我们生活在数字时代已不是什么新鲜事。如今,即便是基本任务对技术的依赖也在成倍增加,而且每天都有新公司进入市场,并承诺通过应用程序和数字解决方案让我们的生活变得更轻松。
由于疫情的影响,现在的企业比以往任何时候都更加依赖技术。虽然限制已经解除,但世界已经进入“新常态”,世界各地的企业表示他们正在采用远程或混合办公模式。再加上业务运营对各种应用程序和服务的日益依赖,从而导致漏洞不断增加。
随着员工对灵活工作方式的适应,安全专业人员的任务便是寻找新的并且可靠的方法来实现数据和网络安全。在这种新形势下,2022 年 CISO 最关心的是什么?有几个关键领域脱颖而出。
勒索软件/恶意软件
网络犯罪分子的敏捷性是无与伦比的,勒索软件攻击的增加就是明证。《福布斯》最近的一篇文章列出了一些惊人的数字:
- 勒索软件占所有安全漏洞的 10%
- 一项调查发现,37% 的全球组织在 2021 年成为某种勒索软件攻击的受害者
- 根据 FBI 的数据,从 2021 年 1 月到 2021 年 7 月,勒索软件攻击同比增长了令人震惊的 62%
2021 年,平均赎金为 81.2万美元,比上一年增加了近 65万美元。受这些攻击影响的公司中有近一半支付了攻击者要求的赎金,这使得勒索软件本身成为了一个行业。
由于勒索软件经常利用最终用户的天真或失误,因此整个组织的网络和数据都容易受到攻击。CISO 专注于通过渗透测试(通过模仿攻击)采取预防措施,并确保最终用户获得充足的信息以做出明智的决策。确保软件和补丁更新对于 IT 预算和战略至关重要。
云和网络安全
虽然远离本地安装和物理介质为 IT 部门节省了大量时间和精力,但它也让安全专业人员保持警觉。云环境可能会造成严重的安全可见性差距,增加预防策略和管理网络和应用程序的复杂性。
2021 年底,Log4Shell 攻击敲响了警钟,将云安全推到了各地 CISO 优先级列表的首位。该攻击利用了 Java 应用程序使用的 Log4j 日志框架,允许攻击者加载和执行恶意代码。黑客可以通过 Java 控制易受攻击的设备,进而允许他们建立后门、创建僵尸网络并发起勒索软件攻击。
这次全球性攻击引起了人们对云安全的关注,87% 的受访者表示他们对自己的策略缺乏信心。为多云平台提供保护的公司已通过加速其工具的开发来应对这一威胁。
API 安全
API 是现代社会的基础,因为几乎所有功能都依赖于某种应用程序。随着组织使用的应用程序数量的增长,用于集成或支撑流程的API数量也在增加。
不幸的是,尽管 API 对使用它们的组织很有帮助,但它们也吸引了试图利用安全漏洞的狡猾攻击者的注意。
2021 年,API 攻击增长了令人难以置信的 681%,而 API 流量增长了 321%。API 特别容易受到攻击,因为它们对强大的安全性提出了独特的挑战。API 环境的不断变化使得安全专业人员难以跟上步伐。这使得组织容易受到数据泄露、SQL 注入、拒绝服务攻击、恶意软件和伪造用户身份验证的影响。
员工培养、人才招聘和储备
2022 年,各行业普遍存在的抱怨是缺乏熟练且可用的人员来填补关键职位。网络安全职业网站 CyberSeek 报告称,截至撰写本文时,美国有超过 70万个职位空缺,而且数月来这个数字一直保持稳定。
CISO 认识到了他们的组织中对顶级安全专业人员的需求(和价值),但在填补适当角色上比较困难。培训和提升现有 IT 专业人员的技能会有所帮助,但这只是增加了他们的工作量而不是专注于网络安全,因此这只是一种权宜之计。
随着员工转向远程和混合办公模式,CISO 还需要提醒最终用户主动加强安全性。通过帮助用户了解网络犯罪分子使用的狡猾策略,组织更有机会保护他们的数据和最终用户免受恶意活动的侵害。
结论
随着勒索软件攻击、API安全和网络漏洞利用的增加,安全形势正在迅速发生变化。CISO 将预算和战略重点放在主动和预防性安全措施上,同时提高员工的技能,并在市场上为他们的团队寻找有才华的专业人士。对于许多组织而言,毫无疑问需要增加安全预算和员工编制来保护有价值的数据。
原标题:What’s Top of Mind for CISOs in 2022?
作者:Stefanie Shank
链接:https://www.infosecurity-magazine.com/next-gen-infosec/top-mind-cisos-2022/