首席信息安全官在2022年得到的14个经验和教训

对于很多首席信息安全官来说，即将到来的2023年是一个很好的时机，可以反思他们在2022年里学到的经验和教训，以及如何将它们应用到未来。

动荡的2022年即将结束，在这一年，埃隆·马斯克收购了Twitter，俄乌冲突，许多员工重返办公室。人们还看到，一些安全主管因隐瞒数据泄露而被判入狱。

这些事件以及更多事件改变了业务格局，迫使首席信息安全官在不确定领域前行。Trustwave公司的首席信息官Kory Daniels表示：“随着网络安全格局的变化，2022年是一个里程碑式的一年，我们将在研究网络安全与数字信任何时以及为何融合在一起进行历史回顾。”

2022年，很多企业都增加了安全预算。Daniels补充说，尽管如此，他们也意识到，如果安全团队没有真正展示他们如何帮助保护企业，那么即使获得投资也可能没有更好的效果。

每个人都有自己的方法来分析这一年并反思发生的事情，这一举措可以为未来提供宝贵的知识，因此人们需要了解一些首席信息安全官在今年学到的经验和教训。

Veracode公司的首席信息安全官Sohail Iqbal表示:“如果企业不吸取这些教训，并完善其安全实践，我们将看到审计和第三方风险评估中的审查力度加大，这可能会对其业务产生财务、声誉、运营甚至合规方面的影响。”

1.不要等到出现地缘政治冲突时才提高安全态势

俄乌冲突促使民族主义组织和犯罪组织各自站队，迫使企业接受政府部门发布的指导方针，这些指导方针旨在帮助它们提高安全态势。这包括美国网络安全和基础设施安全局(CISA)的“盾牌”网络安全警报和英国国家网络安全中心(NCSC)的技术保证。Daniels说：“这场冲突促使许多企业询问他们的网络安全弹性准备情况，以阻止这些威胁行为者或击败网络攻击。”

这些问题早在几年前就提出了。谷歌云平台首席信息安全官办公室主任Taylor Lehmann说:“不要等到拥有强大的进攻性网络安全团队的国家之间发生全球性冲突时，才去评估其安全态势是否能够合理地抵御网络威胁和攻击。”

企业和机构通常需要数年时间来弥补这些评估中发现的差距，并实施建议的控制措施，因此尽早提出问题是有益的。Lehmann补充说:“我们需要承认，保护企业免受高级安全威胁需要一些时间(有时需要几十年)和努力。”

2.威胁行为激增，即服务的业务模式降低了进行网络攻击的门槛

欧盟网络安全局(ENISA)称，勒索软件团伙在2022年不断增加或重新整合，网络威胁组织表现出“供应链攻击和针对托管服务提供商的攻击能力不断增强”。此外，“黑客即服务”的业务模式也继续受到关注。

美国网络安全服务商Critical Insight公司的首席信息官Mike Hamilton表示：“现在每个人都可以成为网络罪犯，并且不需要太多的技能。犯罪团伙采用即服务的业务模式降低了进入门槛，这体现在他们收到的诱饵信息的数量和性质上。”

例如，C2aaS平台DarkUtilities的高级访问费用仅为9.99欧元。该平台提供多种服务，包括远程系统访问、DDoS功能和加密货币挖掘。

3.未经安全培训的员工可能会让企业损失数百万美元

勒索软件攻击数量在2022年有所增加，企业和政府机构是最主要的目标。英伟达、丰田、SpiceJet、Optus、Medibank等公司，以及意大利巴勒莫市、哥斯达黎加、阿根廷和多米尼加共和国的政府机构都在2022年成为受害者，在这一年，出于经济动机和政治动机的勒索软件组织之间的界限继续模糊。

GuidePoint Security公司的首席信息官Gary Brickhouse表示，任何企业防御战略的一个关键部分都应该是员工的安全意识培训，因为员工仍然成为网络钓鱼和其他社交工程威胁行为者的目标。

不过在今年的一个积极进展是，企业董事会成员和高管们已经开始更多地关注勒索软件，因为他们已经看到了这些网络攻击可能造成的运营影响。

4.各国政府正在更积极地为网络安全立法

美国、英国和欧盟加强网络安全立法，以更好地保护自己免受网络事件的侵害。NCC集团的首席信息技术官Lawrence Munro表示:“关键风险正在被识别，我们看到立法干预的持续趋势。”

在美国，联邦和州一级的安全态势都发生了变化。政府机构现在需要实施安全培训，并遵循安全政策、标准和实践。他们还需要报告安全事件并制定应对计划。

Munro补充说，他的观点已经改变，应该积极主动地为即将到来的监管做好准备。他说:“我已经制定了监控这一点的策略，我将进一步开发自动化元素，以确保提前为任何变化做好准备。”

企业需要注意数据隐私和安全规则不断发展的事实。Lehmann表示：“了解企业之间的差异，并使其能够满足数据驻留、数据主权和数据本地化要求，这是当前至关重要的业务任务，而且将继续增加复杂性。”

5.企业应该更好地跟踪开源软件

2021年底出现的Log4j危机在2022年持续不断，影响了全球数万个行业的企业和组织。根据CISA公司最近发布的一份调查报告，这一涉及远程代码执行的漏洞在未来将继续构成“重大风险”，因为它将在未来长期存在于系统中。

Thrive公司的首席信息安全官Chip Gibbons表示：“Log4j漏洞给很多业内人士敲响了警钟。许多企业甚至不知道该软件正在某些系统中使用，因为他们真正关注的是面向互联网的设备。”

虽然这个安全问题造成了混乱，但它也提供了学习机会。Sumo Logic公司的首席技术官兼高级副总裁George Gerchow说，“Log4j是一种诅咒，也是一种祝福，这让我们在事件响应和资产跟踪方面做得更好。”

Lehmann表示，企业开始加大力度跟踪开源软件，因为他们发现对他们使用的软件的来源和质量进行未经验证的信任会造成损害。

6.应该在识别漏洞方面加大力度

企业还应该采取更多措施来识别开源和闭源软件中的漏洞。然而，这并不是一项简单的任务，因为每年都会有成千上万的漏洞出现。漏洞管理工具可以帮助识别操作系统应用程序中发现的漏洞并确定其优先级。Iqbal表示：“我们需要了解第一方代码中的漏洞，并有一个漏洞清单和管理第三方代码风险的适当措施。”

Iqbal认为，一个良好的AppSec程序应该是软件开发生命周期的一部分。Iqbal说:“如果一开始就编写安全代码，并预先管理漏洞，这对保护企业的信息安全将是非常重要的。别忘了，一切都是代码。企业的软件、应用程序、防火墙、网络和策略都是代码，因为代码经常变化，所以识别漏洞必须持续进行。”

7.企业需要采取更多措施防范供应链攻击

供应链攻击一直是导致2022年网络安全问题的主要原因，一些网络安全事件成为头条新闻，包括针对Okra、GitHub OAuth令牌和AccessPress的黑客攻击。2023年，防范这些威胁仍将是一个复杂的过程。Munro说:“我认为，供应链风险领域的快速发展让许多企业感到困惑。我们看到大量资金投入到技术领域以解决问题，但对这些解决方案如何适应现有的生态系统缺乏了解。”

Munro表示，软件材料清单(SBOM)带来了新的框架和技术。Munro说: “具有管理信息聚合的工具、补充框架，如软件工件的供应链级别(SLSA)和技术标准，例如漏洞可利用性交换或VEX。这一切都增加了复杂性，增加了对网络防御者的挑战。”

Lehmann补充说:“我们还应该考虑，如果硬件供应链受到损害将会有什么样的影响，以及现在拥有什么能力。”

8. 应该将零信任作为核心理念

零信任计划不仅仅是部署管理身份或网络的技术。Iqbal说:“这是一种在数字交易时消除隐含信任并以展示信任取代的纪律和文化。这是一个同时进行的过程，需要跨越身份、端点设备、网络、应用程序工作负载和数据。”

Iqbal补充说，每个产品和服务都应该支持单点登录(SSO)/多因素身份验证(MFA)，企业和非生产网络应该与生产环境隔离。他补充说:“通过关联多个信号，验证端点的最新安全态势，并使用行为分析进行身份验证、访问和授权也很重要。”

9.网络责任保险的需求可能会继续增加

近年来，网络责任保险已成为一种必需品，但保险费用也有所增加。此外，在确定风险领域方面，企业还面临保险公司的更多审查。Brickhouse表示：“这一过程比过去更加严格，增加了获得网络责任保险的时间和努力。企业应该将这一过程视为一次审计——提前做好准备，将其安全计划和控制措施记录在案，并准备好进行验证。”

10.软件测试的“左移”方法已经过时

ReversingLabs公司的首席信息官Matt Rose表示，只是将风险“左移”是不够的，虽然在早期阶段通过测试来改进产品的概念是有意义的，但开发人员只是综合应用程序安全计划的一部分。他说：“DevOps流程的所有阶段都存在风险，因此工具和调查必须在流程的各个阶段转移，而不仅仅是左移。”

Rose表示，更好的方法是在DevOps生态系统中提高安全性，包括构建系统和可部署构件本身。他补充说:“供应链风险和安全已变得越来越受重视，如果只实现左移，我认为不可能发现这些风险。”

11.为错误的资产使用错误的工具并不能解决问题

Halborn公司的联合创始人、首席信息官Steven Walbroehl表示，“锤子的作用是钉钉子，而不是用来拧螺丝，因此要使用正确的工具。首席信息安全官需要观察细微差别，为他们想要解决的问题找到合适的工具。他说：“2022年得到的一个教训是，开发人员和企业不应该试图将安全性泛化，并将其视为可以用于所有资产或资源的解决方案。我们都应该尽最大努力找到适合或适用于需要保护的特定技术的网络安全解决方案或服务。”

12.企业需要理解其完整的应用程序架构

科技世界的复杂性每年都在增加，企业必须了解其整个应用程序生态系统，以避免重大安全漏洞。Rose说：“随着开源软件包、API、内部开发代码、第三方开发代码和微服务的大量使用，应用序变得越来越复杂，所有这些都与非常灵活的云原生开发实践紧密相连。如果不知道要寻找哪种类型的风险，那么如何才能找到它?”

Rose表示，现代开发实践关注的是越来越小的责任块，因此没有人能够完全处理应用程序的每个方面。

13.安全应该是一项持续的努力

科技行业以外的很多公司认为，网络安全是一次性的措施和活动，只需执行一次，然后就会保证安全。然而，技术是动态的，因此保护它应该是一项需要风险管理方法的持续努力。Walbroehl说，“企业不应试图将网络安全视为一个成功或失败的目标。”

Walbroehl建议企业识别关键过程和资产。然后，他们应该确定愿意接受其资产或流程有何种程度的安全级别。他补充说，一个很好的主意是优先考虑将风险降低到这一水平所需的解决方案或流程。

14.制定计划

2023年对首席信息安全官来说，很可能会让人筋疲力尽。再次，他们将在各个方面面临挑战：俄乌冲突将会持续，一些国家可能会经济衰退，科技将继续发展和进步。这就是他们需要为事件发生的情况制定计划的原因。Gibbons说:“与其一时冲动，不如现在就做好准备。”

Trustwave公司的Daniels对此表示认同。他说：“我们在今年得到的一个最重要的教训是，对网络安全采取严格的反应性方法实际上会减缓或危及企业的竞争力、财务状况和市场增长。主动的、甚至是可预测的网络安全运营，以及创建有效地将安全融入业务的程序，正在成为安全领导者的一个重要事项。”