恢復和彈性:首席信息安全官對2022年網絡安全形勢的洞察
行業媒體最近與全球安全生態系統的幾位杰出人物進行了溝通和探討:Agora公司首席安全官Roger Hale;JupiterOne公司首席信息安全官兼研究主管Sounil Yu;IBM咨詢公司全球網絡安全副總裁兼高級合伙人Debbie Taylor Moore;SYN Ventures公司執行合伙人兼聯合創始人Jay Leek。隨著疫情的影響開始消散,首席信息安全官如何應對隨之而來的安全挑戰和即將到來的障礙,這些挑戰需要得到所有網絡安全人員和業務利益相關者的關注。
恢復和彈性
隨著市場低迷成為私營部門真正關注的問題,彈性和恢復是網絡安全從業者的關鍵。對行業領先的安全解決方案的需求并沒有改變,因此,這些安全專家建議人們在動蕩的時期避免下意識的反應和恐慌。
Jay Leek說,“這是一個負面的峰值,但它與安全社區正在實現的價值不斷增加無關。我們正處于一個真正的重建周期。這是首席信息安全官和安全從業人員發揮領導作用,并在展示自己能力的同時繼續前進的機會。”
他表示,雖然在經濟不穩定和災難性地緣政治事件中尋找機會可能具有挑戰性,但網絡安全一直具有彈性,部分原因在于其作為安全網的固有作用。安全行業的工作是幫助公眾減少恐懼感。首席信息安全官有機會幫助人們管理和減輕他們的風險,并解決最近發生的事件可能加劇的擔憂。如果能夠滿懷信心地利用這一責任,而不是傲慢自大,將會實現網絡安全。
首席信息安全官有很多事情要做,這是因為網絡攻擊事件和原因如今越來越復雜,民族國家行為者利用網絡和最近的全球性事件通過竊取、泄露數據以及破壞關鍵業務和客戶資產來獲得戰略優勢。
Sounil Yu說,“首席信息安全官仍在努力解決基本問題。但解決起來從來都不是一件容易的事,而且在過去的一年里變得越來越麻煩。除了我們已經看到的面向數據和面向網絡的攻擊之外,還會遇到由于固件被屏蔽而無法恢復端點的情況。還將遇到無法重新創建或重新部署應用程序的情況,因為代碼已被完全清除。我們可能會達到無法從這些類型的災難性、不可逆轉的事件中恢復過來的地步。”
勒索軟件攻擊
當前持續的俄烏沖突將勒索軟件攻擊推到了風口浪尖,因為有報道稱俄羅斯已利用它們提供資金。Roger Hale認為,這一新發展及其對安全的影響表明過去幾年首席信息安全官的角色發生了轉變。
他說,“處理勒索軟件不僅是安全問題,還是業務連續性問題。如果我們從新冠疫情和轉向遠程工作中學到了什么,那就是安全對于企業開展業務的能力的影響范圍越來越廣。在這場沖突中,國際公司意識到他們在這兩個國家擁有資產,因此必須減輕客戶對其資源的擔憂,并處理核實他們是否遵守國際商業制裁的要求。這些問題都要在首席信息安全官那里得到解決,并為我們提供了提升職位和從前線領導的機會。”
首席信息安全官的角色正在發生變化
Jay Leek強調了這種改變首席信息安全官角色的方法,這是初創公司創始人應該注意的一個急劇轉變。他說,“大多數大型企業中的首席信息安全官不再對其產品或解決方案做出任何決定。他們已將其委托給團隊中的人員。如果你還在努力向他們的首席信息安全官推銷解決方案,但決策者的職位卻低了一兩層。雖然首席信息安全官可以阻止或批準,但他不會將這個方案推薦給他們的團隊。當你為企業的安全計劃營銷解決方案時,需要確保針對的是正確的群體,因為他們并不是首席信息安全官。”
最近發生的另一次網絡攻擊Log4j漏洞讓人們發現了一個令人震驚的盲點,盡管該漏洞無處不在,但許多企業未能做好準備。
Debbie Taylor Moore說,“人們仍然對這次網絡攻擊感到不知所措,這是一個持續的過程。嵌套依賴項存在真正的挑戰,我們正在意識到20世紀90年代的缺陷如何從過去卷土重來,并在未來幾年困擾著所有人。現在這是一個供應生態系統。到處都有相互依賴關系,如果企業想在共享供應商中進行依賴關系映射并鞏固治理或合規性,這是一個機會。”
對于首席信息安全官來說,確保其供應商自身安全已不再足夠。這些依賴關系很復雜,代碼依賴關系通常通過供應鏈連接到其他各個方面,從而引入了必須管理的大量風險。
Sounil Yu說,“Log4J漏洞真正讓我們和整個社區注意的是,必須將其視為必須管理的風險,而不是指望另一方的修復,企業應該對Log4J漏洞持續不斷地的損害做好預防和準備,并考慮到這一點來設計環境;例如設計系統以使企業有良好的出口過濾功能。如果能夠管理好自己的風險,那么就不必擔心供應鏈中發生的事情。”
尋找合適的安全平臺
首席信息安全官的安全堆棧可能已經準備好緩解這些和即將到來的威脅,但是隨著網絡安全社區的重建和重組,首席信息安全官對于企業的安全態勢的看法很感興趣——多點解決方案是否比一個統一的安全平臺更可取?
Debbie Taylor Moore說,“每個企業都有諾亞方舟的解決方案。點解決方案和安全平臺方法都有價值。如果選擇一個平臺但忽略新興技術,那將是一個劣勢。另一方面,首席信息安全官已經厭倦了與多個供應商會面,可能正在尋找方法以跟上技術的發展,并且不至于筋疲力盡。”
Sounil Yu堅持認為,當首席信息安全官在點或平臺之間進行選擇時,以及當企業家考慮構建什么類型的產品時,他們必須考慮合適的時機。他說,“如果有一個新的威脅向量,那么單點解決方案每次都會獲勝。但隨著威脅向量的成熟,以及人們弄清楚如何處理它,集成良好的解決方案將成為自然的贏家。這是一個時間問題。如果企業構建了一個解決緊急問題的單點解決方案并且沒有其他解決方案,那么盡快構建和使用。但如果來不及,最好提供一個集成的解決方案。”
結論
這些網絡風險現在已經轉化為日益普遍的商業風險,迫在眉睫的經濟衰退加劇了這種風險,首席信息安全官的角色必須做出相應的調整。企業的目標應該是成為與支出、預算分配、目標優先級和其他高管關注點有關的高管對話的關鍵部分,以確保它們的重要性不會降低。如果首席信息安全官不能在談判桌前占有一席之地,無法全面了解業務轉變以及不能使企業保持其競爭優勢,那么面對這些變化和威脅,他們將無法確保彈性和恢復。
