由于疫情的影響,現(xiàn)在的企業(yè)比以往任何時(shí)候都更加依賴技術(shù)。雖然限制已經(jīng)解除,但世界已經(jīng)進(jìn)入“新常態(tài)”,世界各地的企業(yè)表示他們正在采用遠(yuǎn)程或混合辦公模式。再加上業(yè)務(wù)運(yùn)營(yíng)對(duì)各種應(yīng)用程序和服務(wù)的日益依賴,從而導(dǎo)致漏洞不斷增加。
隨著員工對(duì)靈活工作方式的適應(yīng),安全專業(yè)人員的任務(wù)便是尋找新的并且可靠的方法來(lái)實(shí)現(xiàn)數(shù)據(jù)和網(wǎng)絡(luò)安全。在這種新形勢(shì)下,2022年CISO最關(guān)心的是什么?有幾個(gè)關(guān)鍵領(lǐng)域脫穎而出。
勒索軟件/惡意軟件
網(wǎng)絡(luò)犯罪分子的敏捷性是無(wú)與倫比的,勒索軟件攻擊的增加就是明證。《福布斯》最近的一篇文章列出了一些驚人的數(shù)字:
勒索軟件占所有安全漏洞的10%
一項(xiàng)調(diào)查發(fā)現(xiàn),37%的全球組織在2021年成為某種勒索軟件攻擊的受害者
根據(jù)FBI的數(shù)據(jù),從2021年1月到2021年7月,勒索軟件攻擊同比增長(zhǎng)了令人震驚的62%
2021年,平均贖金為81.2萬(wàn)美元,比上一年增加了近65萬(wàn)美元。受這些攻擊影響的公司中有近一半支付了攻擊者要求的贖金,這使得勒索軟件本身成為了一個(gè)行業(yè)。
由于勒索軟件經(jīng)常利用最終用戶的天真或失誤,因此整個(gè)組織的網(wǎng)絡(luò)和數(shù)據(jù)都容易受到攻擊。CISO專注于通過(guò)滲透測(cè)試(通過(guò)模仿攻擊)采取預(yù)防措施,并確保最終用戶獲得充足的信息以做出明智的決策。確保軟件和補(bǔ)丁更新對(duì)于IT預(yù)算和戰(zhàn)略至關(guān)重要。
云和網(wǎng)絡(luò)安全
雖然遠(yuǎn)離本地安裝和物理介質(zhì)為IT部門節(jié)省了大量時(shí)間和精力,但它也讓安全專業(yè)人員保持警覺(jué)。云環(huán)境可能會(huì)造成嚴(yán)重的安全可見(jiàn)性差距,增加預(yù)防策略和管理網(wǎng)絡(luò)和應(yīng)用程序的復(fù)雜性。
2021年底,Log4Shell攻擊敲響了警鐘,將云安全推到了各地CISO優(yōu)先級(jí)列表的首位。該攻擊利用了Java應(yīng)用程序使用的Log4j日志框架,允許攻擊者加載和執(zhí)行惡意代碼。黑客可以通過(guò)Java控制易受攻擊的設(shè)備,進(jìn)而允許他們建立后門、創(chuàng)建僵尸網(wǎng)絡(luò)并發(fā)起勒索軟件攻擊。
這次全球性攻擊引起了人們對(duì)云安全的關(guān)注,87%的受訪者表示他們對(duì)自己的策略缺乏信心。為多云平臺(tái)提供保護(hù)的公司已通過(guò)加速其工具的開(kāi)發(fā)來(lái)應(yīng)對(duì)這一威脅。
API安全
API是現(xiàn)代社會(huì)的基礎(chǔ),因?yàn)閹缀跛泄δ芏家蕾囉谀撤N應(yīng)用程序。隨著組織使用的應(yīng)用程序數(shù)量的增長(zhǎng),用于集成或支撐流程的API數(shù)量也在增加。
不幸的是,盡管API對(duì)使用它們的組織很有幫助,但它們也吸引了試圖利用安全漏洞的狡猾攻擊者的注意。
2021年,API攻擊增長(zhǎng)了令人難以置信的681%,而API流量增長(zhǎng)了321%。API特別容易受到攻擊,因?yàn)樗鼈儗?duì)強(qiáng)大的安全性提出了獨(dú)特的挑戰(zhàn)。API環(huán)境的不斷變化使得安全專業(yè)人員難以跟上步伐。這使得組織容易受到數(shù)據(jù)泄露、SQL注入、拒絕服務(wù)攻擊、惡意軟件和偽造用戶身份驗(yàn)證的影響。
員工培養(yǎng)、人才招聘和儲(chǔ)備
2022年,各行業(yè)普遍存在的抱怨是缺乏熟練且可用的人員來(lái)填補(bǔ)關(guān)鍵職位。網(wǎng)絡(luò)安全職業(yè)網(wǎng)站CyberSeek報(bào)告稱,截至撰寫(xiě)本文時(shí),美國(guó)有超過(guò)70萬(wàn)個(gè)職位空缺,而且數(shù)月來(lái)這個(gè)數(shù)字一直保持穩(wěn)定。
CISO認(rèn)識(shí)到了他們的組織中對(duì)頂級(jí)安全專業(yè)人員的需求(和價(jià)值),但在填補(bǔ)適當(dāng)角色上比較困難。培訓(xùn)和提升現(xiàn)有IT專業(yè)人員的技能會(huì)有所幫助,但這只是增加了他們的工作量而不是專注于網(wǎng)絡(luò)安全,因此這只是一種權(quán)宜之計(jì)。
隨著員工轉(zhuǎn)向遠(yuǎn)程和混合辦公模式,CISO還需要提醒最終用戶主動(dòng)加強(qiáng)安全性。通過(guò)幫助用戶了解網(wǎng)絡(luò)犯罪分子使用的狡猾策略,組織更有機(jī)會(huì)保護(hù)他們的數(shù)據(jù)和最終用戶免受惡意活動(dòng)的侵害。
結(jié)論
隨著勒索軟件攻擊、API安全和網(wǎng)絡(luò)漏洞利用的增加,安全形勢(shì)正在迅速發(fā)生變化。CISO將預(yù)算和戰(zhàn)略重點(diǎn)放在主動(dòng)和預(yù)防性安全措施上,同時(shí)提高員工的技能,并在市場(chǎng)上為他們的團(tuán)隊(duì)尋找有才華的專業(yè)人士。對(duì)于許多組織而言,毫無(wú)疑問(wèn)需要增加安全預(yù)算和員工編制來(lái)保護(hù)有價(jià)值的數(shù)據(jù)。
原標(biāo)題:What’sTopofMindforCISOsin2022?
作者:StefanieShank
鏈接:https://www.infosecurity-magazine.com/next-gen-infosec/top-mind-cisos-2022/
