來自美國多家機構(gòu)的首席信息安全官 (CISO) 對2024 年主要安全趨勢進行探討，涉及一系列主題，其中包括不斷變化的威脅形勢、最新合規(guī)要求、數(shù)據(jù)隱私挑戰(zhàn)、產(chǎn)品和關(guān)鍵基礎(chǔ)設(shè)施保護問題，以及安全戰(zhàn)略、領(lǐng)導(dǎo)力、彈性、首席信息安全官 (CISO) 的責(zé)任、人工智能 (AI) 風(fēng)險等。

下面的10個方向成為美國首席信息安全官關(guān)注的重點。

趨勢1：CISO的安全責(zé)任日趨增加

參與討論的首席信息安全官認為，越來越多的 CISO 受到日益嚴(yán)格的審查，為網(wǎng)絡(luò)安全事件承擔(dān)責(zé)任，并預(yù)計這一趨勢將會加速。

漫威公司前CISO邁克·威爾克斯重點關(guān)注了涉及 CISO 的多起訴訟，對安全專業(yè)人員前所未有的安全責(zé)任以及可能成為替罪羊的可能性表示擔(dān)憂。

威爾克斯介紹了針對優(yōu)步前CISO喬·沙利文 （Joe Sullivan)）和 SolarWinds 前CISO蒂姆·布朗 （Tim Brown）等安全主管的訴訟。2013年10月，美國證券交易委員會(SEC)針對SolarWinds公司及其安全主管蒂姆?布朗(Tim Brown)提起訴訟，指責(zé)該公司掩蓋了“糟糕的網(wǎng)絡(luò)安全實踐及其日益加劇的網(wǎng)絡(luò)安全風(fēng)險”。在此前的5月份，優(yōu)步前首席安全官(CSO)喬·沙利文 (Joe Sullivan) 因為主動隱瞞2016 年的網(wǎng)絡(luò)攻擊并妨礙聯(lián)邦調(diào)查，被判處三年緩刑 和 200 小時社區(qū)服務(wù)。威爾克斯強調(diào)， SEC向CISO發(fā)出“韋爾斯通知”(Wells notice)在歷史上還屬首次。

威爾克斯對于讓CISO 對其無法控制的問題負責(zé)的行業(yè)趨勢提出質(zhì)疑，并預(yù)測 CISO 會因缺乏支持而不斷流失。

云數(shù)據(jù)安全公司Druva CISO尤格什（Yogesh）則提出了相反的觀點，認為最近的訴訟可能會成為提升 CISO 地位和改進安全計劃的催化劑。他以科洛尼爾石油管道遭攻擊的事件為例，認為業(yè)界對于網(wǎng)絡(luò)安全的認識，已經(jīng)從單純的技術(shù)問題轉(zhuǎn)變?yōu)檎J識到其對現(xiàn)實世界的影響。尤格什預(yù)計，新的監(jiān)管行動將促進行業(yè)的積極轉(zhuǎn)型，為解決 CISO 面臨的挑戰(zhàn)帶來一線希望。

趨勢2：網(wǎng)絡(luò)安全法規(guī)強化

ThoughtWorks（思特沃克）首席信息安全官尼廷·拉伊納（Nitin Raina）強調(diào)認真審查網(wǎng)絡(luò)法規(guī)的重要性，尤其是對于上市公司而言，需要積極擁抱美國SEC發(fā)布的網(wǎng)絡(luò)安全新規(guī)。

他認為當(dāng)前的安全監(jiān)管環(huán)境創(chuàng)造了機會，有助于組織提升網(wǎng)絡(luò)安全實踐，并改進與機構(gòu)領(lǐng)導(dǎo)層和董事會溝通應(yīng)對安全的復(fù)雜性。

盡管充滿挑戰(zhàn)，拉伊納對于遵從歐盟、印度、中國和其他等地的全球法規(guī)仍保持樂觀。威爾克斯補充指出，紐約州的金融服務(wù)局 (NY DFS) 開創(chuàng)了先例，要求 3000 多家其所覆蓋的實體（每個實體均設(shè)置 CISO），簽署遵守 2023 年網(wǎng)絡(luò)安全新規(guī)的聲明。威爾克斯預(yù)計，這一監(jiān)管措施將強制實施最佳實踐，例如廣泛部署多因素身份驗證和定期開展風(fēng)險評估，盡管這種轉(zhuǎn)變可能給某些組織帶來潛在的困難。

趨勢3：網(wǎng)絡(luò)進入熱戰(zhàn)時代

威爾克斯提出了網(wǎng)絡(luò)熱戰(zhàn)時代的概念，認為造成人身傷亡的網(wǎng)絡(luò)攻擊將會日益普遍。他特別提及了影響煉油廠安全設(shè)置的 Triton 惡意軟件和針對佛羅里達州水處理設(shè)施的投毒事件。

威爾克斯預(yù)計，網(wǎng)絡(luò)熱戰(zhàn)行動將會持續(xù)增加，并提出了對造成傷害的網(wǎng)絡(luò)攻擊是否允許進行報復(fù)的問題。他設(shè)想一個充滿法律挑戰(zhàn)的新時期——對戰(zhàn)爭法進行擴展，以便涵蓋網(wǎng)絡(luò)戰(zhàn)。

尤格什補充認為，現(xiàn)在網(wǎng)絡(luò)戰(zhàn)已經(jīng)與地緣政治沖突緊密交織，凸顯出網(wǎng)絡(luò)攻擊溯源源的難度，以及各國在確定應(yīng)對措施時面臨的挑戰(zhàn)。

趨勢4：第三方風(fēng)險管理面臨挑戰(zhàn)

首席信息安全官深入討論探討了第三方風(fēng)險管理的挑戰(zhàn)，特別是安全事件和延遲披露事件影響的情況。尼廷·拉伊納表示，當(dāng)今技術(shù)環(huán)境對第三方廣泛依賴，除初步評估之外，有必須持續(xù)開展審慎調(diào)查。 

拉伊納強調(diào)了與核心第三方提供商進行緊密協(xié)調(diào)和定期溝通的重要性，特別提出了供應(yīng)商管理技能和了解責(zé)任范圍的意義。

受到 AWS 和 Amazon 實踐的啟發(fā)，拉伊納提出了（云安全）共享責(zé)任模型的概念，強調(diào)需要采用優(yōu)先且不斷發(fā)展的第三方風(fēng)險管理方法。

邁克強調(diào)了持續(xù)監(jiān)測的重要性和年度安全評估的局限性。他強調(diào)有必要提升初始的安全措施，并轉(zhuǎn)變觀點，使系統(tǒng)初始狀態(tài)更加安全。與會首席安全官均強調(diào)了在動態(tài)網(wǎng)絡(luò)安全環(huán)境中，采取主動且不斷演進的第三方風(fēng)險管理方法的重要性。

趨勢5：勒索軟件繼續(xù)占據(jù)主導(dǎo)地位

首席信息安全官們討論了勒索軟件攻擊的普遍性，及其在網(wǎng)絡(luò)安全話題中的持續(xù)主導(dǎo)地位。

尼廷·拉伊納承認，勒索軟件在網(wǎng)絡(luò)安全態(tài)勢中的重要影響。Druva CISO則尤格什指出，勒索軟件攻擊事件正以驚人速度增長，他強調(diào)，網(wǎng)絡(luò)攻擊者正在不斷演進其攻擊策略，例如，數(shù)據(jù)勒索和針對不常見領(lǐng)域（包括 SaaS 應(yīng)用和云）的勒索攻擊。SEC對于及時披露安全事件的要求以及社會工程攻擊策略給對組織造成額外的壓力。

威爾克斯就美國紐約州金融服務(wù)局 (DFS)的網(wǎng)絡(luò)安全法規(guī)更新發(fā)表了個人觀點，強調(diào)及時報告勒索攻擊檢測情況和支付贖金情況的重要性。2023年紐約州金融服務(wù)局更新了網(wǎng)絡(luò)安全法規(guī)，以加強網(wǎng)絡(luò)治理、降低風(fēng)險并保護紐約企業(yè)和消費者免受網(wǎng)絡(luò)威脅。新規(guī)則要求加強安全治理，定期進行風(fēng)險與漏洞評估，同時要求投資年度培訓(xùn)與安全意識計劃。

與會首席信息安全官均強調(diào)勒索軟件造成的嚴(yán)重威脅，以及組織在應(yīng)對日益復(fù)雜的攻擊時面臨的嚴(yán)峻挑戰(zhàn)。

趨勢6：數(shù)字馬鈴薯饑荒

威爾克斯引入了“數(shù)字馬鈴薯饑荒”的概念，預(yù)測可能出現(xiàn)的危機場景：由于蘋果手機的統(tǒng)一性，攻擊者釋放的惡意軟件或勒索軟件，可能會同時破壞數(shù)百萬部蘋果手機，使其變成磚頭。

他將此場景與愛爾蘭歷史上的馬鈴薯饑荒進行類比，愛爾蘭對單一作物的依賴導(dǎo)致廣泛的饑荒。

威爾克斯表示，蘋果手機的無差異性和封閉生態(tài)系統(tǒng)，使其易受大規(guī)模的協(xié)同攻擊，從而導(dǎo)致數(shù)字設(shè)備出現(xiàn)某種形式的大量被破壞。這一預(yù)測既嚴(yán)肅又富有幽默，凸顯了高度控制的數(shù)字生態(tài)系統(tǒng)中潛在漏洞的風(fēng)險。

趨勢7：網(wǎng)絡(luò)安全人才培養(yǎng)

拉伊納強調(diào)，將安全技術(shù)專長與軟技能、業(yè)務(wù)敏銳度相結(jié)合，在安全領(lǐng)域極其重要。在承認安全專業(yè)人員短缺的同時，他呼吁對安全能力培養(yǎng)進行投資，并創(chuàng)造組織內(nèi)輪換的機會。

拉伊納強調(diào)，理解業(yè)務(wù)和有效溝通是安全專業(yè)人員的關(guān)鍵技能。他建議設(shè)立新職位，即業(yè)務(wù)信息安全官（BISO），以消除安全與業(yè)務(wù)之間的差距，使安全專業(yè)人員能夠與業(yè)務(wù)領(lǐng)導(dǎo)團隊密切合作。拉伊納鼓勵組織探索超越傳統(tǒng)方式的創(chuàng)新方法，來指導(dǎo)和培養(yǎng)安全人員。

趨勢8：關(guān)鍵基礎(chǔ)設(shè)施和供應(yīng)鏈

漫威公司前CISO邁克·威爾克斯強調(diào)了關(guān)鍵基礎(chǔ)設(shè)施安全和供應(yīng)鏈問題的重要性，特別是在 OT（運營技術(shù)）和 IoT（物聯(lián)網(wǎng)）背景下，保護OT與IoT環(huán)境、傳統(tǒng)的預(yù)防、檢測與響應(yīng)方式都面臨挑戰(zhàn)。

尤格什則表示，由于對不同供應(yīng)商的依賴，了解關(guān)鍵基礎(chǔ)設(shè)施的組件（尤其是涉及 OT 和物聯(lián)網(wǎng)時）成為一項復(fù)雜任務(wù)。

美國總統(tǒng)拜登發(fā)布的網(wǎng)絡(luò)安全備忘錄和改善軟件供應(yīng)鏈的監(jiān)管勢頭在美國得到全面推進。

首席信息安全官認為軟件物料清單 (SBOM) 等行政舉措具有重要作用，而日益普遍采用的供應(yīng)鏈安全原則，將有望改善整體安全生態(tài)系統(tǒng)。

威爾克斯指出，航運行業(yè)正處于危急狀態(tài)。他強調(diào)航運業(yè)在全球貿(mào)易中具有重要意義，而網(wǎng)絡(luò)威脅給該行業(yè)帶來潛在的風(fēng)險。

威爾克斯強調(diào)需要關(guān)注OT風(fēng)險。大量物聯(lián)網(wǎng)設(shè)備使用默認密碼和配置過時的固件，帶來巨大的安全挑戰(zhàn)。

趨勢9：網(wǎng)絡(luò)安全“彈性”

尼廷·拉伊納（Nitin Raina）強調(diào)了彈性在網(wǎng)絡(luò)安全中的重要性。拉伊納指出，組織在制定安全方案時，非常重視保護、識別、檢測和響應(yīng)的作用，但未來需要更多地關(guān)注安全事件恢復(fù)和網(wǎng)絡(luò)彈性。

拉伊納敦促組織重視確?；A(chǔ)設(shè)施的彈性，特別是在遠程辦公和安全挑戰(zhàn)不斷變化的背景下。他強調(diào)指出，安全團隊、IT 和業(yè)務(wù)運營領(lǐng)導(dǎo)層之間的緊密合作，對于解決網(wǎng)絡(luò)安全彈性問題至關(guān)重要。

趨勢10：網(wǎng)絡(luò)安全面臨人工智能挑戰(zhàn)

在有關(guān)人工智能在網(wǎng)絡(luò)安全應(yīng)用的討論中，威爾克斯強調(diào)，網(wǎng)絡(luò)攻擊者正快速利用人工智能。例如，攻擊者利用人工智能基于暗網(wǎng)數(shù)據(jù)集進行建模，從而可以更高效地發(fā)現(xiàn)系統(tǒng)缺陷和安全漏洞。深度偽造同樣具有嚴(yán)重的安全風(fēng)險，利用人工智能生成的音視頻可進行社會工程攻擊。

尤格什補充說，人工智能安全挑戰(zhàn)延伸到其在各種場景的應(yīng)用，例如遠程辦公，其中人工智能生成的深度偽造可能會破壞通常的安全流程。解決網(wǎng)絡(luò)安全與功能安全問題，對于人工智能系統(tǒng)的發(fā)展極為重要。

尤格什從業(yè)務(wù)的視角探討人工智能問題。他認為，人工智能作為創(chuàng)新性技術(shù)，將會有越來越多的組織正在采用人工智能工具和技術(shù)。他鼓勵安全團隊與業(yè)務(wù)團隊盡早接觸部署防護措施，與數(shù)據(jù)保護和隱私團隊進行合作，以確保負責(zé)任且安全地使用人工智能。

參與討論的首席安全官均認為，人工智能帶來重大技術(shù)進步，但也帶來了新的挑戰(zhàn)和風(fēng)險，需要進行認真規(guī)劃與防護，安全團隊和更多業(yè)務(wù)部門間的協(xié)作。

原文來源：虎符智庫