行业媒体最近与全球安全生态系统的几位杰出人物进行了沟通和探讨:Agora公司首席安全官Roger Hale;JupiterOne公司首席信息安全官兼研究主管Sounil Yu;IBM咨询公司全球网络安全副总裁兼高级合伙人Debbie Taylor Moore;SYN Ventures公司执行合伙人兼联合创始人Jay Leek。随着疫情的影响开始消散,首席信息安全官如何应对随之而来的安全挑战和即将到来的障碍,这些挑战需要得到所有网络安全人员和业务利益相关者的关注。
恢复和弹性
随着市场低迷成为私营部门真正关注的问题,弹性和恢复是网络安全从业者的关键。对行业领先的安全解决方案的需求并没有改变,因此,这些安全专家建议人们在动荡的时期避免下意识的反应和恐慌。
Jay Leek说,“这是一个负面的峰值,但它与安全社区正在实现的价值不断增加无关。我们正处于一个真正的重建周期。这是首席信息安全官和安全从业人员发挥领导作用,并在展示自己能力的同时继续前进的机会。”
他表示,虽然在经济不稳定和灾难性地缘政治事件中寻找机会可能具有挑战性,但网络安全一直具有弹性,部分原因在于其作为安全网的固有作用。安全行业的工作是帮助公众减少恐惧感。首席信息安全官有机会帮助人们管理和减轻他们的风险,并解决最近发生的事件可能加剧的担忧。如果能够满怀信心地利用这一责任,而不是傲慢自大,将会实现网络安全。
首席信息安全官有很多事情要做,这是因为网络攻击事件和原因如今越来越复杂,民族国家行为者利用网络和最近的全球性事件通过窃取、泄露数据以及破坏关键业务和客户资产来获得战略优势。
Sounil Yu说,“首席信息安全官仍在努力解决基本问题。但解决起来从来都不是一件容易的事,而且在过去的一年里变得越来越麻烦。除了我们已经看到的面向数据和面向网络的攻击之外,还会遇到由于固件被屏蔽而无法恢复端点的情况。还将遇到无法重新创建或重新部署应用程序的情况,因为代码已被完全清除。我们可能会达到无法从这些类型的灾难性、不可逆转的事件中恢复过来的地步。”
勒索软件攻击
当前持续的俄乌冲突将勒索软件攻击推到了风口浪尖,因为有报道称俄罗斯已利用它们提供资金。Roger Hale认为,这一新发展及其对安全的影响表明过去几年首席信息安全官的角色发生了转变。
他说,“处理勒索软件不仅是安全问题,还是业务连续性问题。如果我们从新冠疫情和转向远程工作中学到了什么,那就是安全对于企业开展业务的能力的影响范围越来越广。在这场冲突中,国际公司意识到他们在这两个国家拥有资产,因此必须减轻客户对其资源的担忧,并处理核实他们是否遵守国际商业制裁的要求。这些问题都要在首席信息安全官那里得到解决,并为我们提供了提升职位和从前线领导的机会。”
首席信息安全官的角色正在发生变化
Jay Leek强调了这种改变首席信息安全官角色的方法,这是初创公司创始人应该注意的一个急剧转变。他说,“大多数大型企业中的首席信息安全官不再对其产品或解决方案做出任何决定。他们已将其委托给团队中的人员。如果你还在努力向他们的首席信息安全官推销解决方案,但决策者的职位却低了一两层。虽然首席信息安全官可以阻止或批准,但他不会将这个方案推荐给他们的团队。当你为企业的安全计划营销解决方案时,需要确保针对的是正确的群体,因为他们并不是首席信息安全官。”
最近发生的另一次网络攻击Log4j漏洞让人们发现了一个令人震惊的盲点,尽管该漏洞无处不在,但许多企业未能做好准备。
Debbie Taylor Moore说,“人们仍然对这次网络攻击感到不知所措,这是一个持续的过程。嵌套依赖项存在真正的挑战,我们正在意识到20世纪90年代的缺陷如何从过去卷土重来,并在未来几年困扰着所有人。现在这是一个供应生态系统。到处都有相互依赖关系,如果企业想在共享供应商中进行依赖关系映射并巩固治理或合规性,这是一个机会。”
对于首席信息安全官来说,确保其供应商自身安全已不再足够。这些依赖关系很复杂,代码依赖关系通常通过供应链连接到其他各个方面,从而引入了必须管理的大量风险。
Sounil Yu说,“Log4J漏洞真正让我们和整个社区注意的是,必须将其视为必须管理的风险,而不是指望另一方的修复,企业应该对Log4J漏洞持续不断地的损害做好预防和准备,并考虑到这一点来设计环境;例如设计系统以使企业有良好的出口过滤功能。如果能够管理好自己的风险,那么就不必担心供应链中发生的事情。”
寻找合适的安全平台
首席信息安全官的安全堆栈可能已经准备好缓解这些和即将到来的威胁,但是随着网络安全社区的重建和重组,首席信息安全官对于企业的安全态势的看法很感兴趣——多点解决方案是否比一个统一的安全平台更可取?
Debbie Taylor Moore说,“每个企业都有诺亚方舟的解决方案。点解决方案和安全平台方法都有价值。如果选择一个平台但忽略新兴技术,那将是一个劣势。另一方面,首席信息安全官已经厌倦了与多个供应商会面,可能正在寻找方法以跟上技术的发展,并且不至于筋疲力尽。”
Sounil Yu坚持认为,当首席信息安全官在点或平台之间进行选择时,以及当企业家考虑构建什么类型的产品时,他们必须考虑合适的时机。他说,“如果有一个新的威胁向量,那么单点解决方案每次都会获胜。但随着威胁向量的成熟,以及人们弄清楚如何处理它,集成良好的解决方案将成为自然的赢家。这是一个时间问题。如果企业构建了一个解决紧急问题的单点解决方案并且没有其他解决方案,那么尽快构建和使用。但如果来不及,最好提供一个集成的解决方案。”
结论
这些网络风险现在已经转化为日益普遍的商业风险,迫在眉睫的经济衰退加剧了这种风险,首席信息安全官的角色必须做出相应的调整。企业的目标应该是成为与支出、预算分配、目标优先级和其他高管关注点有关的高管对话的关键部分,以确保它们的重要性不会降低。如果首席信息安全官不能在谈判桌前占有一席之地,无法全面了解业务转变以及不能使企业保持其竞争优势,那么面对这些变化和威胁,他们将无法确保弹性和恢复。
