许多首席信息安全官通过美国国家标准技术研究院(NIST)的识别、保护、检测、响应和恢复模型来查看其职责。在过去的几年中,重点一直放在检测和响应端点威胁上,但是出现了新的优先事项:迁移到云平台,新的异构设备和自定义应用程序,所有这些都大大扩展了攻击面。
首席信息安全官对他们比较关注的五个方面和两年支出优先事项的概述:
1.多云世界中的身份管理
由于云计算技术的发展,过去那些突破网络外围技术、缓慢地在系统间横向入侵的日子不再那么重要。如果凭证被盗,设备通常就可以访问云中最珍贵的特权数据。微软公司首席信息安全官Bret Arsenault成为事件的核心。他说,“如今,黑客不会入侵,他们只会登录。”根据这种想法,微软的安全组织认为“身份是我们的新防线。”
使身份管理变得复杂的原因在于它跨越许多角色。正如瞻博网络首席信息安全官SherryRyan解释的那样:“安全团队必须知道谁在访问其网络,无论是访问门户的客户、合作伙伴、供应商还是企业自己的员工。”
云计算应用程序通常需要通过单点登录和Microsoft Active Directory进行身份验证。然而,在其讨论中,大多数首席信息安全官表示,他们还试图通过附加身份和授权孤岛来减小“爆炸半径”。他们仍在制定架构最佳实践,但正在投资于无密码,生物特征识别和基于行为的身份验证。
为此,身份和访问管理(IAM)是首席信息安全官仍在购买的产品类别,尽管涉及涉及覆盖员工,供应链和客户身份的多个供应商所面临的挑战。现在,采用零散的身份和访问管理(IAM)变得更容易,但一些首席信息安全官认为尚无万能的解决方案。
2.通过加密和零信任保护资产
云计算转换使首席信息安全官可以放弃本地遗留系统。许多人从一开始就热衷于构建云计算安全性,而零信任是其中的重要组成部分。零信任默认情况下会限制基于角色的访问。它可以确保用户与他们说的一样真实,并确保设备在连接之前符合合理的安全标准。
除了锁定配置之外,首席信息安全官还使用多种技术建立零信任。他们提到利用诸如多因素身份验证(MFA),移动设备管理(MDM)和漏洞管理之类的东西。但是,确保数据仅由受信任的用户看到是一个持续的问题。
同时,随着行业最终面对数据的动态性质,许多这些首席信息安全官正在部署加密:“要确定要识别每一个试图访问某段通信的每条通信,这确实是一个难题。数据”观察到F5 Networks首席信息安全官Mary Gardner,并指出了众多应用程序和人员如何复制,移动和访问有价值的信息。她说,粒度控制和加密必须在整个生命周期内保护数据。
Markel Corporation的首席信息安全官Patti Titus解释了这种情况下的复杂性:“作为一个组织,我们必须确定何时加密,混淆数据”,并确保在传输和静止状态下进行加密。然后是必须对数据科学家有用的加密数据的挑战。”
3.DevSecOps的兴起
即使是最具模拟能力的公司也在开发软件来经营自己的业务。这包括面向客户、合作伙伴和黑客的客户门户网站、移动应用程序和API。组织越来越自动化手工活动,并依赖分析和人工智能。教育软件开发人员获得更好的实践是关键,一项战略举措是使用DevSecOps保护应用程序。
许多首席信息安全官也在“向左移动”并购买静态分析工具,这些工具可对代码进行操作并在运行时标记问题。为了与一个通用主题保持一致,首席信息安全官倾向于使用对人类来说容易的无缝方法。这意味着将DevSec Ops技术集成到开发人员的日常工作中。Fannie Mae公司首席信息技术官Chris Porter说,“持续集成是我们花费了大量时间和精力的地方,以便开发人员保护自己的代码,他们正在测试自己的代码。”
除了使用静态分析工具之外,讨论中的许多首席信息安全官还表明了对动态分析的渴望。动态工具在运行时运行,监视应用程序,并记录事件响应信息。
对于网络犯罪分子而言,攻击面看上去从未如此出色。外围保护首先要了解5种最常见的暴露情况,并使其免受网络犯罪分子的攻击。
4.应对“警惕疲劳”
首席信息安全官的操作涉及通过误报和低优先级警报的噪声发现安全漏洞。这是一个无尽的挑战。防病毒、防火墙和其他安全技术通常会产生数百万个日常事件。
为了超越人工流程,几乎每个首席信息安全官都购买了安全协调自动化和响应(SOAR)产品。他们通常感到满意。有些人希望获得更多帮助以开始使用。许多人认为安全协调自动化和响应(SOAR)的性能和送入其中的警报的数量和质量都一样。
首席信息安全官也在寻找警报疲劳的新方法,但发现每年涌现的技术数量“不堪重负”。这些安全领导者希望他们部署的新技术能够扩大覆盖范围,但对更多警报的有效性表示怀疑。
Blue Cross Blue Shield公司首席信息安全官Yaron Levi解释说,“我们实际上是从威胁建模和风险管理的角度看待警报疲劳。我们为潜在的有害攻击建模矢量,然后开发防御措施。”
Levi将攻击仿真作为一种警报疲劳的新方法。起点是在Blue Cross Blue Shield的网络中安全地模拟来自最近行业违规的攻击。这可以验证是否可以看到常见的现实世界攻击,然后再将这些警报作为构建响应计划和自动化的首要任务。
5.教育员工像首席信息安全官思考
Log MeIn公司首席信息安全官Gerald Beuchelt注意到安全性集中在人员、流程和技术上,坚信安全确实必须按此顺序进行。他说,“我们必须让人们了解安全需要做什么。没有安全团队能够成长到足以保护如此复杂而又庞大的组织本身的能力。”
有些首席信息安全官认为,重要的是利用游戏、幽默和较短的培训课程等教育工具来利用网络意识月,以激发用户群。