安全主管紛紛表示，由于近期公司IT環境和業務環境的轉變、威脅形勢的發展變化和新興風險的涌現，自身工作重點也隨之做出調整，反映出相應的安全需求。

安全主管正在推進面向2022年的整體策略，列出支持企業彈性的各項重點工作。

為編撰年度《安全重點研究》，網絡安全媒體CSO對多位首席信息安全官(CISO)進行了問卷調查。調查結果表明，CISO計劃在未來幾個月采取一些舉措，但不會專注于加強任何單個工具，也不會依賴任何單一方法。

[[442249]]

相反，他們的工作重點反映出安全職能的演變，如今的安全職能必須是相互依賴的策略、流程和技術能力的集合，這些策略、程序和技術能力共同應對CISO所在企業面臨的特定風險和威脅。

此外，受訪CISO表示，由于近期公司IT環境和業務環境的轉變、威脅形勢的發展變化和新興風險的涌現，自身工作重點也隨之做出調整，反映出相應的安全需求。

簡而言之，CISO認為自己2022年的首要任務是跟上步伐，變得更好。

威脅形勢的變化推動工作重點轉變

上云要求凸顯。IT正將應用與數據層解耦。首席信息官(CIO)正轉向更具組合性的架構，并在推動自身數字化進程。

Constellation Research副總裁兼首席分析師Liz Miller表示：“另一方面是，我們已經居家辦公兩年了，所以網絡邊界現在處于員工工作的最遠端，而過去兩年來我們一直在管理的這種不安全狀態仍將繼續。”

與此同時，首席信息安全官也需要考慮自己的人手問題。Miller稱：“辭職潮是真實存在的，落實到安全職位上就太令人頭痛了。過勞是安全人員離職的主要原因。而2022年會更難以應付。”

“CISO現在面臨的問題是：我們怎么處理所有這些棘手難題?我們該怎么智慧運營，才能實現既安全又快速?”

Parkview Health信息安全副總裁兼HIPAA安全官Darrell Keeling對此有些自己的看法。

與其他安全主管一樣，Keeling任職期間見證了威脅態勢的演變。

例如，他看到惡意黑客越來越多地采用勒索軟件攻擊醫療機構。同時，各家企業，包括他自己就職的企業，則越來越數字化，采用的云環境越來越多。這種情況極大擴張了攻擊面，實際上消除了邊界的概念。

Keeling稱，他的首要任務是推動安全成熟度，從而匹配不斷發展的技術棧和應對隨之而來的威脅。

他表示，這涉及簡化公司安全棧：從出自多個供應商的大量同類最佳解決方案，轉變為重度依賴微軟安全解決方案的單個解決方案。(Parkview Health IT主要是一家使用Azure云的微軟商店。)Keeling稱，簡化安全?？蓭砀咝У陌踩\營，集成更加方便，費用上漲幅度也更小。

為此，Keeling計劃主抓員工培訓，讓團隊里更多人獲得微軟認證。

2022年，Keeling的其他重點工作還包括：實現更多智能化措施、行為分析軟件和云安全技術;建立威脅追蹤能力;以及加強他的第三方風險管理計劃。

CISO工作重點推升對工具和技術的關注

《安全重點研究》證實，CISO將繼續投資技術，90%的受訪CISO表示其所在企業在過去12月中至少增添了一種安全工具。

CISO優先考慮的技術也反映出了他們日益整合的安全方法。

企業繼續增添和評估安全解決方案

舉個例子：云數據保護技術處于CISO所關注技術列表的頭部，87%的CISO正在研究、試點、使用或升級其云數據保護技術使用。

與之相關的另一項發現表明，88%的CISO優先考慮基于云的網絡安全服務。

數據訪問治理技術也在CISO優先事項列表中名列前茅，零信任同樣處于CISO視線的焦點：84%的受訪CISO表示零信任是自己的首要考慮。

行為監測與分析是另一個備受關注的重點，82%的受訪CISO表示正在研究、試點、使用或升級其行為監測與分析措施。

CISO還表現出了對安全編排、自動化與響應(SOAR)技術的極大興趣，77%的受訪CISO要么在研究、試點、使用，要么在升級其所用SOAR技術。

這些調查數據并沒有令安全分析師和研究人員感到驚訝。他們表示，隨著企業在云計算上投入更多資金以實現數字化轉型和隨時隨地訪問，我們需要這些技術來保護過去幾年間迅速變化的環境。

咨詢公司Zenaciti首席執行官兼The Analyst Syndicate網絡安全分析師Andrew Plato認為：“云確實是安全的核心。”(他指出，CISO對云安全態勢管理平臺特別感興趣，這些平臺為CISO提供了全面的視圖，且支持在多個云部署中實現安全。)

Kevin F. Brown來年的工作重點代表了這些趨勢。

Brown是科學應用國際公司(SAIC)高級副總裁兼首席信息安全官。他表示，他的首要任務是人才招聘和保留;業務連續性與彈性;實現網絡、云和數據的零信任策略;以及做好業務支持。

他解釋道：“網絡安全人才持續供不應求，尤其是在必不可少的團隊多元化和包容性建設方面。勒索軟件仍然是整個行業的最大威脅，無論是從業務中斷的影響方面看，還是從數據滲漏增加的方面看。除了保護能力，還需要制定彈性和恢復計劃。”

他繼續說道：“零信任原則不僅針對傳統的網絡安全，還需要作為安全策略保護不斷擴展的用戶邊界和云，并保護關鍵數據的完整性。”

Brown總結道：“雖然可能有點包羅萬象，但支持業務正常運營是安全團隊的重中之重，無論是通過提供安全的業務解決方案、降低風險，還是推廣設計安全理念等手段。”

推動持續的安全計劃改進

Brown表示，盡管2022年的每項首要任務都很重要，但其實這些都是老生常談，不過是他一直以來都在做的事情的延續。

Plato認為，這也反映出了CISO網絡安全計劃的總體狀況，且2022年的網絡安全工作主要是改進而不是變革。

Plato稱：“會出現一些很酷的技術徹底變革一切嗎?大概不會。但是，[CISO必須]完成的所有工作就在那里。”

大約67%的受訪CISO表示，所在公司更加關注提高安全服務的利用率和/或資源配置;62%的受訪者表示設置有流程來持續評估安全解決方案及服務的有效性，無論評估的安全解決方案與服務是自有的還是通過供應商合同訪問的。

World Fuel Services信息安全副總裁Shawn M. Bowen表示，他的首要目標是持續改進安全功能，這一目標將推動他來年的工作。

例如，他正在努力提高自身能力，希望能根據公司自身已識別的風險和威脅來設計安全策略、程序和控制措施。

他說：“我希望超越框架成熟度模型，打造基于風險的安全運營。因此，我們的目標不是基于框架構建安全并提供標準服務，而是專注于我們的企業風險管理計劃。”

為此，他正與業務部門的同事合作，了解、闡明和排序其特定職能范圍內的風險和威脅，好讓安全部門能夠真正調整資源，抵御這些風險和威脅。

此外，Bowen希望業務部門能更多地參與安全部門的企業風險管理方法。他計劃利用這種參與為他們的每個產品和服務開發適當的威脅模型，從而可以針對這些特定威脅定制安全產品。

他還希望創建一種方法，根據安全在這些領域提供服務方面的改進程度來衡量進展。

2022年面臨的挑戰

受訪CISO表示，未來一年要實現既定目標面臨諸多挑戰。

《安全重點研究》中表明，企業未能解決網絡風險的首要原因，是CISO難以令部分或全體同仁知悉所面臨風險的嚴重性。30%的受訪CISO都表示，說服同事相信自己直面嚴重風險真是太難了。

近29%的受訪CISO表示可用的資源不足，27%則表示無法在安全策略中做到足夠主動。

未能解決網絡風險的其他主要原因包括：難以招募和留住專業人員;無法在應用開發全過程滿足安全要求;用戶安全培訓不足。

盡管承認這些都是重大挑戰，分析師卻也指出，CISO的很多優先考慮事項將幫助他們應對這些問題。

例如，重視事件響應，尤其是匹配業務風險并結合業務賦能與彈性的事件響應，可以為安全計劃帶來更多的業務支持。

同時，增加數據保護技術、云安全工具和支持零信任與SOAR的解決方案，有助于將安全更好的嵌入到技術棧核心，而不是僅僅作為補強式服務。

而在技術部署中增加自動化功能，可以幫助CISO緩解安全人手不足和偶發的用戶側安全失誤所帶來的挑戰。

Symbridge控股有限公司首席信息安全官Michael Ibarra的2022年工作重點與其他安全主管列出的大多相同，并且他認為這些都是達成全面安全策略的關鍵所在。

投入零信任和增加云數據保護開支

Ibarra正在努力強化公司的數據隱私保護措施和供應商風險管理實踐。

他關注API安全和數字身份，這二者都是當今數字時代CISO必須防護周全的云環境所不可或缺的。

加強數據泄露防御也是Ibarra的優先考慮事項之一，著重研究如何有效緩解和防止黑客國家隊發起的網絡攻擊。

他正致力于將安全計劃融入公司的技術變更控制過程，從而使安全跟上IT的發展腳步，并研究能夠帶來價值的前沿技術。

而且他還計劃加大招聘和留住人才的力度，其中部分措施是確保提供正確的培訓和技能提升。

Ibarra表示，要共建網絡彈性。

“我們始終專注于提供安全可靠的平臺，我們的首要任務之一始終是將風險降至最低。但優先考慮彈性可以讓我們能夠為未知做好準備。”