首席信息安全官（CISO）是企業中負責制定組織信息安全戰略并落實的高級管理人員，在保護組織有價值的信息資產方面發揮著至關重要的作用。但是在實際工作中，很多CISO卻被稱為“救火隊員”，他們花費了大量的時間去響應和處置各種突發的安全事件，而不能從一開始就專注于積極預防這些事件的發生。

在此背景下，專業安全媒體CyberTalk.org主編Shira Landau日前表示：現代企業的CISO們在2024年必須做出改變，要更多關注于企業整體安全路線圖的推進與實現，讓網絡安全工作與業務發展目標保持更緊密的一致性。因此，CISO在2024年應該優先考慮以下7項安全任務：

1、升級現有的云安全防護策略

根據專業安全廠商Thales發布的《2023年全球云安全研究報告》數據顯示，過去一年中約39%的受訪企業經歷過云上數據泄露，相比之前一年的數據35%繼續增長。此外，有55%的受訪者認為“人為錯誤”已經成為云上數據泄露的主要原因。在此背景下，專業安全人士表示，企業需要實現更強大的云安全策略，利用零信任框架取代傳統的數據隱私和合規保護方式，這將成為企業組織2024年云安全工作中的關鍵優先事項。

此外，確保SaaS化服務生態系統的安全性也是CISO必須面對的關鍵任務。數據顯示，在云攻擊活動中，針對各類SaaS服務應用的攻擊占比為38%，是最主要的攻擊目標。然而，當前的SaaS安全策略和方法顯然是不夠的。為此，68%的組織需要增加在SaaS安全防護方面的投資，有很多工作要做，例如部署更復雜的威脅預防和防御工具。

2、確保API應用的安全性

在Salt Security發布的《2023年API安全狀況報告》中指出，針對應用程序編程接口（API）的攻擊在過去六個月中快速增加了400%；并且80%的攻擊發生在經過身份驗證的API上。而在過去一年中，94%的安全專業人員和API開發人員都遇到過與API相關的安全問題。

由于此類安全問題的影響，API安全性已經成為組織內部廣泛關注的安全性議題，有95%的受訪CISO表示會在未來兩年內優先考慮API安全性。但究竟能否在API安全成熟度方面取得進展，從而更有效地預防API應用風險還尚未可知。

想要實現API安全成熟度，首先要能夠發現識別組織中使用的所有API，方法包括從部署發現工具到技術文檔審查，再到與開發人員的對話；其次，組織需要評估現有工具是否能夠滿足可見性和遵從性需求；此外，組織需要集成更好的工具來減少數據泄露（以及影子API等），并在適用的地方整合工具。

3、為后量子密碼應用做好準備

隨著量子計算機技術的不斷進步，傳統密碼學面臨著被攻破的風險。為了應對這一挑戰，后量子密碼（PQC）學逐漸成為當前密碼技術領域的熱門研究方向。

在2023年8月，CISA、NIST和NSA聯合發布了一份指南文件《量子準備：向后量子密碼遷移》，向各組織闡明量子能力帶來的影響，尤其是那些與關鍵基礎設施相關的組織，應該從現在開始積極地制定量子準備路線圖，提前規劃以遷移到PQC標準。

當前，NIST正在加快制定第一批PQC標準，并計劃于2024年發布，以應對未來潛在對抗性的、與密碼分析有關的量子計算機安全威脅。NIST在持續推進PQC標準制定的同時，也在為各組織如何著手開展PQC遷移工作做出指導，要求組織成立專門的項目管理團隊，梳理并形成本組織易受量子攻擊的系統和資產清單，摸清當前使用的加密技術，并加強與技術供應商（包括云服務商）的合作。

4、預防AI驅動的新威脅

AI技術的不斷發展和應用，使得其被惡意使用的可能性也越來越大。黑客和犯罪分子正在利用人工智能的強大計算能力和智能分析能力，來實施大規模網絡攻擊、數據泄露和欺詐活動。為了應對這種威脅，CISO也需要盡快利用AI技術來建立強大的安全防御系統。例如，可以利用機器學習算法來分析網絡流量和用戶行為，及時發現異常波動并采取相應措施。

AI驅動的新一代安全平臺能夠以人類永遠無法匹敵的速度分析大量數據。CISO和網絡安全領導者必須投資于人工智能驅動的安全工具，以增強其組織主動預防和應對新出現的威脅的能力，降低網絡入侵的可能性。

與此同時，隨著不斷將人工智能集成到組織的網絡安全堆棧中，安全人員的角色和職責也需要隨之發展。組織需要戰略性地規劃重新部署現有人才的使用方式，以最大限度地利用好專業安全人才資源。

5、開展針對AI應用的紅隊演練

所謂的“紅隊演練”概念來源于軍事模擬，即通過模擬假想的“敵人”，來測試本方的安全防護準備水平。在AI技術應用中，“紅隊”的任務就是模擬黑客或其他潛在惡意行為者，以實戰化方式找到大語言模型的漏洞，從而避免AI技術在現實中被惡意利用。

由于AI技術相對較新，目前還沒有成熟的AI紅隊標準，但從微軟相關的實踐經驗看，在基礎模型層面和應用層面測試AI模型的安全性至關重要。對AI模型進行紅隊測試有助于在過程的早期識別模型可能被濫用的情況，確定模型的功能范圍，并了解模型的局限性。

6、阻止影子IT蔓延

公民開發者（Citizen Developer）是指那些在有別于傳統軟件開發流程的背景下，利用易于使用的開發工具和平臺創建業務應用程序和系統的人員。2023年，企業中由公民開發者創建的應用系統越來越受歡迎，這也要求了CISO必須盡快制定明確的責任制度和適當的網絡安全措施，確保這些由公民開發者創建的應用不會成為“影子”IT。

一直以來，影子IT大大增加了企業網絡安全建設的難度，加劇了IT資產的可見性缺失。很多看似無害的影子IT卻可能帶來嚴重的安全風險，并導致數據泄露或惡意軟件侵入。企業安全團隊應該教育指導員工，幫助他們按要求使用正確的工具完成工作，并簡化審查和批準過程，管控影子IT的潛在使用風險。

7、推進零信任架構應用落地

根據OKTA發布的《2022年零信任安全狀態報告》數據顯示，已經有超過的企業組織正在或計劃開展零信任安全的建設項目。為了更完善推進零信任實現的成熟度，CISO可以將CISA發布的《零信任成熟度模型》作為一個很好的指導框架，它描述了零信任落地的五個“支柱”，分別為身份（Identity）、設備（Device）、網絡（Network）、應用與工作負載（Application and Workload）以及數據（Data）。此外，還包含了一些橫向的能力：可見性與分析、自動化與編排，以及治理。

參考鏈接：

https://www.cybertalk.org/2023/11/21/these-7-items-should-be-on-your-ciso-checklist-for-2024/。