CISO在2024年应该优先考虑七项安全任务

2023-11-30 18:28

本文主要是介绍CISO在2024年应该优先考虑七项安全任务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

专业安全媒体CyberTalk.org主编Shira Landau日前表示:现代企业的CISO们在2024年必须做出改变,要更多关注于企业整体安全路线图的推进与实现,让网络安全工作与业务发展目标保持更紧密的一致性。

首席信息安全官(CISO)是企业中负责制定组织信息安全战略并落实的高级管理人员,在保护组织有价值的信息资产方面发挥着至关重要的作用。但是在实际工作中,很多CISO却被称为“救火队员”,他们花费了大量的时间去响应和处置各种突发的安全事件,而不能从一开始就专注于积极预防这些事件的发生。

在此背景下,专业安全媒体CyberTalk.org主编Shira Landau日前表示:现代企业的CISO们在2024年必须做出改变,要更多关注于企业整体安全路线图的推进与实现,让网络安全工作与业务发展目标保持更紧密的一致性。因此,CISO在2024年应该优先考虑以下7项安全任务:

1、升级现有的云安全防护策略

根据专业安全厂商Thales发布的《2023年全球云安全研究报告》数据显示,过去一年中约39%的受访企业经历过云上数据泄露,相比之前一年的数据35%继续增长。此外,有55%的受访者认为“人为错误”已经成为云上数据泄露的主要原因。在此背景下,专业安全人士表示,企业需要实现更强大的云安全策略,利用零信任框架取代传统的数据隐私和合规保护方式,这将成为企业组织2024年云安全工作中的关键优先事项。

此外,确保SaaS化服务生态系统的安全性也是CISO必须面对的关键任务。数据显示,在云攻击活动中,针对各类SaaS服务应用的攻击占比为38%,是最主要的攻击目标。然而,当前的SaaS安全策略和方法显然是不够的。为此,68%的组织需要增加在SaaS安全防护方面的投资,有很多工作要做,例如部署更复杂的威胁预防和防御工具。

2、确保API应用的安全性

在Salt Security发布的《2023年API安全状况报告》中指出,针对应用程序编程接口(API)的攻击在过去六个月中快速增加了400%;并且80%的攻击发生在经过身份验证的API上。而在过去一年中,94%的安全专业人员和API开发人员都遇到过与API相关的安全问题。

由于此类安全问题的影响,API安全性已经成为组织内部广泛关注的安全性议题,有95%的受访CISO表示会在未来两年内优先考虑API安全性。但究竟能否在API安全成熟度方面取得进展,从而更有效地预防API应用风险还尚未可知。

想要实现API安全成熟度,首先要能够发现识别组织中使用的所有API,方法包括从部署发现工具到技术文档审查,再到与开发人员的对话;其次,组织需要评估现有工具是否能够满足可见性和遵从性需求;此外,组织需要集成更好的工具来减少数据泄露(以及影子API等),并在适用的地方整合工具。

3、为后量子密码应用做好准备

随着量子计算机技术的不断进步,传统密码学面临着被攻破的风险。为了应对这一挑战,后量子密码(PQC)学逐渐成为当前密码技术领域的热门研究方向。

在2023年8月,CISA、NIST和NSA联合发布了一份指南文件《量子准备:向后量子密码迁移》,向各组织阐明量子能力带来的影响,尤其是那些与关键基础设施相关的组织,应该从现在开始积极地制定量子准备路线图,提前规划以迁移到PQC标准。

当前,NIST正在加快制定第一批PQC标准,并计划于2024年发布,以应对未来潜在对抗性的、与密码分析有关的量子计算机安全威胁。NIST在持续推进PQC标准制定的同时,也在为各组织如何着手开展PQC迁移工作做出指导,要求组织成立专门的项目管理团队,梳理并形成本组织易受量子攻击的系统和资产清单,摸清当前使用的加密技术,并加强与技术供应商(包括云服务商)的合作。

4、预防AI驱动的新威胁

AI技术的不断发展和应用,使得其被恶意使用的可能性也越来越大。黑客和犯罪分子正在利用人工智能的强大计算能力和智能分析能力,来实施大规模网络攻击、数据泄露和欺诈活动。为了应对这种威胁,CISO也需要尽快利用AI技术来建立强大的安全防御系统。例如,可以利用机器学习算法来分析网络流量和用户行为,及时发现异常波动并采取相应措施。

AI驱动的新一代安全平台能够以人类永远无法匹敌的速度分析大量数据。CISO和网络安全领导者必须投资于人工智能驱动的安全工具,以增强其组织主动预防和应对新出现的威胁的能力,降低网络入侵的可能性。

与此同时,随着不断将人工智能集成到组织的网络安全堆栈中,安全人员的角色和职责也需要随之发展。组织需要战略性地规划重新部署现有人才的使用方式,以最大限度地利用好专业安全人才资源。

5、开展针对AI应用的红队演练

所谓的“红队演练”概念来源于军事模拟,即通过模拟假想的“敌人”,来测试本方的安全防护准备水平。在AI技术应用中,“红队”的任务就是模拟黑客或其他潜在恶意行为者,以实战化方式找到大语言模型的漏洞,从而避免AI技术在现实中被恶意利用。

由于AI技术相对较新,目前还没有成熟的AI红队标准,但从微软相关的实践经验看,在基础模型层面和应用层面测试AI模型的安全性至关重要。对AI模型进行红队测试有助于在过程的早期识别模型可能被滥用的情况,确定模型的功能范围,并了解模型的局限性。

6、阻止影子IT蔓延

公民开发者(Citizen Developer)是指那些在有别于传统软件开发流程的背景下,利用易于使用的开发工具和平台创建业务应用程序和系统的人员。2023年,企业中由公民开发者创建的应用系统越来越受欢迎,这也要求了CISO必须尽快制定明确的责任制度和适当的网络安全措施,确保这些由公民开发者创建的应用不会成为“影子”IT。

一直以来,影子IT大大增加了企业网络安全建设的难度,加剧了IT资产的可见性缺失。很多看似无害的影子IT却可能带来严重的安全风险,并导致数据泄露或恶意软件侵入。企业安全团队应该教育指导员工,帮助他们按要求使用正确的工具完成工作,并简化审查和批准过程,管控影子IT的潜在使用风险。

7、推进零信任架构应用落地

根据OKTA发布的《2022年零信任安全状态报告》数据显示,已经有超过的企业组织正在或计划开展零信任安全的建设项目。为了更完善推进零信任实现的成熟度,CISO可以将CISA发布的《零信任成熟度模型》作为一个很好的指导框架,它描述了零信任落地的五个“支柱”,分别为身份(Identity)、设备(Device)、网络(Network)、应用与工作负载(Application and Workload)以及数据(Data)。此外,还包含了一些横向的能力:可见性与分析、自动化与编排,以及治理。

这篇关于CISO在2024年应该优先考虑七项安全任务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/438079

相关文章

JAVA保证HashMap线程安全的几种方式

《JAVA保证HashMap线程安全的几种方式》HashMap是线程不安全的,这意味着如果多个线程并发地访问和修改同一个HashMap实例,可能会导致数据不一致和其他线程安全问题,本文主要介绍了JAV... 目录1. 使用 Collections.synchronizedMap2. 使用 Concurren

Spring Boot 集成 Quartz并使用Cron 表达式实现定时任务

《SpringBoot集成Quartz并使用Cron表达式实现定时任务》本篇文章介绍了如何在SpringBoot中集成Quartz进行定时任务调度,并通过Cron表达式控制任务... 目录前言1. 添加 Quartz 依赖2. 创建 Quartz 任务3. 配置 Quartz 任务调度4. 启动 Sprin

Linux之计划任务和调度命令at/cron详解

《Linux之计划任务和调度命令at/cron详解》:本文主要介绍Linux之计划任务和调度命令at/cron的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux计划任务和调度命令at/cron一、计划任务二、命令{at}介绍三、命令语法及功能 :at

SpringQuartz定时任务核心组件JobDetail与Trigger配置

《SpringQuartz定时任务核心组件JobDetail与Trigger配置》Spring框架与Quartz调度器的集成提供了强大而灵活的定时任务解决方案,本文主要介绍了SpringQuartz定... 目录引言一、Spring Quartz基础架构1.1 核心组件概述1.2 Spring集成优势二、J

Redis实现延迟任务的三种方法详解

《Redis实现延迟任务的三种方法详解》延迟任务(DelayedTask)是指在未来的某个时间点,执行相应的任务,本文为大家整理了三种常见的实现方法,感兴趣的小伙伴可以参考一下... 目录1.前言2.Redis如何实现延迟任务3.代码实现3.1. 过期键通知事件实现3.2. 使用ZSet实现延迟任务3.3

Python从零打造高安全密码管理器

《Python从零打造高安全密码管理器》在数字化时代,每人平均需要管理近百个账号密码,本文将带大家深入剖析一个基于Python的高安全性密码管理器实现方案,感兴趣的小伙伴可以参考一下... 目录一、前言:为什么我们需要专属密码管理器二、系统架构设计2.1 安全加密体系2.2 密码强度策略三、核心功能实现详解

Linux中的计划任务(crontab)使用方式

《Linux中的计划任务(crontab)使用方式》:本文主要介绍Linux中的计划任务(crontab)使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、前言1、linux的起源与发展2、什么是计划任务(crontab)二、crontab基础1、cro

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

如何使用Python实现一个简单的window任务管理器

《如何使用Python实现一个简单的window任务管理器》这篇文章主要为大家详细介绍了如何使用Python实现一个简单的window任务管理器,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起... 任务管理器效果图完整代码import tkinter as tkfrom tkinter i

Spring Boot 集成 Quartz 使用Cron 表达式实现定时任务

《SpringBoot集成Quartz使用Cron表达式实现定时任务》本文介绍了如何在SpringBoot项目中集成Quartz并使用Cron表达式进行任务调度,通过添加Quartz依赖、创... 目录前言1. 添加 Quartz 依赖2. 创建 Quartz 任务3. 配置 Quartz 任务调度4. 启