我們生活在數字時代已不是什么新鮮事。如今，即便是基本任務對技術的依賴也在成倍增加，而且每天都有新公司進入市場，并承諾通過應用程序和數字解決方案讓我們的生活變得更輕松。

由于疫情的影響，現在的企業比以往任何時候都更加依賴技術。雖然限制已經解除，但世界已經進入“新常態”，世界各地的企業表示他們正在采用遠程或混合辦公模式。再加上業務運營對各種應用程序和服務的日益依賴，從而導致漏洞不斷增加。

隨著員工對靈活工作方式的適應，安全專業人員的任務便是尋找新的并且可靠的方法來實現數據和網絡安全。在這種新形勢下，2022 年 CISO 最關心的是什么？有幾個關鍵領域脫穎而出。

勒索軟件/惡意軟件

網絡犯罪分子的敏捷性是無與倫比的，勒索軟件攻擊的增加就是明證。《福布斯》最近的一篇文章列出了一些驚人的數字：

• 勒索軟件占所有安全漏洞的 10%
• 一項調查發現，37% 的全球組織在 2021 年成為某種勒索軟件攻擊的受害者
• 根據 FBI 的數據，從 2021 年 1 月到 2021 年 7 月，勒索軟件攻擊同比增長了令人震驚的 62%

2021 年，平均贖金為 81.2萬美元，比上一年增加了近 65萬美元。受這些攻擊影響的公司中有近一半支付了攻擊者要求的贖金，這使得勒索軟件本身成為了一個行業。

由于勒索軟件經常利用最終用戶的天真或失誤，因此整個組織的網絡和數據都容易受到攻擊。CISO 專注于通過滲透測試（通過模仿攻擊）采取預防措施，并確保最終用戶獲得充足的信息以做出明智的決策。確保軟件和補丁更新對于 IT 預算和戰略至關重要。

云和網絡安全

雖然遠離本地安裝和物理介質為 IT 部門節省了大量時間和精力，但它也讓安全專業人員保持警覺。云環境可能會造成嚴重的安全可見性差距，增加預防策略和管理網絡和應用程序的復雜性。

2021 年底，Log4Shell 攻擊敲響了警鐘，將云安全推到了各地 CISO 優先級列表的首位。該攻擊利用了 Java 應用程序使用的 Log4j 日志框架，允許攻擊者加載和執行惡意代碼。黑客可以通過 Java 控制易受攻擊的設備，進而允許他們建立后門、創建僵尸網絡并發起勒索軟件攻擊。

這次全球性攻擊引起了人們對云安全的關注，87% 的受訪者表示他們對自己的策略缺乏信心。為多云平臺提供保護的公司已通過加速其工具的開發來應對這一威脅。

API 安全

API 是現代社會的基礎，因為幾乎所有功能都依賴于某種應用程序。隨著組織使用的應用程序數量的增長，用于集成或支撐流程的API數量也在增加。

不幸的是，盡管 API 對使用它們的組織很有幫助，但它們也吸引了試圖利用安全漏洞的狡猾攻擊者的注意。

2021 年，API 攻擊增長了令人難以置信的 681%，而 API 流量增長了 321%。API 特別容易受到攻擊，因為它們對強大的安全性提出了獨特的挑戰。API 環境的不斷變化使得安全專業人員難以跟上步伐。這使得組織容易受到數據泄露、SQL 注入、拒絕服務攻擊、惡意軟件和偽造用戶身份驗證的影響。

員工培養、人才招聘和儲備

2022 年，各行業普遍存在的抱怨是缺乏熟練且可用的人員來填補關鍵職位。網絡安全職業網站 CyberSeek 報告稱，截至撰寫本文時，美國有超過 70萬個職位空缺，而且數月來這個數字一直保持穩定。

CISO 認識到了他們的組織中對頂級安全專業人員的需求（和價值），但在填補適當角色上比較困難。培訓和提升現有 IT 專業人員的技能會有所幫助，但這只是增加了他們的工作量而不是專注于網絡安全，因此這只是一種權宜之計。

隨著員工轉向遠程和混合辦公模式，CISO 還需要提醒最終用戶主動加強安全性。通過幫助用戶了解網絡犯罪分子使用的狡猾策略，組織更有機會保護他們的數據和最終用戶免受惡意活動的侵害。

結論

隨著勒索軟件攻擊、API安全和網絡漏洞利用的增加，安全形勢正在迅速發生變化。CISO 將預算和戰略重點放在主動和預防性安全措施上，同時提高員工的技能，并在市場上為他們的團隊尋找有才華的專業人士。對于許多組織而言，毫無疑問需要增加安全預算和員工編制來保護有價值的數據。

原標題：What’s Top of Mind for CISOs in 2022?

作者：Stefanie Shank

鏈接：https://www.infosecurity-magazine.com/next-gen-infosec/top-mind-cisos-2022/

 ?