过去 12 个月对网络安全领域和周围的每个人来说再次充满挑战。和往年不同,感觉很不一样,攻击源源不断。过去,大型漏洞每季度发生一次,但在过去一年中,在某些情况下,我们几乎每周都会处理严重漏洞。
已知利用的时间继续缩短,使组织没有时间修补他们的系统并为针对漏洞的利用做好准备。它也正在成为一个更加复杂的勒索软件生态系统,在过去的一年里困扰着澳大利亚的几个知名组织。除了勒索之外,攻击还让组织感受到数据共享和敏感客户信息最终落入对手手中的影响。随着新处罚的实施以及来自政府和其他监管机构的惩罚性赔偿的增加,不合规不再是一种选择,组织领导者知道他们必须做得更好。
不幸的是,企业可能成为自身创新欲望的牺牲品。为了具有竞争力,他们需要快速创新,这意味着要承担风险。然而,在冒险的过程中,你会制造漏洞。您创新的速度越快,您的环境就会变得越复杂——存在更多的差距和漏洞。然后是安全人才稀缺的问题,这对现有资源造成了压力和负担。在这种背景下,今年有可能成为我们行业真正的关键年。那么,未来会发生什么?
安全越来越难
安全行业发布和发布内容和研究的倾向仍然存在,但在这样做时,我们知道威胁参与者正在监视我们正在完成的事情。因此,勒索软件组织将通过利用已发表的研究和升级他们的武器库来继续创新。这意味着组织如何实施其网络安全并将更好的背景纳入决策制定变得更加重要。
例如,您可能决定不修补特定漏洞,因为它没有被积极利用。然而,防御已知漏洞、新出现的零日恶意软件、被盗凭据或复杂的网络钓鱼攻击的复杂性变得越来越难。也就是说,组织如何管理其风险以领先于不良行为者是在其控制范围内的,这归结为您如何在内部创建业务流程并将安全性集成为一个组件。
我们相信,了解攻击者的技术将有助于组织确定实施哪些控制的优先级,并且传达这一点将成为稳固防御不可或缺的一部分。2022 年的重大漏洞为组织提供了一个机会来测试他们的剧本,吸取经验教训并将这些情况视为险些发生。这带来了响应实际攻击的信心,并在整个企业中更广泛地传递有关漏洞管理的信息。
人才稀缺
在没有新人才涌入的情况下,而且毕业生通常只有一个网络安全知识领域,我们需要以不同的方式招聘。向前推进的一个优先事项是寻找能够 360 度全方位了解网络对组织意味着什么的个人,以及所有衡量标准的多样性——从种族到性别再到社会经济背景。这种广泛的员工可以为安全问题带来更多样化的思维,从而通过鼓励安全与其他团队(例如工程团队)之间加强协作,将我们从传统的信息安全泡沫中移除。我们需要培养人才,并开始努力为个人提供学习、培训和理解的机会。要在网络安全领域取得成功,您需要对它充满热情,
我们安全吗?
技术利益相关者与企业、CISO 与组织,甚至董事会之间的差距越来越大。我们与高级利益相关者的沟通方式必须不断发展。每当出现公开的网络漏洞时,您都可以预料到高层人员会走进 CISO 的办公室并提出这样一个问题:“我们安全吗?” 您可能符合 ISO,提高了修补速度并降低了风险评分,但没有安全这回事。因此,重要的是,董事会必须接受始终存在一定程度的风险,并了解如何通过正在进行的投资来降低风险。
实施安全
安全领导力以三种方式出现。首先,它可以通过风险框架并确保将其嵌入到业务中。其次,它可以在事件和攻击事件中出现,确保您在前线发挥领导作用。第三,推动安全改进计划。
到 2023 年,安全团队需要建立运营动力来限制暴露,这可以通过围绕暴露管理以及检测和响应攻击的良好工程和运营流程来实现。虽然识别威胁、风险或潜在漏洞并通知组织是安全领导的职责,但只有将(问题或风险的)情报移交给组织的其他部分,您才能有效。这些其他团队负责解决已确定的问题,这一点至关重要;否则,安全控制将失败。
以这种方式实施安全性的最快方法是通过称为保护级别协议的概念。保护级别协议适用于已识别的任何关键漏洞。例如,约定的目标是在 30 天内解决。因此,为了有效,安全团队将识别漏洞并提供相关信息来解决该问题。它被移交给产品管理,他们负责补救或减轻该风险,这就是您的衡量标准。
要想取得成功,安全必须是一项团队运动和一种文化,每个人都参与其中,在整个组织中共同承担责任,将心态从守卫转变为领导者,努力实现可衡量的业务成果。
