許多首席信息安全官通過(guò)美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)模型來(lái)查看其職責(zé)。在過(guò)去的幾年中，重點(diǎn)一直放在檢測(cè)和響應(yīng)端點(diǎn)威脅上，但是出現(xiàn)了新的優(yōu)先事項(xiàng)：遷移到云平臺(tái)，新的異構(gòu)設(shè)備和自定義應(yīng)用程序，所有這些都大大擴(kuò)展了攻擊面。

首席信息安全官對(duì)他們比較關(guān)注的五個(gè)方面和兩年支出優(yōu)先事項(xiàng)的概述：

1.多云世界中的身份管理

由于云計(jì)算技術(shù)的發(fā)展，過(guò)去那些突破網(wǎng)絡(luò)外圍技術(shù)、緩慢地在系統(tǒng)間橫向入侵的日子不再那么重要。如果憑證被盜，設(shè)備通常就可以訪問(wèn)云中最珍貴的特權(quán)數(shù)據(jù)。微軟公司首席信息安全官Bret Arsenault成為事件的核心。他說(shuō)，“如今，黑客不會(huì)入侵，他們只會(huì)登錄?！备鶕?jù)這種想法，微軟的安全組織認(rèn)為“身份是我們的新防線?！?/p>

使身份管理變得復(fù)雜的原因在于它跨越許多角色。正如瞻博網(wǎng)絡(luò)首席信息安全官SherryRyan解釋的那樣：“安全團(tuán)隊(duì)必須知道誰(shuí)在訪問(wèn)其網(wǎng)絡(luò)，無(wú)論是訪問(wèn)門(mén)戶的客戶、合作伙伴、供應(yīng)商還是企業(yè)自己的員工?！?/p>

云計(jì)算應(yīng)用程序通常需要通過(guò)單點(diǎn)登錄和Microsoft Active Directory進(jìn)行身份驗(yàn)證。然而，在其討論中，大多數(shù)首席信息安全官表示，他們還試圖通過(guò)附加身份和授權(quán)孤島來(lái)減小“爆炸半徑”。他們?nèi)栽谥贫軜?gòu)最佳實(shí)踐，但正在投資于無(wú)密碼，生物特征識(shí)別和基于行為的身份驗(yàn)證。

為此，身份和訪問(wèn)管理（IAM）是首席信息安全官仍在購(gòu)買(mǎi)的產(chǎn)品類(lèi)別，盡管涉及涉及覆蓋員工，供應(yīng)鏈和客戶身份的多個(gè)供應(yīng)商所面臨的挑戰(zhàn)。現(xiàn)在，采用零散的身份和訪問(wèn)管理（IAM）變得更容易，但一些首席信息安全官認(rèn)為尚無(wú)萬(wàn)能的解決方案。

2.通過(guò)加密和零信任保護(hù)資產(chǎn)

云計(jì)算轉(zhuǎn)換使首席信息安全官可以放棄本地遺留系統(tǒng)。許多人從一開(kāi)始就熱衷于構(gòu)建云計(jì)算安全性，而零信任是其中的重要組成部分。零信任默認(rèn)情況下會(huì)限制基于角色的訪問(wèn)。它可以確保用戶與他們說(shuō)的一樣真實(shí)，并確保設(shè)備在連接之前符合合理的安全標(biāo)準(zhǔn)。

除了鎖定配置之外，首席信息安全官還使用多種技術(shù)建立零信任。他們提到利用諸如多因素身份驗(yàn)證（MFA），移動(dòng)設(shè)備管理（MDM）和漏洞管理之類(lèi)的東西。但是，確保數(shù)據(jù)僅由受信任的用戶看到是一個(gè)持續(xù)的問(wèn)題。

同時(shí)，隨著行業(yè)最終面對(duì)數(shù)據(jù)的動(dòng)態(tài)性質(zhì)，許多這些首席信息安全官正在部署加密：“要確定要識(shí)別每一個(gè)試圖訪問(wèn)某段通信的每條通信，這確實(shí)是一個(gè)難題。數(shù)據(jù)”觀察到F5 Networks首席信息安全官M(fèi)ary Gardner，并指出了眾多應(yīng)用程序和人員如何復(fù)制，移動(dòng)和訪問(wèn)有價(jià)值的信息。她說(shuō)，粒度控制和加密必須在整個(gè)生命周期內(nèi)保護(hù)數(shù)據(jù)。

Markel Corporation的首席信息安全官Patti Titus解釋了這種情況下的復(fù)雜性：“作為一個(gè)組織，我們必須確定何時(shí)加密，混淆數(shù)據(jù)”，并確保在傳輸和靜止?fàn)顟B(tài)下進(jìn)行加密。然后是必須對(duì)數(shù)據(jù)科學(xué)家有用的加密數(shù)據(jù)的挑戰(zhàn)。”

3.DevSecOps的興起

即使是最具模擬能力的公司也在開(kāi)發(fā)軟件來(lái)經(jīng)營(yíng)自己的業(yè)務(wù)。這包括面向客戶、合作伙伴和黑客的客戶門(mén)戶網(wǎng)站、移動(dòng)應(yīng)用程序和API。組織越來(lái)越自動(dòng)化手工活動(dòng)，并依賴分析和人工智能。教育軟件開(kāi)發(fā)人員獲得更好的實(shí)踐是關(guān)鍵，一項(xiàng)戰(zhàn)略舉措是使用DevSecOps保護(hù)應(yīng)用程序。

許多首席信息安全官也在“向左移動(dòng)”并購(gòu)買(mǎi)靜態(tài)分析工具，這些工具可對(duì)代碼進(jìn)行操作并在運(yùn)行時(shí)標(biāo)記問(wèn)題。為了與一個(gè)通用主題保持一致，首席信息安全官傾向于使用對(duì)人類(lèi)來(lái)說(shuō)容易的無(wú)縫方法。這意味著將DevSec Ops技術(shù)集成到開(kāi)發(fā)人員的日常工作中。Fannie Mae公司首席信息技術(shù)官Chris Porter說(shuō)，“持續(xù)集成是我們花費(fèi)了大量時(shí)間和精力的地方，以便開(kāi)發(fā)人員保護(hù)自己的代碼，他們正在測(cè)試自己的代碼?！?/p>

除了使用靜態(tài)分析工具之外，討論中的許多首席信息安全官還表明了對(duì)動(dòng)態(tài)分析的渴望。動(dòng)態(tài)工具在運(yùn)行時(shí)運(yùn)行，監(jiān)視應(yīng)用程序，并記錄事件響應(yīng)信息。

對(duì)于網(wǎng)絡(luò)犯罪分子而言，攻擊面看上去從未如此出色。外圍保護(hù)首先要了解5種最常見(jiàn)的暴露情況，并使其免受網(wǎng)絡(luò)犯罪分子的攻擊。

4.應(yīng)對(duì)“警惕疲勞”

首席信息安全官的操作涉及通過(guò)誤報(bào)和低優(yōu)先級(jí)警報(bào)的噪聲發(fā)現(xiàn)安全漏洞。這是一個(gè)無(wú)盡的挑戰(zhàn)。防病毒、防火墻和其他安全技術(shù)通常會(huì)產(chǎn)生數(shù)百萬(wàn)個(gè)日常事件。

為了超越人工流程，幾乎每個(gè)首席信息安全官都購(gòu)買(mǎi)了安全協(xié)調(diào)自動(dòng)化和響應(yīng)（SOAR）產(chǎn)品。他們通常感到滿意。有些人希望獲得更多幫助以開(kāi)始使用。許多人認(rèn)為安全協(xié)調(diào)自動(dòng)化和響應(yīng)（SOAR）的性能和送入其中的警報(bào)的數(shù)量和質(zhì)量都一樣。

首席信息安全官也在尋找警報(bào)疲勞的新方法，但發(fā)現(xiàn)每年涌現(xiàn)的技術(shù)數(shù)量“不堪重負(fù)”。這些安全領(lǐng)導(dǎo)者希望他們部署的新技術(shù)能夠擴(kuò)大覆蓋范圍，但對(duì)更多警報(bào)的有效性表示懷疑。

Blue Cross Blue Shield公司首席信息安全官Yaron Levi解釋說(shuō)，“我們實(shí)際上是從威脅建模和風(fēng)險(xiǎn)管理的角度看待警報(bào)疲勞。我們?yōu)闈撛诘挠泻艚Ｊ噶浚缓箝_(kāi)發(fā)防御措施?！?/p>

Levi將攻擊仿真作為一種警報(bào)疲勞的新方法。起點(diǎn)是在Blue Cross Blue Shield的網(wǎng)絡(luò)中安全地模擬來(lái)自最近行業(yè)違規(guī)的攻擊。這可以驗(yàn)證是否可以看到常見(jiàn)的現(xiàn)實(shí)世界攻擊，然后再將這些警報(bào)作為構(gòu)建響應(yīng)計(jì)劃和自動(dòng)化的首要任務(wù)。

5.教育員工像首席信息安全官思考

Log MeIn公司首席信息安全官Gerald Beuchelt注意到安全性集中在人員、流程和技術(shù)上，堅(jiān)信安全確實(shí)必須按此順序進(jìn)行。他說(shuō)，“我們必須讓人們了解安全需要做什么。沒(méi)有安全團(tuán)隊(duì)能夠成長(zhǎng)到足以保護(hù)如此復(fù)雜而又龐大的組織本身的能力?！?/p>

有些首席信息安全官認(rèn)為，重要的是利用游戲、幽默和較短的培訓(xùn)課程等教育工具來(lái)利用網(wǎng)絡(luò)意識(shí)月，以激發(fā)用戶群。
責(zé)編AJX