首席信息安全管理未來網絡安全的5個優先事項
許多首席信息安全官通過美國國家標準技術研究院(NIST)的識別、保護、檢測、響應和恢復模型來查看其職責。在過去的幾年中,重點一直放在檢測和響應端點威脅上,但是出現了新的優先事項:遷移到云平臺,新的異構設備和自定義應用程序,所有這些都大大擴展了攻擊面。
首席信息安全官對他們比較關注的五個方面和兩年支出優先事項的概述:
1.多云世界中的身份管理
由于云計算技術的發展,過去那些突破網絡外圍技術、緩慢地在系統間橫向入侵的日子不再那么重要。如果憑證被盜,設備通常就可以訪問云中最珍貴的特權數據。微軟公司首席信息安全官Bret Arsenault成為事件的核心。他說,“如今,黑客不會入侵,他們只會登錄。”根據這種想法,微軟的安全組織認為“身份是我們的新防線。”
使身份管理變得復雜的原因在于它跨越許多角色。正如瞻博網絡首席信息安全官SherryRyan解釋的那樣:“安全團隊必須知道誰在訪問其網絡,無論是訪問門戶的客戶、合作伙伴、供應商還是企業自己的員工。”
云計算應用程序通常需要通過單點登錄和Microsoft Active Directory進行身份驗證。然而,在其討論中,大多數首席信息安全官表示,他們還試圖通過附加身份和授權孤島來減小“爆炸半徑”。他們仍在制定架構最佳實踐,但正在投資于無密碼,生物特征識別和基于行為的身份驗證。
為此,身份和訪問管理(IAM)是首席信息安全官仍在購買的產品類別,盡管涉及涉及覆蓋員工,供應鏈和客戶身份的多個供應商所面臨的挑戰。現在,采用零散的身份和訪問管理(IAM)變得更容易,但一些首席信息安全官認為尚無萬能的解決方案。
2.通過加密和零信任保護資產
云計算轉換使首席信息安全官可以放棄本地遺留系統。許多人從一開始就熱衷于構建云計算安全性,而零信任是其中的重要組成部分。零信任默認情況下會限制基于角色的訪問。它可以確保用戶與他們說的一樣真實,并確保設備在連接之前符合合理的安全標準。
除了鎖定配置之外,首席信息安全官還使用多種技術建立零信任。他們提到利用諸如多因素身份驗證(MFA),移動設備管理(MDM)和漏洞管理之類的東西。但是,確保數據僅由受信任的用戶看到是一個持續的問題。
同時,隨著行業最終面對數據的動態性質,許多這些首席信息安全官正在部署加密:“要確定要識別每一個試圖訪問某段通信的每條通信,這確實是一個難題。數據”觀察到F5 Networks首席信息安全官Mary Gardner,并指出了眾多應用程序和人員如何復制,移動和訪問有價值的信息。她說,粒度控制和加密必須在整個生命周期內保護數據。
Markel Corporation的首席信息安全官Patti Titus解釋了這種情況下的復雜性:“作為一個組織,我們必須確定何時加密,混淆數據”,并確保在傳輸和靜止狀態下進行加密。然后是必須對數據科學家有用的加密數據的挑戰。”
3.DevSecOps的興起
即使是最具模擬能力的公司也在開發軟件來經營自己的業務。這包括面向客戶、合作伙伴和黑客的客戶門戶網站、移動應用程序和API。組織越來越自動化手工活動,并依賴分析和人工智能。教育軟件開發人員獲得更好的實踐是關鍵,一項戰略舉措是使用DevSecOps保護應用程序。
許多首席信息安全官也在“向左移動”并購買靜態分析工具,這些工具可對代碼進行操作并在運行時標記問題。為了與一個通用主題保持一致,首席信息安全官傾向于使用對人類來說容易的無縫方法。這意味著將DevSec Ops技術集成到開發人員的日常工作中。Fannie Mae公司首席信息技術官Chris Porter說,“持續集成是我們花費了大量時間和精力的地方,以便開發人員保護自己的代碼,他們正在測試自己的代碼。”
除了使用靜態分析工具之外,討論中的許多首席信息安全官還表明了對動態分析的渴望。動態工具在運行時運行,監視應用程序,并記錄事件響應信息。
對于網絡犯罪分子而言,攻擊面看上去從未如此出色。外圍保護首先要了解5種最常見的暴露情況,并使其免受網絡犯罪分子的攻擊。
4.應對“警惕疲勞”
首席信息安全官的操作涉及通過誤報和低優先級警報的噪聲發現安全漏洞。這是一個無盡的挑戰。防病毒、防火墻和其他安全技術通常會產生數百萬個日常事件。
為了超越人工流程,幾乎每個首席信息安全官都購買了安全協調自動化和響應(SOAR)產品。他們通常感到滿意。有些人希望獲得更多幫助以開始使用。許多人認為安全協調自動化和響應(SOAR)的性能和送入其中的警報的數量和質量都一樣。
首席信息安全官也在尋找警報疲勞的新方法,但發現每年涌現的技術數量“不堪重負”。這些安全領導者希望他們部署的新技術能夠擴大覆蓋范圍,但對更多警報的有效性表示懷疑。
Blue Cross Blue Shield公司首席信息安全官Yaron Levi解釋說,“我們實際上是從威脅建模和風險管理的角度看待警報疲勞。我們為潛在的有害攻擊建模矢量,然后開發防御措施。”
Levi將攻擊仿真作為一種警報疲勞的新方法。起點是在Blue Cross Blue Shield的網絡中安全地模擬來自最近行業違規的攻擊。這可以驗證是否可以看到常見的現實世界攻擊,然后再將這些警報作為構建響應計劃和自動化的首要任務。
5.教育員工像首席信息安全官思考
Log MeIn公司首席信息安全官Gerald Beuchelt注意到安全性集中在人員、流程和技術上,堅信安全確實必須按此順序進行。他說,“我們必須讓人們了解安全需要做什么。沒有安全團隊能夠成長到足以保護如此復雜而又龐大的組織本身的能力。”
有些首席信息安全官認為,重要的是利用游戲、幽默和較短的培訓課程等教育工具來利用網絡意識月,以激發用戶群。
