首席信息安全官（CISO）是企業(yè)中負(fù)責(zé)制定組織信息安全戰(zhàn)略并落實(shí)的高級(jí)管理人員，在保護(hù)組織有價(jià)值的信息資產(chǎn)方面發(fā)揮著至關(guān)重要的作用。但是在實(shí)際工作中，很多CISO卻被稱為“救火隊(duì)員”，他們花費(fèi)了大量的時(shí)間去響應(yīng)和處置各種突發(fā)的安全事件，而不能從一開始就專注于積極預(yù)防這些事件的發(fā)生。

在此背景下，專業(yè)安全媒體CyberTalk.org主編Shira Landau日前表示：現(xiàn)代企業(yè)的CISO們?cè)?024年必須做出改變，要更多關(guān)注于企業(yè)整體安全路線圖的推進(jìn)與實(shí)現(xiàn)，讓網(wǎng)絡(luò)安全工作與業(yè)務(wù)發(fā)展目標(biāo)保持更緊密的一致性。因此，CISO在2024年應(yīng)該優(yōu)先考慮以下7項(xiàng)安全任務(wù)：

1、升級(jí)現(xiàn)有的云安全防護(hù)策略

根據(jù)專業(yè)安全廠商Thales發(fā)布的《2023年全球云安全研究報(bào)告》數(shù)據(jù)顯示，過去一年中約39%的受訪企業(yè)經(jīng)歷過云上數(shù)據(jù)泄露，相比之前一年的數(shù)據(jù)35%繼續(xù)增長。此外，有55%的受訪者認(rèn)為“人為錯(cuò)誤”已經(jīng)成為云上數(shù)據(jù)泄露的主要原因。在此背景下，專業(yè)安全人士表示，企業(yè)需要實(shí)現(xiàn)更強(qiáng)大的云安全策略，利用零信任框架取代傳統(tǒng)的數(shù)據(jù)隱私和合規(guī)保護(hù)方式，這將成為企業(yè)組織2024年云安全工作中的關(guān)鍵優(yōu)先事項(xiàng)。

此外，確保SaaS化服務(wù)生態(tài)系統(tǒng)的安全性也是CISO必須面對(duì)的關(guān)鍵任務(wù)。數(shù)據(jù)顯示，在云攻擊活動(dòng)中，針對(duì)各類SaaS服務(wù)應(yīng)用的攻擊占比為38%，是最主要的攻擊目標(biāo)。然而，當(dāng)前的SaaS安全策略和方法顯然是不夠的。為此，68%的組織需要增加在SaaS安全防護(hù)方面的投資，有很多工作要做，例如部署更復(fù)雜的威脅預(yù)防和防御工具。

2、確保API應(yīng)用的安全性

在Salt Security發(fā)布的《2023年API安全狀況報(bào)告》中指出，針對(duì)應(yīng)用程序編程接口（API）的攻擊在過去六個(gè)月中快速增加了400%；并且80%的攻擊發(fā)生在經(jīng)過身份驗(yàn)證的API上。而在過去一年中，94%的安全專業(yè)人員和API開發(fā)人員都遇到過與API相關(guān)的安全問題。

由于此類安全問題的影響，API安全性已經(jīng)成為組織內(nèi)部廣泛關(guān)注的安全性議題，有95%的受訪CISO表示會(huì)在未來兩年內(nèi)優(yōu)先考慮API安全性。但究竟能否在API安全成熟度方面取得進(jìn)展，從而更有效地預(yù)防API應(yīng)用風(fēng)險(xiǎn)還尚未可知。

想要實(shí)現(xiàn)API安全成熟度，首先要能夠發(fā)現(xiàn)識(shí)別組織中使用的所有API，方法包括從部署發(fā)現(xiàn)工具到技術(shù)文檔審查，再到與開發(fā)人員的對(duì)話；其次，組織需要評(píng)估現(xiàn)有工具是否能夠滿足可見性和遵從性需求；此外，組織需要集成更好的工具來減少數(shù)據(jù)泄露（以及影子API等），并在適用的地方整合工具。

3、為后量子密碼應(yīng)用做好準(zhǔn)備

隨著量子計(jì)算機(jī)技術(shù)的不斷進(jìn)步，傳統(tǒng)密碼學(xué)面臨著被攻破的風(fēng)險(xiǎn)。為了應(yīng)對(duì)這一挑戰(zhàn)，后量子密碼（PQC）學(xué)逐漸成為當(dāng)前密碼技術(shù)領(lǐng)域的熱門研究方向。

在2023年8月，CISA、NIST和NSA聯(lián)合發(fā)布了一份指南文件《量子準(zhǔn)備：向后量子密碼遷移》，向各組織闡明量子能力帶來的影響，尤其是那些與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的組織，應(yīng)該從現(xiàn)在開始積極地制定量子準(zhǔn)備路線圖，提前規(guī)劃以遷移到PQC標(biāo)準(zhǔn)。

當(dāng)前，NIST正在加快制定第一批PQC標(biāo)準(zhǔn)，并計(jì)劃于2024年發(fā)布，以應(yīng)對(duì)未來潛在對(duì)抗性的、與密碼分析有關(guān)的量子計(jì)算機(jī)安全威脅。NIST在持續(xù)推進(jìn)PQC標(biāo)準(zhǔn)制定的同時(shí)，也在為各組織如何著手開展PQC遷移工作做出指導(dǎo)，要求組織成立專門的項(xiàng)目管理團(tuán)隊(duì)，梳理并形成本組織易受量子攻擊的系統(tǒng)和資產(chǎn)清單，摸清當(dāng)前使用的加密技術(shù)，并加強(qiáng)與技術(shù)供應(yīng)商（包括云服務(wù)商）的合作。

4、預(yù)防AI驅(qū)動(dòng)的新威脅

AI技術(shù)的不斷發(fā)展和應(yīng)用，使得其被惡意使用的可能性也越來越大。黑客和犯罪分子正在利用人工智能的強(qiáng)大計(jì)算能力和智能分析能力，來實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露和欺詐活動(dòng)。為了應(yīng)對(duì)這種威脅，CISO也需要盡快利用AI技術(shù)來建立強(qiáng)大的安全防御系統(tǒng)。例如，可以利用機(jī)器學(xué)習(xí)算法來分析網(wǎng)絡(luò)流量和用戶行為，及時(shí)發(fā)現(xiàn)異常波動(dòng)并采取相應(yīng)措施。

AI驅(qū)動(dòng)的新一代安全平臺(tái)能夠以人類永遠(yuǎn)無法匹敵的速度分析大量數(shù)據(jù)。CISO和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須投資于人工智能驅(qū)動(dòng)的安全工具，以增強(qiáng)其組織主動(dòng)預(yù)防和應(yīng)對(duì)新出現(xiàn)的威脅的能力，降低網(wǎng)絡(luò)入侵的可能性。

與此同時(shí)，隨著不斷將人工智能集成到組織的網(wǎng)絡(luò)安全堆棧中，安全人員的角色和職責(zé)也需要隨之發(fā)展。組織需要戰(zhàn)略性地規(guī)劃重新部署現(xiàn)有人才的使用方式，以最大限度地利用好專業(yè)安全人才資源。

5、開展針對(duì)AI應(yīng)用的紅隊(duì)演練

所謂的“紅隊(duì)演練”概念來源于軍事模擬，即通過模擬假想的“敵人”，來測試本方的安全防護(hù)準(zhǔn)備水平。在AI技術(shù)應(yīng)用中，“紅隊(duì)”的任務(wù)就是模擬黑客或其他潛在惡意行為者，以實(shí)戰(zhàn)化方式找到大語言模型的漏洞，從而避免AI技術(shù)在現(xiàn)實(shí)中被惡意利用。

由于AI技術(shù)相對(duì)較新，目前還沒有成熟的AI紅隊(duì)標(biāo)準(zhǔn)，但從微軟相關(guān)的實(shí)踐經(jīng)驗(yàn)看，在基礎(chǔ)模型層面和應(yīng)用層面測試AI模型的安全性至關(guān)重要。對(duì)AI模型進(jìn)行紅隊(duì)測試有助于在過程的早期識(shí)別模型可能被濫用的情況，確定模型的功能范圍，并了解模型的局限性。

6、阻止影子IT蔓延

公民開發(fā)者（Citizen Developer）是指那些在有別于傳統(tǒng)軟件開發(fā)流程的背景下，利用易于使用的開發(fā)工具和平臺(tái)創(chuàng)建業(yè)務(wù)應(yīng)用程序和系統(tǒng)的人員。2023年，企業(yè)中由公民開發(fā)者創(chuàng)建的應(yīng)用系統(tǒng)越來越受歡迎，這也要求了CISO必須盡快制定明確的責(zé)任制度和適當(dāng)?shù)木W(wǎng)絡(luò)安全措施，確保這些由公民開發(fā)者創(chuàng)建的應(yīng)用不會(huì)成為“影子”IT。

一直以來，影子IT大大增加了企業(yè)網(wǎng)絡(luò)安全建設(shè)的難度，加劇了IT資產(chǎn)的可見性缺失。很多看似無害的影子IT卻可能帶來嚴(yán)重的安全風(fēng)險(xiǎn)，并導(dǎo)致數(shù)據(jù)泄露或惡意軟件侵入。企業(yè)安全團(tuán)隊(duì)?wèi)?yīng)該教育指導(dǎo)員工，幫助他們按要求使用正確的工具完成工作，并簡化審查和批準(zhǔn)過程，管控影子IT的潛在使用風(fēng)險(xiǎn)。

7、推進(jìn)零信任架構(gòu)應(yīng)用落地

根據(jù)OKTA發(fā)布的《2022年零信任安全狀態(tài)報(bào)告》數(shù)據(jù)顯示，已經(jīng)有超過的企業(yè)組織正在或計(jì)劃開展零信任安全的建設(shè)項(xiàng)目。為了更完善推進(jìn)零信任實(shí)現(xiàn)的成熟度，CISO可以將CISA發(fā)布的《零信任成熟度模型》作為一個(gè)很好的指導(dǎo)框架，它描述了零信任落地的五個(gè)“支柱”，分別為身份（Identity）、設(shè)備（Device）、網(wǎng)絡(luò)（Network）、應(yīng)用與工作負(fù)載（Application and Workload）以及數(shù)據(jù)（Data）。此外，還包含了一些橫向的能力：可見性與分析、自動(dòng)化與編排，以及治理。

參考鏈接：

https://www.cybertalk.org/2023/11/21/these-7-items-should-be-on-your-ciso-checklist-for-2024/。