CISO在2024年应该优先考虑七项安全任务

2023-11-30 18:28

本文主要是介绍CISO在2024年应该优先考虑七项安全任务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

专业安全媒体CyberTalk.org主编Shira Landau日前表示:现代企业的CISO们在2024年必须做出改变,要更多关注于企业整体安全路线图的推进与实现,让网络安全工作与业务发展目标保持更紧密的一致性。

首席信息安全官(CISO)是企业中负责制定组织信息安全战略并落实的高级管理人员,在保护组织有价值的信息资产方面发挥着至关重要的作用。但是在实际工作中,很多CISO却被称为“救火队员”,他们花费了大量的时间去响应和处置各种突发的安全事件,而不能从一开始就专注于积极预防这些事件的发生。

在此背景下,专业安全媒体CyberTalk.org主编Shira Landau日前表示:现代企业的CISO们在2024年必须做出改变,要更多关注于企业整体安全路线图的推进与实现,让网络安全工作与业务发展目标保持更紧密的一致性。因此,CISO在2024年应该优先考虑以下7项安全任务:

1、升级现有的云安全防护策略

根据专业安全厂商Thales发布的《2023年全球云安全研究报告》数据显示,过去一年中约39%的受访企业经历过云上数据泄露,相比之前一年的数据35%继续增长。此外,有55%的受访者认为“人为错误”已经成为云上数据泄露的主要原因。在此背景下,专业安全人士表示,企业需要实现更强大的云安全策略,利用零信任框架取代传统的数据隐私和合规保护方式,这将成为企业组织2024年云安全工作中的关键优先事项。

此外,确保SaaS化服务生态系统的安全性也是CISO必须面对的关键任务。数据显示,在云攻击活动中,针对各类SaaS服务应用的攻击占比为38%,是最主要的攻击目标。然而,当前的SaaS安全策略和方法显然是不够的。为此,68%的组织需要增加在SaaS安全防护方面的投资,有很多工作要做,例如部署更复杂的威胁预防和防御工具。

2、确保API应用的安全性

在Salt Security发布的《2023年API安全状况报告》中指出,针对应用程序编程接口(API)的攻击在过去六个月中快速增加了400%;并且80%的攻击发生在经过身份验证的API上。而在过去一年中,94%的安全专业人员和API开发人员都遇到过与API相关的安全问题。

由于此类安全问题的影响,API安全性已经成为组织内部广泛关注的安全性议题,有95%的受访CISO表示会在未来两年内优先考虑API安全性。但究竟能否在API安全成熟度方面取得进展,从而更有效地预防API应用风险还尚未可知。

想要实现API安全成熟度,首先要能够发现识别组织中使用的所有API,方法包括从部署发现工具到技术文档审查,再到与开发人员的对话;其次,组织需要评估现有工具是否能够满足可见性和遵从性需求;此外,组织需要集成更好的工具来减少数据泄露(以及影子API等),并在适用的地方整合工具。

3、为后量子密码应用做好准备

随着量子计算机技术的不断进步,传统密码学面临着被攻破的风险。为了应对这一挑战,后量子密码(PQC)学逐渐成为当前密码技术领域的热门研究方向。

在2023年8月,CISA、NIST和NSA联合发布了一份指南文件《量子准备:向后量子密码迁移》,向各组织阐明量子能力带来的影响,尤其是那些与关键基础设施相关的组织,应该从现在开始积极地制定量子准备路线图,提前规划以迁移到PQC标准。

当前,NIST正在加快制定第一批PQC标准,并计划于2024年发布,以应对未来潜在对抗性的、与密码分析有关的量子计算机安全威胁。NIST在持续推进PQC标准制定的同时,也在为各组织如何着手开展PQC迁移工作做出指导,要求组织成立专门的项目管理团队,梳理并形成本组织易受量子攻击的系统和资产清单,摸清当前使用的加密技术,并加强与技术供应商(包括云服务商)的合作。

4、预防AI驱动的新威胁

AI技术的不断发展和应用,使得其被恶意使用的可能性也越来越大。黑客和犯罪分子正在利用人工智能的强大计算能力和智能分析能力,来实施大规模网络攻击、数据泄露和欺诈活动。为了应对这种威胁,CISO也需要尽快利用AI技术来建立强大的安全防御系统。例如,可以利用机器学习算法来分析网络流量和用户行为,及时发现异常波动并采取相应措施。

AI驱动的新一代安全平台能够以人类永远无法匹敌的速度分析大量数据。CISO和网络安全领导者必须投资于人工智能驱动的安全工具,以增强其组织主动预防和应对新出现的威胁的能力,降低网络入侵的可能性。

与此同时,随着不断将人工智能集成到组织的网络安全堆栈中,安全人员的角色和职责也需要随之发展。组织需要战略性地规划重新部署现有人才的使用方式,以最大限度地利用好专业安全人才资源。

5、开展针对AI应用的红队演练

所谓的“红队演练”概念来源于军事模拟,即通过模拟假想的“敌人”,来测试本方的安全防护准备水平。在AI技术应用中,“红队”的任务就是模拟黑客或其他潜在恶意行为者,以实战化方式找到大语言模型的漏洞,从而避免AI技术在现实中被恶意利用。

由于AI技术相对较新,目前还没有成熟的AI红队标准,但从微软相关的实践经验看,在基础模型层面和应用层面测试AI模型的安全性至关重要。对AI模型进行红队测试有助于在过程的早期识别模型可能被滥用的情况,确定模型的功能范围,并了解模型的局限性。

6、阻止影子IT蔓延

公民开发者(Citizen Developer)是指那些在有别于传统软件开发流程的背景下,利用易于使用的开发工具和平台创建业务应用程序和系统的人员。2023年,企业中由公民开发者创建的应用系统越来越受欢迎,这也要求了CISO必须尽快制定明确的责任制度和适当的网络安全措施,确保这些由公民开发者创建的应用不会成为“影子”IT。

一直以来,影子IT大大增加了企业网络安全建设的难度,加剧了IT资产的可见性缺失。很多看似无害的影子IT却可能带来严重的安全风险,并导致数据泄露或恶意软件侵入。企业安全团队应该教育指导员工,帮助他们按要求使用正确的工具完成工作,并简化审查和批准过程,管控影子IT的潜在使用风险。

7、推进零信任架构应用落地

根据OKTA发布的《2022年零信任安全状态报告》数据显示,已经有超过的企业组织正在或计划开展零信任安全的建设项目。为了更完善推进零信任实现的成熟度,CISO可以将CISA发布的《零信任成熟度模型》作为一个很好的指导框架,它描述了零信任落地的五个“支柱”,分别为身份(Identity)、设备(Device)、网络(Network)、应用与工作负载(Application and Workload)以及数据(Data)。此外,还包含了一些横向的能力:可见性与分析、自动化与编排,以及治理。

这篇关于CISO在2024年应该优先考虑七项安全任务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/438079

相关文章

hdu1180(广搜+优先队列)

此题要求最少到达目标点T的最短时间,所以我选择了广度优先搜索,并且要用到优先队列。 另外此题注意点较多,比如说可以在某个点停留,我wa了好多两次,就是因为忽略了这一点,然后参考了大神的思想,然后经过反复修改才AC的 这是我的代码 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<

2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题

题库来源:安全生产模拟考试一点通公众号小程序 2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题是由安全生产模拟考试一点通提供,流动式起重机司机证模拟考试题库是根据流动式起重机司机最新版教材,流动式起重机司机大纲整理而成(含2024年流动式起重机司机证模拟考试题库及流动式起重机司机理论考试试题参考答案和部分工种参考解析),掌握本资料和学校方法,考试容易。流动式起重机司机考试技

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

高效录音转文字:2024年四大工具精选!

在快节奏的工作生活中,能够快速将录音转换成文字是一项非常实用的能力。特别是在需要记录会议纪要、讲座内容或者是采访素材的时候,一款优秀的在线录音转文字工具能派上大用场。以下推荐几个好用的录音转文字工具! 365在线转文字 直达链接:https://www.pdf365.cn/ 365在线转文字是一款提供在线录音转文字服务的工具,它以其高效、便捷的特点受到用户的青睐。用户无需下载安装任何软件,只

购买磨轮平衡机时应该注意什么问题和技巧

在购买磨轮平衡机时,您应该注意以下几个关键点: 平衡精度 平衡精度是衡量平衡机性能的核心指标,直接影响到不平衡量的检测与校准的准确性,从而决定磨轮的振动和噪声水平。高精度的平衡机能显著减少振动和噪声,提高磨削加工的精度。 转速范围 宽广的转速范围意味着平衡机能够处理更多种类的磨轮,适应不同的工作条件和规格要求。 振动监测能力 振动监测能力是评估平衡机性能的重要因素。通过传感器实时监

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

poj 3190 优先队列+贪心

题意: 有n头牛,分别给他们挤奶的时间。 然后每头牛挤奶的时候都要在一个stall里面,并且每个stall每次只能占用一头牛。 问最少需要多少个stall,并输出每头牛所在的stall。 e.g 样例: INPUT: 51 102 43 65 84 7 OUTPUT: 412324 HINT: Explanation of the s

poj 2431 poj 3253 优先队列的运用

poj 2431: 题意: 一条路起点为0, 终点为l。 卡车初始时在0点,并且有p升油,假设油箱无限大。 给n个加油站,每个加油站距离终点 l 距离为 x[i],可以加的油量为fuel[i]。 问最少加几次油可以到达终点,若不能到达,输出-1。 解析: 《挑战程序设计竞赛》: “在卡车开往终点的途中,只有在加油站才可以加油。但是,如果认为“在到达加油站i时,就获得了一

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还