日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

保護軟件供應(yīng)鏈和開源軟件生態(tài)系統(tǒng)，實現(xiàn)零信任，教育員工了解社交工程和網(wǎng)絡(luò)釣魚企圖的風險，這些只是CISOs正在評估的一些領(lǐng)域，旨在降低潛在風險。

創(chuàng)新互聯(lián)公司主要為客戶提供服務(wù)項目涵蓋了網(wǎng)頁視覺設(shè)計、VI標志設(shè)計、成都全網(wǎng)營銷推廣、網(wǎng)站程序開發(fā)、HTML5響應(yīng)式成都網(wǎng)站建設(shè)、成都手機網(wǎng)站制作、微商城、網(wǎng)站托管及網(wǎng)頁維護、WEB系統(tǒng)開發(fā)、域名注冊、國內(nèi)外服務(wù)器租用、視頻、平面設(shè)計、SEO優(yōu)化排名。設(shè)計、前端、后端三個建站步驟的完善服務(wù)體系。一人跟蹤測試的建站服務(wù)標準。已經(jīng)為成都辦公空間設(shè)計行業(yè)客戶提供了網(wǎng)站營銷服務(wù)。

近日，IT領(lǐng)域的專業(yè)媒體采訪了一些頂級技術(shù)公司的CISO，就2023年的網(wǎng)絡(luò)安全優(yōu)先事項和預(yù)測做出了概述。

1、谷歌云CISO Phil Venables

惡意行為會進一步加劇，而對技術(shù)基礎(chǔ)設(shè)施的投資也會相應(yīng)地增加。

2023年，如何保護國家技術(shù)基礎(chǔ)設(shè)施免受惡意攻擊將受到聯(lián)邦政府的更多關(guān)注。在未來一年里，我預(yù)計拜登政府將在2021年《關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令》和2022年《國家安全備忘錄》之后實施一系列連貫的政策。

盡管公共和私營部門的合作最近有所增長，但各機構(gòu)和大型技術(shù)機構(gòu)之間必須進行更深層次的協(xié)調(diào)與溝通?？梢院侠淼仡A(yù)期，政府可能會在機構(gòu)和大型技術(shù)組織之間實施更多的安全檢查點，以反映其滿足合規(guī)性的進展。隨著這些措施的實施，我們預(yù)計將看到公共和私營組織之間的知識共享進一步加強，從而提高透明度并增強防護新型威脅攻擊的能力。

考慮到惡意行為會進一步加劇，對技術(shù)基礎(chǔ)設(shè)施方面的投資也會相應(yīng)地增加。2022年惡意活動不斷增加的情況將繼續(xù)延續(xù)到2023年。盡管我們對長期的網(wǎng)絡(luò)安全建設(shè)發(fā)展抱以樂觀，但對短期的態(tài)勢卻需要保持悲觀預(yù)期。受到宏觀經(jīng)濟態(tài)勢的影響，可能很多企業(yè)組織在明年的安全建設(shè)投入會更謹慎，這對遏制越來越多的網(wǎng)絡(luò)威脅將是一個難題。

2023年，我們預(yù)計在IT現(xiàn)代化方面的投資將會增加，特別是隨著惡意活動的復(fù)雜性持續(xù)上升。在現(xiàn)代化的IT環(huán)境中，安全將成為基礎(chǔ)設(shè)施的“內(nèi)置”元素，而非“附加組件”，因此，即便面臨短期挑戰(zhàn)，IT現(xiàn)代化的長期利益還是可觀的，是緩解不斷演變的網(wǎng)絡(luò)威脅的關(guān)鍵所在。

2、 AWS CISO CJ Moses

安全不僅要從使用最好的安全工具開始，還要從建立安全文化開始。

AWS在構(gòu)建安全服務(wù)時一貫會高度重視客戶的應(yīng)用體驗，我們認為，安全不僅始于使用最好的安全工具，還始于構(gòu)建安全文化。

展望2023年，AWS安全團隊將繼續(xù)為用戶提供創(chuàng)新的網(wǎng)絡(luò)安全服務(wù)，幫助客戶優(yōu)先建立安全第一的思維，具體建議如下：

對每個人進行安全教育——無論他們的角色或職稱——對安全運營而言至關(guān)重要。這包括從軟件開發(fā)人員到客戶代表，再到高管層的所有人。

使用一種共同的語言談?wù)摪踩馕吨e極地教育每個人了解安全最佳實踐、期望和風險。當人們接受安全教育時，他們就有能力做出更好的決策，從而產(chǎn)生積極的安全結(jié)果和更好的客戶體驗。

教育只是一個開始。建立安全第一的文化還需要將知識與行為結(jié)合起來。在安全第一的文化中，開發(fā)人員在編寫一行代碼之前會考慮安全問題;產(chǎn)品經(jīng)理在設(shè)計新產(chǎn)品或服務(wù)之前會考慮安全問題;高層決策者考慮的是安全風險會如何影響利潤。最重要的是，安全第一的文化使他們所有人都能思考安全對他們的客戶體驗有多么重要，以及為什么適當?shù)陌踩顿Y對業(yè)務(wù)至關(guān)重要。

吸引來自不同背景的優(yōu)秀人才，培養(yǎng)安全領(lǐng)袖，加強安全第一的文化。如今的員工希望公司提供明確的職業(yè)發(fā)展道路、技能提升和領(lǐng)導力發(fā)展的機會。通過指導、學徒計劃和認證機會來提升人才技能，建立一個包容和協(xié)作的環(huán)境，改善業(yè)務(wù)，為客戶提供更多價值。

盡可能地實現(xiàn)自動化有助于構(gòu)建者專注于為客戶解決高價值問題。像自動推理和機器學習這樣的技術(shù)不僅可以為構(gòu)建者節(jié)省時間，而且還可以快速發(fā)現(xiàn)未知的安全風險，幫助企業(yè)更好地保護他們的基礎(chǔ)設(shè)施、應(yīng)用程序和客戶。

投資一支充滿活力的員工隊伍。過去兩年的經(jīng)歷告訴我們，人們希望在工作地點上保持靈活性和選擇權(quán)。確保員工使用的工具和環(huán)境的安全——無論他們位于何處——有助于保證企業(yè)的安全。但需要強調(diào)的是，確保所有員工的安全應(yīng)該是簡單的、無摩擦的、盡可能自動化的。

總之，這些優(yōu)先事項可以幫助企業(yè)通過關(guān)注團隊中的人員和文化來改善其安全態(tài)勢。使用最好的安全工具有助于為安全運營打下堅實的基礎(chǔ)。但是，提高安全的門檻意味著要在這個基礎(chǔ)上建立支柱，使有安全意識的人得到授權(quán)，并能夠在一種安全第一的文化中工作。

3、微軟 CISO Bret Arsenault

作為安全專業(yè)人士，僅僅關(guān)注和預(yù)測2023年將發(fā)生什么是不夠的。我們需要展望未來5年到10年的發(fā)展態(tài)勢，并為這些威脅做好準備，因為如果你一味追趕，只能落入下風，很容易受到攻擊。

在微軟之前的發(fā)展預(yù)測中，我們認為云時代會很快到來，傳統(tǒng)密碼技術(shù)將面臨挑戰(zhàn)，因此我們提前做好了計劃和準備?，F(xiàn)在，我們認為目前廣泛應(yīng)用的MFA可能變得很脆弱，企業(yè)組織需要為此制定計劃。總之，你得像個黑客一樣思考。

4、 IBM CISO Koos Lodewijkx

過去兩年發(fā)生的事件清楚地提醒我們，我們的安全在多大程度上依賴于其他國家的安全——供應(yīng)鏈、合作伙伴和開源。

在為2023年做準備時，我們的團隊正專注于適應(yīng)不斷變化的威脅環(huán)境，因為勒索軟件攻擊和針對關(guān)鍵基礎(chǔ)設(shè)施的破壞性攻擊正在成倍增長，而且這種趨勢在短期內(nèi)不會改變。

隨著攻擊面變得越來越復(fù)雜和分散，更重要的是關(guān)注攻擊面管理，以發(fā)現(xiàn)和修復(fù)高優(yōu)先級漏洞，并及時進行企業(yè)環(huán)境中的威脅檢測和響應(yīng)，這樣可以搶在攻擊者得逞之前迅速發(fā)現(xiàn)和阻止對方。

展望未來，我們會迎來更多非常新穎的人工智能技術(shù)創(chuàng)新應(yīng)用，這些創(chuàng)新在網(wǎng)絡(luò)防御領(lǐng)域擁有巨大潛力。我們正在與IBM研究部門和IBM安全產(chǎn)品部門的同事密切合作，探索網(wǎng)絡(luò)安全領(lǐng)域的新穎AI用例，這些用例遠遠超出了目前已付諸實踐的那些。

5、 Elastic CISO Mandy Andress

一個關(guān)鍵的優(yōu)先事項將是更好地了解組織在其安全態(tài)勢的技術(shù)和人員方面的交叉點的脆弱性。

考慮到最近和過去的網(wǎng)絡(luò)攻擊，就像我們在SolarWinds、Okta和其他公司身上看到的那樣，安全團隊的一個關(guān)鍵優(yōu)先事項將是更好地了解其組織在安全態(tài)勢的技術(shù)和人員間的交叉點的脆弱性。當前的漏洞和惡意行為者都越來越專注于利用技術(shù)和人員交叉的拐點。

為了解決任何技術(shù)弱點，我相信更多的組織將需要開始在開放環(huán)境中開發(fā)安全，這使安全從業(yè)者能夠看到產(chǎn)品的底層代碼，并理解其在他們的環(huán)境中是如何運行的。這將幫助安全團隊識別潛在的盲點，并解決安全技術(shù)堆棧中的空白，同時為新的和正在出現(xiàn)的威脅開發(fā)風險預(yù)測。

安全中的人員因素要稍微微妙一些，因為它更難以預(yù)測。某些因素(如大流行和遠程工作環(huán)境)使人們比以往任何時候都更多地與技術(shù)聯(lián)系和互動，但這并不一定使他們更具安全意識。

6、 黑莓CISO John McClurg

對網(wǎng)絡(luò)安全采取“預(yù)防優(yōu)先”的方法將成為企業(yè)防范惡意行為者的最佳方法之一。

根據(jù)拜登總統(tǒng)頒發(fā)的14028號行政命令，為美國政府提供軟件的公司首先要考慮的是制定軟件材料清單(SBOM)，因為他們要管理這些新要求的細節(jié)和影響。

對軟件供應(yīng)鏈的攻擊往往是從訪問最薄弱的環(huán)節(jié)開始的。隨著我們步入新的一年，根據(jù)新的安全軟件開發(fā)實踐的要求，讓各種規(guī)模的企業(yè)參與進來至關(guān)重要。

安全領(lǐng)域的領(lǐng)導者也將專注于填補他們的網(wǎng)絡(luò)安全技能短缺。面對不斷擴大的網(wǎng)絡(luò)安全人才缺口，在網(wǎng)絡(luò)安全方面采取“預(yù)防優(yōu)先”的方法最終是企業(yè)防范惡意行為者的最佳方式之一，因為我們所面臨的威脅與所需安全人員之間的差距將越來越大。

7、Palo Alto Networks CISO Niall Browne

最重要的是，不僅要確保您自己組織的軟件供應(yīng)鏈是安全的，還要確保與您有業(yè)務(wù)往來的公司的軟件供應(yīng)鏈也是安全的。

在過去的幾年里，我們看到每個組織都變成了數(shù)字企業(yè)。但另一方面，組織在數(shù)字化方面的顯著發(fā)展在一定程度上促進了惡意行為者利用脆弱的軟件供應(yīng)鏈。Log4j攻擊向我們展示了這些攻擊的危害性，一個脆弱的代碼庫足以影響數(shù)千家公司。

糟糕的是，這些類型的攻擊非但不會消失，還將在未來幾年呈指數(shù)級增長。Gartner預(yù)測，到2025年，全球45%的組織的軟件供應(yīng)鏈將遭遇攻擊，比2021年增加三倍。

因此，最重要的是，不僅要確保您自己組織的軟件供應(yīng)鏈是安全的，還要確保與您有業(yè)務(wù)往來的公司的軟件供應(yīng)鏈也是安全的。對于每一位CISO來說，最優(yōu)先考慮的是對組織使用的每一個代碼庫、應(yīng)用程序和第三方進行適當?shù)陌踩雷o。

8、Dell CISO Kevin Cross

我們必須出色地執(zhí)行安全基礎(chǔ)操作，因為威脅行為者通常會利用這些漏洞侵入、橫向移動并破壞網(wǎng)絡(luò)環(huán)境。

展望2023年，我們的首要任務(wù)并不是關(guān)注當前的最新安全技術(shù)應(yīng)用趨勢，而是會繼續(xù)做好網(wǎng)絡(luò)安全的基礎(chǔ)衛(wèi)生工作。我們必須出色地執(zhí)行這些基本操作，因為威脅行為者善于利用這些薄弱緩解侵入、橫向移動并破壞環(huán)境。

如果基本操作不健全，安全防護也將無從談起。我們會不斷地確保基礎(chǔ)性的攔截和應(yīng)對機制能夠充分發(fā)揮功效，以便在應(yīng)對層出不窮的威脅時保持從容狀態(tài)。

對許多組織來說，網(wǎng)絡(luò)安全人才匱乏阻礙了安全基本知識的獲取和執(zhí)行。在現(xiàn)有的勞動力中，很少有人具備防護、檢測、響應(yīng)和從網(wǎng)絡(luò)威脅中恢復(fù)所需的專業(yè)網(wǎng)絡(luò)安全技能。因此，我們將注重提升安全團隊的專業(yè)能力培養(yǎng)，提供持續(xù)培訓和教育，同時支持他們的職業(yè)道路和興趣愛好。

9、Arctic Wolf CISO Adam Marré

無論是供應(yīng)商方面的團隊還是內(nèi)部專家，擁有合適的團隊應(yīng)該是所有公司的優(yōu)先事項。

由于網(wǎng)絡(luò)攻擊持續(xù)影響全球各地的組織，領(lǐng)導者應(yīng)該繼續(xù)投資于網(wǎng)絡(luò)安全人才，并關(guān)注網(wǎng)絡(luò)安全的基礎(chǔ)衛(wèi)生工作。盡管新技術(shù)不斷涌現(xiàn)，旨在解決不同的攻擊載體，但專注于成功執(zhí)行網(wǎng)絡(luò)安全的基礎(chǔ)衛(wèi)生工作仍然是最有效的戰(zhàn)略。

《Verizon數(shù)據(jù)泄露調(diào)查報告》和其他安全事件報告顯示，大多數(shù)成功的攻擊都涉及使用憑據(jù)或利用已有安全補丁的軟件漏洞。這意味著大多數(shù)組織仍然沒有執(zhí)行基礎(chǔ)的安全憑據(jù)處理和補丁/漏洞管理。

為了確保完成這些基礎(chǔ)操作，組織需要一支專注于安全的團隊。無論是供應(yīng)商方面的團隊還是內(nèi)部專家，擁有合適的團隊應(yīng)該是所有公司的優(yōu)先事項。

10、CyCognito CISO Anne Marie Zettlemoyer

和大多數(shù)公司一樣，我們必須最大化安全資源和投資;因此，安全“左移”——將安全盡早納入產(chǎn)品的開發(fā)流程中——至關(guān)重要。

作為一家技術(shù)公司，我們面臨著一項重要的責任，那就是確保我們所構(gòu)建的東西及其構(gòu)建方式對公司和我們所服務(wù)的每位客戶都是安全的。我們感謝客戶賦予我們的信任，并努力將安全構(gòu)建到我們所做的每一件事中。

和大多數(shù)公司一樣，我們必須最大化安全資源和投資;因此，安全“左移”——將安全盡早納入產(chǎn)品的開發(fā)流程中——至關(guān)重要。這樣一來，我們將能盡早發(fā)現(xiàn)缺陷，以便更快、更有效的實施補救，從而減少MTTR并降低成本。

我們利用在安全和工程方面的專業(yè)知識，開發(fā)安全、可靠和值得信賴的工具;我們利用自己的平臺來確保我們不僅對自己的動態(tài)攻擊面有很好的了解，還會定期測試我們的應(yīng)用程序、機器和云實例的可靠性，以便以主動的方式管理風險，并領(lǐng)先于攻擊者。

11、Tessian CISO Josh Yavor

在攻擊者眼中，并沒有所謂的工作和生活的界限。

2023年，CISO需要專注于如何在公司系統(tǒng)之外保護員工。我們越來越多地看到，攻擊者利用員工的個人網(wǎng)絡(luò)——通過領(lǐng)英、短信或個人電子郵件賬戶——進行社會工程詐騙，目標是破壞企業(yè)網(wǎng)絡(luò)環(huán)境。

例如，如果一名員工的筆記本電腦被侵入，攻擊者通?？梢栽L問該員工的個人電子郵件，然后試圖通過社會工程讓其雇主的IT團隊賦予他們訪問權(quán)限。

攻擊者并不會尊重員工工作和生活的界限，所以，很明顯，安全需要擴展到企業(yè)網(wǎng)絡(luò)之外，但有一個重要的平衡，CISOs和安全領(lǐng)導者需要達成。我們?nèi)绾尾粌H在工作上支持員工，而且在他們的個人生活中也支持他們，同時還尊重他們的個人設(shè)備和賬戶隱私?

12、Netskope CISO Jason Clark

安全性最大的敵人是復(fù)雜性。

最近與我交談過的幾乎每一位首席信息官都有同樣的優(yōu)先考慮事項：簡化安全操作。由于預(yù)算整合，技術(shù)堆棧變得過于復(fù)雜，無法長期可持續(xù)發(fā)展，它們正被迫簡化安全。以下是我建議你首先評估的幾個方面：

安全建設(shè)的頭號敵人是復(fù)雜性，因此在策略設(shè)計時就要關(guān)注并考慮運營流程的簡化性。在許多情況下，存在太多的安全控制，而沒有考慮到由此給業(yè)務(wù)帶來的摩擦。通過簡化流程，您還可以消除一些不必要的控制措施。

13、Lightspin CISO Jonathan Rau

由于社會工程攻擊，基于推送的MFA(即MFA疲勞攻擊)已被證明是MFA的一個薄弱實現(xiàn)。

2022年，一種稱為“MFA”疲勞攻擊(又名“MFA推送垃圾郵件”)的社會工程技術(shù)在威脅行為者中越來越受歡迎。Lapsus$和Yanluowang威脅行為者更是成功使用這種類型的社會工程技術(shù)攻破了微軟、思科和優(yōu)步等大型知名組織。

到2023年，需要對MFA的實現(xiàn)方式和位置進行投資和深入分析，捕獲日志細節(jié)并制定基于風險的策略控制，以防止MFA疲勞攻擊。

14、ExtraHop CISO Jeff Costlow

民族國家行為體將會升級他們在憑據(jù)填充(credential stuffing)方面的企圖。

個人社交媒體賬戶的用戶名和密碼仍然占據(jù)泄露數(shù)據(jù)的很大一部分。2023年，使用這些泄露憑據(jù)(包括企業(yè)賬戶)的更具針對性的賬戶接管攻擊嘗試將會增加。更具體地說，民族國家行為體將會升級他們在憑據(jù)填充方面的企圖。

15、Cobalt CISO Andrew Obadiaru

幾乎每個組織都有收集和存儲客戶的敏感數(shù)據(jù)，這些數(shù)據(jù)的安全和防護將仍是2023年的一個關(guān)鍵優(yōu)先事項。

由于勒索軟件仍然是企業(yè)數(shù)據(jù)安全的頭號威脅，CISO應(yīng)該優(yōu)先強化安全監(jiān)控能力并建立防御機制。

另一個重點是安全分析?？紤]到實時威脅的規(guī)模和速度，傳統(tǒng)的基于規(guī)則的安全信息和事件管理(SIEM)已遠遠不足。為了更好地應(yīng)對2023年，CISO應(yīng)將數(shù)據(jù)分析集成到安全監(jiān)控和警報分析中。

擺脫不掉的問題，“我們是否已經(jīng)竭盡全力來保護我們自己和我們的客戶?我們是否可以采取其他措施?”真的讓我夜不能寐。事實是，我們已經(jīng)實施了一些安全措施，我們將繼續(xù)評估這些措施是否充分。

16、Darktrace CISO Mike Beck

鑒于日趨緊張的預(yù)算限制，CISO在建立有效的安全計劃方面將面臨一些艱難的選擇。

每年，網(wǎng)絡(luò)攻擊者都在不斷創(chuàng)新，以提高他們實施攻擊的能力和效率。

受到金錢利益誘惑的網(wǎng)絡(luò)犯罪分子，受到地緣政治緊張局勢驅(qū)動的民族國家行為體，情報收集的可能性，全球組織面臨的攻擊正在繼續(xù)擴大。全球企業(yè)的CISO在每一個網(wǎng)絡(luò)安全決策中都必須應(yīng)對這種背景。

在全球經(jīng)濟放緩的通貨膨脹環(huán)境下，鑒于預(yù)算日益緊張，CISO在建立有效的安全計劃方面將面臨幾個艱難的選擇。

許多公司將沒有能力繼續(xù)投資可以手動操作安全功能的大型安全團隊，而不得不將人工智能視為力量的乘數(shù)器。獲得全面的人工智能驅(qū)動的安全解決方案，整合作為網(wǎng)絡(luò)安全項目補充的外包服務(wù)，以及保留關(guān)鍵的安全人才，將是CISO在2023年的主要目標。

17、Corelight CISO Bernard Brantle

我在未來一年的首要任務(wù)是通過人員因素加強網(wǎng)絡(luò)安全。

2023年降至，面對不斷變化的威脅環(huán)境，我們當前“以控制為中心”的應(yīng)對方法仍然是低效的，我們必須找到一種方法來發(fā)展我們最關(guān)鍵的資產(chǎn)：組織中的人員(人員網(wǎng)絡(luò))的安全敏感性。

安全組織需要維持許多以技術(shù)為中心的功能，以識別結(jié)構(gòu)缺陷并保護組織，但同時也要為“以人員為中心”的檢測、應(yīng)對和恢復(fù)功能提供支持。

18、Wiz CISO Ryan Kazanciyan

組織將與為這些機制提供不一致或不完整支持的內(nèi)部系統(tǒng)和供應(yīng)商系統(tǒng)作斗爭。

大規(guī)模部署抗釣魚多因素認證，并管理不可避免的差距：2022年發(fā)生的事件強調(diào)了擺脫SMS、一次性密碼(TOTP)和基于推送的多因素認證(MFA)的必要性。

抗釣魚的FIDO2 Web認證(WebAuthn)比以往任何時候都更容易使用——通過硬件令牌、內(nèi)置硬件如TouchID和Windows Hello，以及最近發(fā)布的PassKeys——但組織將與為這些機制提供不一致或不完整支持的內(nèi)部系統(tǒng)和供應(yīng)商系統(tǒng)作斗爭。

“尾大不掉”的不兼容系統(tǒng)將迫使許多組織在未來許多年里繼續(xù)使用不安全的MFA方法來支持他們的環(huán)境。

19、GoTo CISO Michael Oberlaender

GoTo正致力于監(jiān)控并持續(xù)改進自身的安全、技術(shù)和組織措施，以保護客戶的敏感信息。

除了SOC和SOC 3合規(guī)外，我們正在執(zhí)行一種“設(shè)計性防御(Security by Design，SbD)”方法，致力于最小權(quán)限和身份訪問管理(IAM)、增強的多因素認證(MFA)、零信任、資產(chǎn)管理和自動化功能，這也將繼續(xù)成為我們未來一年的優(yōu)先事項。

考慮到數(shù)據(jù)泄露的平均成本已經(jīng)達到了歷史最高水平，企業(yè)需要采取一切預(yù)防措施來保護自己免受外部或內(nèi)部惡意人員的攻擊，而SbD模型是無可置疑的有效方法。

20、 JupiterOne CISO Sounil Yu

就我們的軟件供應(yīng)鏈而言，我們無異于正在吃“毒蘋果”。

我們最近看到了一些非常高調(diào)的攻擊行為，它們?yōu)E用了MFA實現(xiàn)，而這些實現(xiàn)仍然容易受到社交工程的影響。顯然，MFA并非萬靈藥，尤其是考慮到用戶仍然容易被攻擊者誘騙交出MFA令牌。

2023年，我們應(yīng)該努力讓用戶意識到這些攻擊，并改進MFA實現(xiàn)，使他們更有效地抵抗網(wǎng)絡(luò)釣魚。借用Richard Danzig的比喻，就我們的軟件供應(yīng)鏈而言，我們無異于正在吃“毒蘋果”。這種藥性并不會消失，所以我們需要學習如何在這些條件下生存和發(fā)展。

意識到風險(通過SOMS等努力)和管理風險(通過出口過濾等補償控制)將是2023年和未來的優(yōu)先事項。

21、 Digital Shadows CISO Rick Holland

CISO應(yīng)該了解公司明年的戰(zhàn)略目標，并尋找最小化風險和實現(xiàn)業(yè)務(wù)主動性的方法。

現(xiàn)在是為2023年制定計劃的時候，大部分焦點都集中在CISO明年應(yīng)該投資哪些安全工具上。CISO不應(yīng)該優(yōu)先考慮安全工具，而應(yīng)優(yōu)先考慮2023年的業(yè)務(wù)目標。

明年的業(yè)務(wù)計劃是什么?公司是否將發(fā)布一款新產(chǎn)品，以產(chǎn)生實現(xiàn)收入目標所需的可觀收入?公司要拓展到一個新的領(lǐng)域嗎?

CISO應(yīng)該了解公司明年的戰(zhàn)略目標，并尋找最小化風險和實現(xiàn)業(yè)務(wù)主動性的方法。業(yè)務(wù)風險也應(yīng)該驅(qū)動CISO 2023年的優(yōu)先事項。美國證券交易委員會(SEC)10-K財務(wù)報表是很好的資源，概述了業(yè)務(wù)的主要風險。

22、Netenrich CISO Chris Morale

我們可以持續(xù)地對威脅可能性和業(yè)務(wù)影響進行評分，以便對資源的最佳集中位置做出明智的決定。

我對2023年有一個優(yōu)先考慮的問題——實現(xiàn)數(shù)據(jù)驅(qū)動的風險決策。這意味著為業(yè)務(wù)部門提供一個儀表板和趨勢指標，以了解構(gòu)成攻擊面的資產(chǎn)、漏洞和威脅的狀態(tài)。

由此，我們可以持續(xù)地對威脅可能性和業(yè)務(wù)影響進行評分，從而對資源最好集中在何處做出明智的決定。要做到這一點，需要一個緊密集成的安全堆棧，將數(shù)據(jù)共享到單個聚合數(shù)據(jù)湖。

23、ReliaQuest CISO John Burger

2023年，我希望提高我們的量化能力，這樣我們就可以向領(lǐng)導層展示風險和美元之間的關(guān)聯(lián)性。

風險量化是我2023年的首要任務(wù)，因為這對確保我所有安全舉措的資金至關(guān)重要。而且，正如大多數(shù)CISO所意識到的那樣，新的安全支出并不容易獲得。

為了獲得資金支持，CISO必須能夠用美元量化潛在風險。雖然量化丟失一天應(yīng)用程序的實質(zhì)性影響，甚至是一次勒索軟件攻擊通常更容易，但要量化這種影響發(fā)生的概率就困難得多。

2023年，我希望提高我們的量化能力，這樣我們就可以向領(lǐng)導層展示風險和美元之間的關(guān)聯(lián)性。風險量化有可能提高我們與業(yè)務(wù)溝通的清晰度。

24、NS1 CISO Ryan Davis

長久以來，安全問題一直被視為事后考慮事項和成本中心。

面對不穩(wěn)定的經(jīng)濟環(huán)境，CISO要尋找在無需大量額外成本或投資的情況下增強安全部門影響力的方法，其中一個切實可行的方法是在組織內(nèi)部發(fā)展伙伴關(guān)系。

當CISO和安全團隊能夠帶頭與其他部門建立伙伴關(guān)系時，就可以降低組織安全的總體成本——無論是與HR合作在全公司范圍內(nèi)提高安全意識，還是對開發(fā)團隊進行安全方面的培訓，或者與市場營銷合作使安全成為業(yè)務(wù)差異化因素。

25、Nile CISO Krishna Athur

CISO必須努力實現(xiàn)安全協(xié)議的零信任。

網(wǎng)絡(luò)安全方法將成為未來的法律：CISO 必須積極與州和聯(lián)邦官員合作，就業(yè)務(wù)和數(shù)據(jù)安全要求教育政策制定者和立法者，以積極影響新法規(guī)的制定方式。

更重要的是，由于不同的州以不同的速度和方法采取行動，CISO應(yīng)該專注于倡導聯(lián)邦官員介入，創(chuàng)建數(shù)據(jù)隱私和保護的國家標準。

CISO必須努力實現(xiàn)安全協(xié)議的零信任。CISO還必須尋找解決方案和供應(yīng)商，幫助他們將零信任從一個難以實現(xiàn)的目標提升到一個安全標準。

26、 vArmour CISO Marc Woolward

我專注于幫助客戶從內(nèi)到外地了解他們的IT供應(yīng)鏈。

2023年，我的首要任務(wù)之一是解決軟件供應(yīng)鏈中的網(wǎng)絡(luò)安全和運營風險，特別是在監(jiān)管機構(gòu)繼續(xù)制定有關(guān)保護這一領(lǐng)域關(guān)鍵業(yè)務(wù)功能和機密數(shù)據(jù)的指導方針的情況下。從PyPI到Lapsus$，攻擊者正在充分利用第三方應(yīng)用程序中的漏洞，而且企業(yè)無法阻止他們。

我專注于幫助客戶從內(nèi)到外地了解他們的IT供應(yīng)鏈——無論是他們的應(yīng)用程序、數(shù)據(jù)流、代碼還是人員——并制定動態(tài)策略來控制它。

只有通過這種由內(nèi)而外的供應(yīng)鏈視圖(通過可觀察性技術(shù)和軟件材料清單)，我們才能全面評估企業(yè)風險及其周圍的環(huán)境，選擇優(yōu)先級的安全策略，然后關(guān)閉企業(yè)軟件中容易被攻擊者利用的日常漏洞。

27、SandboxAQ CISO Nikolai Chernyy

我們需要集中精力保持良好的安全態(tài)度和積極的文化，鼓勵報告可疑活動。

在2022年，Sandbox的員工從20人增加到近100人，我們預(yù)計在2023年將達到200-300人。隨著公司的發(fā)展，在維護安全規(guī)程(例如，繼續(xù)在所有地方強制SSO)的同時，支持越來越多的平臺的壓力也日益增加。

我們沒有邊界，用戶和技術(shù)復(fù)雜性的增加導致了更多的場景可以疊加起來，允許威脅行為者進行操作。因此，我們必須格外小心，以確保遙測和隨著基礎(chǔ)設(shè)施和安全政策的變化而變化的規(guī)模繼續(xù)得到執(zhí)行。

最后，當組織規(guī)模超過“鄧巴數(shù)字”時——是對一個人能夠保持穩(wěn)定社會關(guān)系的人數(shù)的認知極限，鄧巴數(shù)字的估計值一般在100至250之間——我們需要集中精力保持良好的安全態(tài)度和積極的文化，鼓勵報告可疑活動。

28、Cohesity CISO Brian Spanswick

攻擊者正在利用基本的漏洞訪問關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)。

2023年，我們的工作重心將側(cè)重于提升主要安全控制措施的覆蓋面和有效性。最近幾起影響重大的安全事件表明，攻擊者只需要利用安全環(huán)境中的基本漏洞，就可以訪問關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)。

我們同時將繼續(xù)致力于為所有員工提供安全意識培訓和社會工程攻擊方面的教育，通過加強安全意識來形成和保持減小威脅暴露面所需的肌肉記憶。

我們另一個重心是繼續(xù)關(guān)注憑據(jù)管理，這包括加強基于角色的訪問控制(RBAC)、最低權(quán)限訪問和適當?shù)拿艽a管理。這個方面需要不斷加強管理，才能確保環(huán)境變化后，憑據(jù)管理依然保持在預(yù)期的應(yīng)用水平。

29、Azion CISO Mauricio Pegoraro

我們期望CISO比以往任何時候都更重視代碼保護。

軟件供應(yīng)鏈的安全性繼續(xù)困擾著組織。我們預(yù)計，供應(yīng)鏈攻擊將變得更加復(fù)雜，但我們也希望看到組織開發(fā)出復(fù)雜的解決方案來挫敗這些攻擊。

隨著供應(yīng)鏈攻擊的增加，我們預(yù)計CISO將在保護軟件開發(fā)生命周期和建立形式化的補丁管理程序方面投入更多資金，以維護干凈的軟件庫。開源代碼是軟件開發(fā)創(chuàng)新的命脈，因此我們期望CISO比以往任何時候都更重視代碼保護。

30、Red Canary CISO Robb Reck

攻擊者比以往任何時候都更善于找到入侵環(huán)境的方法。

CISO最重要的技能是對公司內(nèi)外的了解，這意味著了解如何使用技術(shù)和數(shù)據(jù)來創(chuàng)造價值，并盡早參與新項目。這種程度的整合并不容易，也沒有結(jié)束日期，因此應(yīng)該是每個CISO在2023年優(yōu)先考慮的首要事項。

除此之外，CISO明年也確實有其他重要的優(yōu)先事項。

• 疫情永久地改變了員工對工作的看法。所有的領(lǐng)導者都需要重新評估他們對員工的期望，并通過外部合作伙伴和額外招聘來擴充團隊。
• 攻擊者比以往任何時候都更善于找到入侵環(huán)境的途徑，并利用這種途徑進行勒索、知識產(chǎn)權(quán)盜竊或其他惡意目的。因此，組織需要專注于實現(xiàn)流程和技術(shù)，以幫助其快速發(fā)現(xiàn)并應(yīng)對繞過公司安全控制的攻擊者。

31、Druva CISO Yogesh Badwe

事實一再證明，人是安全鏈條中最薄弱的一環(huán)。

2023年，領(lǐng)導者應(yīng)該專注于培訓員工、自動化，并找到一個綜合解決方案，將安全和數(shù)據(jù)保護結(jié)合起來，以加固組織的數(shù)據(jù)安全。

將數(shù)據(jù)交給合適的人可能是棘手而復(fù)雜的事情。無數(shù)人員在數(shù)據(jù)泄露事件中扮演關(guān)鍵角色的例子證明：有人的地方就有風險，你永遠無法安全。

事實一再證明，人是安全鏈條中最薄弱的一環(huán)。為了確保在災(zāi)難或攻擊后的數(shù)據(jù)恢復(fù)能力，組織應(yīng)該優(yōu)先考慮對IT專業(yè)人員進行適當?shù)呐嘤?，同時為他們配備正確的系統(tǒng)以實現(xiàn)流程自動化。

重要的是，組織應(yīng)該拋棄團隊必須手動處理這些過程——從每晚備份數(shù)據(jù)到監(jiān)視系統(tǒng)——的想法。使用非接觸式系統(tǒng)，團隊可以放心，他們的操作和數(shù)據(jù)總是安全的——即使災(zāi)難來襲。

32、CafeX CISO Neil Ellis

生態(tài)系統(tǒng)的復(fù)雜性正在改變2023年的威脅格局。

我們認識到了這一點，并大力投資于監(jiān)控、檢測和提供IT環(huán)境信息的解決方案。作為一名CISO，我看到安全團隊面臨的最大挑戰(zhàn)是如何利用這些信息并顯著減少補救時間。

我們使用我們的Challo平臺來編排和自動化事件響應(yīng)，以此來加速內(nèi)部和外部專家之間的協(xié)作，簡化對系統(tǒng)數(shù)據(jù)和文檔的安全訪問，并自動化與監(jiān)測工具捕獲和報告的各種事件類型相關(guān)的工作流程。

對事件響應(yīng)的投資直接解決了生態(tài)系統(tǒng)復(fù)雜性帶來的挑戰(zhàn)，并提高了過程中的敏捷性和網(wǎng)絡(luò)安全態(tài)勢。

分享題目：32位優(yōu)秀CISO對2023年網(wǎng)絡(luò)安全優(yōu)先事項及預(yù)測的概述
鏈接地址：http://www.5511xx.com/article/cdgipji.html