科技大廠資安長分享重要「待辦事項」

2022 / 12 / 13
編輯部
CISO怎麼看2023年? 美國科技大廠資安長分享重要「待辦事項」
2022年,無論是資安廠商或使用單位,隨著嚴峻的網安挑戰,大家都在重新思考和評估新的安全技術、安全戰術和安全性原則。2023年被認為是企業數位轉型的關鍵年,資安更是扮演企業或組織轉型的關鍵角色之一。國際媒體VentureBeat採訪了多位科技大廠CISO,就2023年企業網路安全威脅發展態勢和重點工作分享展望和預測。

對短期的安全態勢保持悲觀

       —— Phil Venables | Google Cloud CISO

2023年,保護國家基礎設施免受惡意攻擊將受到政府機構的更多關注,因此Google預計會有更多的安全防護政策頒佈實施。

Google的安全管理部門將與政府機構進行更深層次的協調與溝通,有效落實政府部門對於大型科技企業的保護性安全機制要求。因此,公共部門和私營組織需要進一步加強知識共用,提高透明度,並增強防護新型威脅攻擊的能力。

2023年,由於惡意攻擊可能會變得更嚴重並且有增無減,技術基礎設施方面需要相應的增加投入。儘管我們對長期的網路安全建設發展抱以樂觀,但對短期的態勢卻需要保持悲觀預期。受到宏觀經濟態勢保守預估影響,許多企業組織明年的安全建設投入會更加謹慎,這對遏制越來越多的網路威脅將是一個難題。

打造積極的安全文化

      —— CJ Moses | AWS CISO

AWS在構建安全服務時一項高度重視客戶應用體驗。AWS認為,安全建設不只是使用最好的安全工具,更需要打造積極的安全文化。展望2023年,AWS安全團隊將繼續為組織和使用者提供創新的網路安全服務,以解決業務健康發展問題,同時為客戶建立「安全第一」的數位發展觀念。

為此,我們需要向所有人普及安全意識,同時吸引背景各異的一流網路人才,通過培訓和認證計畫來培養更多資安人才,進一步提高安全防護的自動化程度,並建設充滿活力的網路安全團隊。

應著眼更長遠的未來

     —— Bret Arsenault | 微軟 CISO

網路安全建設是一個持續的、系統性的工作,因此作為安全專業人員,如果僅僅關注和預測2023年的威脅挑戰是不夠的,我們需要展望未來5年到10年的發展態勢,為新型安全威脅出現做好準備。如果安全建設長期處於被動追趕和已發生的事件處置,那麼只會更容易受到攻擊。

在微軟之前的發展預測中,我們認為雲時代會很快到來,傳統密碼技術將面臨挑戰,因此我們提前做好了計畫和準備。現在,我們認為目前廣泛應用的MFA可能變得不再安全,企業組織需要儘快做好應對計畫和準備,企業的安全管理者需要站在攻擊者的角度去思考。

攻擊面管理將更加複雜

     —— Koos Lodewijkx | IBM CISO

2023年將至,我們的團隊正在積極致力於適應不斷變化的威脅環境,我們看到勒索軟體攻擊和針對關鍵基礎設施的破壞性攻擊正在倍數增長,這種趨勢在短期內不會改變。同時,隨著企業組織的網路攻擊面變得更複雜、更分散,做好攻擊面管理工作變得更重要。關注並加強攻擊面管理以發現和修復高危險漏洞,並及時進行企業環境中的威脅檢測和回應,這樣可以搶在攻擊者得逞之前迅速發現和阻止對方。

展望2023年,IBM將有更多新穎的人工智慧技術創新應用,這些創新在網路防禦領域有很大潛力。我們正在與IBM研究部門、IBM安全產品部門的同事密切合作,探索網路安全領域中全新的人工智慧應用場景。

繼續做好安全的基本面

      —— Kevin Cross | Dell CISO

展望2023年,我和戴爾公司安全團隊的首要任務並不是關注當下的最新安全技術應用趨勢,而是繼續做好公司內部的網路安全基本功。我們必須做好安全防護的基本面,因為威脅者善於利用並不複雜的安全弱點發起攻擊。

如果基本面沒做到位,安全防護也將無從談起。我們會首先確保基礎性的攔截和應對機制能夠充分發揮功效,以應對層出不窮的威脅。

網路安全人才匱乏阻礙了許多公司做好安全基本面。如今,沒有多少員工擁有防護、檢測和應對網路威脅的專業安全技能。因此,我們將注重提升安全團隊的專業能力培養,提供持續培訓和教育,同時支援他們的職業道路和興趣愛好。

宣導開放式的安全建設

     —— Mandy Andress | Elastic CISO

網路安全並不只是技術性的工作。2023年,網路安全團隊的一種重要工作就是要深入瞭解組織在技術面和人員面協同配合之間的薄弱環節。因為,當前的惡意攻擊者越來越會利用這些弱點展開攻擊。事件一再證明,人是安全鏈中最薄弱的一環,企業應重視對IT專業人員進行適當的培訓,同時為他們配備合適的系統以實現流程自動化。

為了克服那些在技術層面難以解決的問題,企業組織需要進一步宣導開放式的安全建設,讓安全從業人員能夠查看應用系統的底層程式碼,並瞭解其在實際工作環境中的工作狀態。這將幫助安全團隊識別潛在盲點,並修補安全技術架構的缺口,同時更好的剖析安全威脅風險。

由於新冠疫情和遠端工作環境等因素影響,企業員工需要使用新技術來實現數位辦公,但他們的安全意識卻可能跟不上,這就需要進一步加強網路安全意識培養,並在公司中建構網路安全文化。

提前做好網路安全預防措施

     —— John McClurg | BlackBerry CISO

根據美國政府頒佈的14028號行政令,為政府部門提供軟體的公司首先要考慮的是軟體材料清單(SBOM),因為針對軟體供應鏈的攻擊通常是從最薄弱的環節開始的。在2023年,新的安全軟體發展最佳實踐將會不斷出現,如何確保各種類型的企業組織遵循這些實踐很重要。

2023年,我們還將致力於克服網路安全建設中普遍存在的專業技能短缺問題。面對資安人才告急的形勢,提前採取網路安全預防措施將成為企業防範惡意攻擊的有效手段之一,這樣在面對突發性的安全事件時,不會因為一線安全員工數量不足導致慌亂和失誤。

簡化安全運營流程和人工作業

     —— Jason Clark | Netskope CISO

隨著網路威脅的發展以及企業數位化轉型的深入,現代企業的網路安全運營工作正變得無比複雜,超過了很多企業安全團隊的實際承受能力。在2023年,應用自動化技術簡化安全運營中的人工作業將幾乎是所有CISO及其團隊的工作重心。在此過程中,我們會優先評估以下方面因素:
  • 安全建設的頭號敵人是複雜性,因此在策略設計時就要關注並考慮營運流程的簡化;
  • 組織在實施安全控制措施的時候,應該同時考慮其給帶來安全營運帶來的阻力;
  • 重新整理安全流程,偋棄那些並不必要的安全控制措施。

保障安全控制措施的覆蓋面和有效性

      —— Brian Spanswick | Cohesity CISO

2023年,我們的工作重心在於提升主要安全控制措施的覆蓋面和有效性。最近幾起影響重大的安全事件表明,攻擊者只需要利用安全環境中的基本漏洞,就可以存取關鍵系統和敏感性資料。我們同時將繼續致力於為所有員工提供安全意識培訓和社交工程攻擊方面的教育,通過加強安全意識來形成和保持減小威脅暴露面所需的「肌肉記憶」。

我們另一個重心是繼續關注憑證管理,這包括加強基於角色的存取控制、最低特權許可和適當的密碼管理。這個方面需要不斷加強管理,才能確保環境變化後,憑證管理依然保持在預期的應用水準。

加強軟體供應鏈安全建設

      —— Niall Browne | Palo Alto Networks CISO

在過去幾年中,企業組織的數位轉型快速發展,這讓軟體供應鏈安全防護受到廣泛的關注。Log4j漏洞攻擊已經表明了這類攻擊的危害性,一個脆弱的程式碼庫就能影響成數千家公司。而這類攻擊不會銷聲匿跡,並會在今後幾年急劇增多。

2023年,我們不僅要確保自身的軟體應用系統安全可靠,還要確保合作夥伴的軟體供應鏈也很安全。企業CISO的當務之急是,為組織使用的所有程式碼庫、應用程式和協力廠商應用提供安全防護。

本文轉載自Secrss.com。