在本文中，喬治城大學(xué)應(yīng)用智能項(xiàng)目和研究生網(wǎng)絡(luò)安全項(xiàng)目的兼職教授Charles Brooks談到了零信任原則、身份訪問管理和托管安全服務(wù)對有效的網(wǎng)絡(luò)安全的重要性，以及AI、ML和跟蹤工具等新興技術(shù)的實(shí)施將如何增強(qiáng)供應(yīng)鏈的安全。 

CISO們認(rèn)為他們有足夠的數(shù)據(jù)保護(hù)措施，但他們在過去的一年中已經(jīng)處理了許多敏感數(shù)據(jù)的丟失問題。你是如何調(diào)和這種明顯的矛盾的?

盡管采取了保護(hù)措施，但數(shù)據(jù)仍會丟失，這并不奇怪。我們都在網(wǎng)絡(luò)安全方面迎頭追趕。互聯(lián)網(wǎng)是在政府實(shí)驗(yàn)室發(fā)明的，但在私營部門實(shí)現(xiàn)了商業(yè)化。硬件、軟件和網(wǎng)絡(luò)最初是為開放通信而設(shè)計(jì)的。網(wǎng)絡(luò)安全不是最初的主要考慮因素。由于互聯(lián)網(wǎng)的連接性和商業(yè)的爆炸式增長，這種心態(tài)肯定已經(jīng)發(fā)生了改變，而CISO們也正在玩一場追趕游戲。

有許多原因可以解釋敏感數(shù)據(jù)的泄露。首先，黑客已經(jīng)變得更加老練和有破壞力。黑客利用的基本工具和策略包括了惡意軟件、社交工程、網(wǎng)絡(luò)釣魚(最簡單、最常見的，尤其是針對企業(yè)高管的魚叉式網(wǎng)絡(luò)釣魚)、勒索軟件、內(nèi)部威脅和DDoS攻擊。此外，他們也經(jīng)常使用暗網(wǎng)上所共享的先進(jìn)且自動化的黑客工具，包括用于攻擊和探索受害者網(wǎng)絡(luò)的AI和ML工具。對于CISO們來說，不斷發(fā)展的黑客武器并不是那么容易防御的。

另一個重要因素是，新冠肺炎疫情推動的指數(shù)級的數(shù)字連接也改變了安全模式。現(xiàn)在，許多員工會在混合式辦公室和遠(yuǎn)程辦公室中工作。有了更多的攻擊面需要保護(hù)，而對CISO的可見性和控制措施卻更少了。因此，得出更敏感的數(shù)據(jù)已經(jīng)并將繼續(xù)暴露在黑客面前的結(jié)論是合乎邏輯的。

想要充分保護(hù)是很難的，因?yàn)橥{也在不斷演變。只需要一個狡猾的網(wǎng)絡(luò)釣魚，一個錯誤的配置，或者沒有及時修補(bǔ)漏洞，就可以為漏洞提供機(jī)會。最后，許多CISO不得不在有限的預(yù)算和勉強(qiáng)合格的網(wǎng)絡(luò)人員的情況下運(yùn)作。也許他們也對在這種情況下能夠達(dá)到的安全水平期望較低。

隨著經(jīng)濟(jì)衰退給安全預(yù)算帶來的更大壓力，CISO們又該如何優(yōu)化資源，并有效的管理網(wǎng)絡(luò)安全風(fēng)險?

CISO們必須根據(jù)他們的行業(yè)和規(guī)模制定審慎的風(fēng)險管理策略，以便能夠更好地優(yōu)化資源。一個好的風(fēng)險管理策略將設(shè)計(jì)出一個漏洞框架，識別出要保護(hù)的數(shù)字資產(chǎn)和數(shù)據(jù)。一個好的風(fēng)險評估也可以快速的識別并確定出網(wǎng)絡(luò)漏洞的優(yōu)先級，以便可以立即部署解決方案，保護(hù)關(guān)鍵資產(chǎn)免受惡意網(wǎng)絡(luò)的攻擊，同時立即提高整體運(yùn)營網(wǎng)絡(luò)的安全。這包括使用新的安全工具(加密、威脅情報和檢測、防火墻等)和政策來保護(hù)和備份企業(yè)系統(tǒng)，例如：財(cái)務(wù)系統(tǒng)、電子郵件交換服務(wù)器、人力資源和采購系統(tǒng)等。

在漏洞框架中有一些措施的成本并不高。這些措施包括了要求員工使用強(qiáng)密碼，并要求進(jìn)行多重身份的驗(yàn)證。通過設(shè)置防火墻，CISO可以制定計(jì)劃來分割其最敏感的數(shù)據(jù)。加密軟件也在考慮的范圍內(nèi)。云計(jì)算和混合云的使用支持動態(tài)策略的實(shí)現(xiàn)、更快的加密、降低成本，并為訪問控制提供了更多的透明度(減少來自內(nèi)部的威脅)。一個好的云提供商可以以合理的成本提供其中的一些安全控制。云本身并沒有風(fēng)險，但CISO和公司需要認(rèn)識到，他們必須徹底評估提供商的政策和能力，以保護(hù)其重要數(shù)據(jù)。

如果CISO正在負(fù)責(zé)保護(hù)沒有深度IT和網(wǎng)絡(luò)安全團(tuán)隊(duì)的中小型企業(yè)，并且對云成本和管理持謹(jǐn)慎態(tài)度，他們也可以考慮外部管理的安全服務(wù)。

在員工流動率高的情況下，企業(yè)如何更好地保護(hù)敏感信息?

這就是零信任策略的本質(zhì)所在。零信任是一組不斷發(fā)展的網(wǎng)絡(luò)安全范式的術(shù)語，這些范例將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到了關(guān)注用戶、資產(chǎn)和資源。企業(yè)需要了解與網(wǎng)絡(luò)、設(shè)備和人員相關(guān)的所有信息。

其中身份訪問管理(IAM)是非常重要的。IAM是用于控制誰可以訪問系統(tǒng)內(nèi)資源的一組技術(shù)和策略的標(biāo)簽。CISO必須確定并知道誰可以訪問哪些數(shù)據(jù)以及為什么可以訪問。如果員工離職，他們需要立即撤銷特權(quán)，并確保沒有從企業(yè)中刪除任何敏感內(nèi)容。市場上的供應(yīng)商也提供了許多很好的IAM工具。

當(dāng)然，員工流動也涉及到了道德和信任因素。員工內(nèi)部威脅很難發(fā)現(xiàn)和管理。其中一些可以在雇傭合同中提前解決，只要員工了解所涉及的法律參數(shù)，他們就不太可能泄露敏感數(shù)據(jù)。

我們看到了CISO的倦怠和對個人責(zé)任擔(dān)憂的加劇！是的，CISO的職責(zé)太多，預(yù)算太少，員工太少，無法運(yùn)營和幫助減輕日益增長的網(wǎng)絡(luò)威脅，這是導(dǎo)致倦怠的直接原因。現(xiàn)在，個人責(zé)任因素也增加了風(fēng)險，例如針對Solar’s Wind首席信息安全官的集體訴訟，以及針對優(yōu)步CISO隱瞞勒索軟件付款的訴訟。在一個已經(jīng)缺乏必要網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者和技術(shù)人員的行業(yè)里，CISO不僅需要獲得工具，還需要獲得必要的保護(hù)，以使他們能夠在自己的角色中脫穎而出。否則，倦怠和責(zé)任問題將使更多的公司面臨更大的風(fēng)險。

這些挑戰(zhàn)是如何影響CISO的整體工作效率的，又可以采取什么措施來應(yīng)對這些挑戰(zhàn)?

盡管入侵的頻率、復(fù)雜性、致命性和責(zé)任變得越來越大，但行業(yè)管理層在提高網(wǎng)絡(luò)安全方面幾乎毫無準(zhǔn)備，且行動遲緩。根據(jù)Gartner的一項(xiàng)新的調(diào)查顯示，88%的董事會將網(wǎng)絡(luò)安全視為商業(yè)風(fēng)險，而不是技術(shù)風(fēng)險，而且只有12%的董事會設(shè)有專門的董事會級網(wǎng)絡(luò)安全委員會。

“是時候讓IT部門以外的高管承擔(dān)起保護(hù)企業(yè)安全的責(zé)任了，”風(fēng)險與安全研究主管Paul Proctor說。“2021年各地涌入的勒索軟件和供應(yīng)鏈攻擊，其中許多針對的是關(guān)鍵操作和任務(wù)環(huán)境，是時候應(yīng)該敲響警鐘了，安全應(yīng)該是一個業(yè)務(wù)問題，而不僅僅是IT要解決的另一個問題。”

CISO不僅需要在高管層中占有一席之地，還需要擁有類似于其他高管的保險保障，以限制他們的個人責(zé)任。因?yàn)闆]有完美的網(wǎng)絡(luò)安全解決方案。在我們岌岌可危的數(shù)字環(huán)境中，任何公司或個人都可能發(fā)生違規(guī)行為。讓CISO一個人去做，既不公平，也不合理。類似的，網(wǎng)絡(luò)安全也不應(yīng)再被視為是企業(yè)的成本項(xiàng)目。它已經(jīng)成為了一個ROI，可以確保運(yùn)營的連續(xù)性并保護(hù)聲譽(yù)。對公司和CISO的薪酬和所需職責(zé)組合的投資都需要成為未來的優(yōu)先事項(xiàng)。

由于供應(yīng)鏈風(fēng)險仍然是一個反復(fù)出現(xiàn)的優(yōu)先事項(xiàng)，CISO如何更好地管理其網(wǎng)絡(luò)安全戰(zhàn)略的這一方面，特別是在預(yù)算有限的情況下?

確保供應(yīng)鏈不被破壞，包括設(shè)計(jì)、制造、生產(chǎn)、分銷、安裝、運(yùn)營和維護(hù)要素，對所有公司來說都是一項(xiàng)挑戰(zhàn)。網(wǎng)絡(luò)攻擊者總是會尋找最薄弱的切入點(diǎn)，降低第三方的風(fēng)險對網(wǎng)絡(luò)安全來說是至關(guān)重要的。供應(yīng)鏈網(wǎng)絡(luò)攻擊可能來自于敵對國家、間諜運(yùn)營商、罪犯或是黑客活動者。

CISO需要了解供應(yīng)鏈中所有供應(yīng)商的可見性，以及既定的政策和監(jiān)控。NIST是美國商務(wù)部的一個非監(jiān)管機(jī)構(gòu)，它為供應(yīng)鏈安全提出了一個建議框架，為政府和行業(yè)提供了健全的指導(dǎo)方針。

NIST的建議如下：

• 識別、建立和評估網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險管理流程，并獲得利益相關(guān)者的同意
• 確定供應(yīng)商和第三方供應(yīng)商合作伙伴，確定其優(yōu)先級并對其進(jìn)行評估
• 與供應(yīng)商和第三方合作伙伴簽訂合同，以實(shí)現(xiàn)企業(yè)的供應(yīng)鏈風(fēng)險管理目標(biāo)
• 使用審計(jì)、測試結(jié)果和其他形式的評估，定期評估供應(yīng)商和第三方合作伙伴
• 完成相應(yīng)的測試，以確保供應(yīng)商和第三方供應(yīng)商能夠響應(yīng)并從服務(wù)中斷中恢復(fù)

其他緩解工作則可以通過獲取監(jiān)測、警報和分析供應(yīng)鏈活動的新技術(shù)來完成。AI和ML工具可以幫助實(shí)現(xiàn)可見性和預(yù)測分析，速記和水印技術(shù)則可以實(shí)現(xiàn)對產(chǎn)品和軟件的跟蹤。