2022年即将过去，CISO们可以汲取哪些经验和教训

2022年即将过去，在这一年中新冠疫情发展进入了新的阶段，许多员工重返办公室，由于地缘冲突导致的安全事件大幅度增多，多家大型企业因网络攻击或数据泄露而受到严重处罚，甚至有安全管理者因此而锒铛入狱。2022年，许多企业为了保障数字化转型的稳定开展而增加了安全预算，但是他们也意识到，如果安全团队没有一套合理的网络安全计划和方法，这些安全投资可能会打水漂。

回顾过往、总结经验，可以为未来发展指明道路，为此，专业安全媒体《CSO》网站邀请了多位一线CISO专家，分享了他们在2022年实际工作中的主要感受和经验教训。企业组织可以通过借鉴这些经验教训，更好地完善安全实践，加强在审计和第三方风险评估方面的审查，保障企业数字化业务的安全开展。

2022年初，东欧地区爆发了激烈的地缘军事冲突，该事件促使一些民族主义分子和犯罪组织卷入其中，并严重波及了很多企业组织。谷歌云CISO办公室主任Taylor Lehmann表示，不要等到拥有强大进攻性网络安全团队的国家之间已经发生激烈地缘政治冲突时，才去评估企业组织的安全态势是否能合理地抵御这些威胁和攻击。企业和政府机构常常需要数年时间才能堵住这些评估中发现的缺口，并实施建议的控制措施。网络安全方面采取完全被动的方法实际上会使企业的竞争力、财务状况和市场增长面临风险，因此尽早提出问题大有助益。

勒索软件攻击在2022年快速增加，英伟达、丰田、Optus、Medibank等大型企业组织在2022年都成为了受害者。GuidePoint Security的CISO Gary Brickhouse表示，员工安全意识教育和培训应该成为任何组织构建安全防御战略的基础，因为威胁分子越来越多的通过网络钓鱼及其他社会工程来发起攻击。不过目前，我们看到了一个积极动向，由于董事会和管理层看到了这些攻击给业务运营造成的影响，已经开始为加强员工安全意识付诸行动。

2021年底爆发的Log4j漏洞危机所造成的影响几乎持续了2022年全年，涉及的企业组织数量超过万家，甚至在未来很长时间还会继续成为风险隐患。Thrive CISO Chip Gibbons表示，Log4j漏洞给业内许多人敲响了警钟。许多组织只关注面向互联网的应用，但却不知道其中究竟应用了哪些开源组件。

虽然Log4j问题造成了混乱，但也带来了学习的机会。Sumo Logic的CSO兼高级副总裁George Gerchow表示，这让我们得以改进事件响应和资产跟踪。许多公司开始投入更多的精力来跟踪开源软件，因为企业发现不能盲目信任所使用的软件。

组织还应该更专注于识别应用代码中的漏洞，然而这绝非易事。漏洞管理工具有助于识别操作系统应用程序中发现的漏洞，并确定其优先级。一项好的应用程序安全计划应该是软件开发生命周期的一部分。从软件项目的开始就编写安全代码，并预先管理漏洞，这对于保护企业应用安全大有助益。数字化发展的一切都是靠代码去实现的，所有的软件、应用程序、防火墙、网络和策略都是需要代码支撑，由于代码常常进行版本迭代，所以必须持续不断地识别漏洞。

供应链攻击是2022年网络安全问题的主要原因，2023年，防范这些威胁仍将任重而道远。软件材料清单（SBOM）是一种新的软件供应链安全框架和技术。市面上还有很多管理信息整合的工具，比如软件组件的供应链级别（SLSA）、漏洞可利用性交换（VEX）等。这一切增添了供应链安全管理工作的复杂性，也加大了企业面临的难度。此外，企业还应该考虑：如果硬件供应链受到危害，我们会受到怎样的影响；我们现在又有什么能力，或者需要准备好哪些能力，以考量那些硬件计算平台的可信度。

零信任计划的重心并非只是部署管理身份或网络的技术。零信任是数字交易时消除隐式信任，建立显式信任的一种理念。这个流程需要兼顾身份、端点、网络、应用程序工作负载和数据。企业要为每个产品或服务都赋予数字化身份，并进行有效的验证和管理，企业中的网络系统应该做好分类并实现隔离。通过零信任建设，企业将可以有效面对很多未知威胁引发的安全危害。

由于没有绝对的安全防护，因此近年来，网络保险受到很多企业的欢迎，但保费随之上涨。此外，企业组织在投保时，会受到保险公司更严格的安全审查，以识别在哪些方面存在风险。这个过程比过去严格得多，增加了企业购买网络责任险的时间和精力。组织应该像对待审计一样对待这个过程，即提前做好准备，详细记录安全计划和控制措施，并随时准备接受验证。

ReversingLabs公司CISO  Matt Rose表示，仅仅寻找左侧（即早期）的风险还不够。虽然在早期阶段通过测试来改进产品这个概念很明智，但开发人员只是综合应用程序安全计划的一部分。DevOps流程的所有阶段都存在风险，因此工具和调查必须在流程的各个阶段都要有所转变，而不仅仅是早期。如果组织只关注寻找早期的安全问题，那么也只会发现早期的安全风险。更好的方法是在DevOps生态系统中全面提高安全性，包括构建系统和可部署构件本身。供应链风险和安全已变得越来越重要，如果你只关注左侧，将不可能全面发现风险。

Halborn公司的联合创始人兼CISO  Steven Walbroehl表示，锤子是用来钉钉子的，而不是用来拧螺丝的。2022年，我们要汲取的一个教训是，企业不可能通过一套安全方案建设，解决所有资产或资源的网络安全问题。因此，CISO需要观察细致入微，为想要解决的各种网络安全问题分别找到合适的工具和方法。

信息化技术的发展一年比一年来得复杂，组织必须了解整个应用系统的整体生态，才可以避免重大的安全漏洞存在。2022年，我们看到开源软件包、API、自研代码、第三方开发的代码和微服务的使用继续快速增加，而所有这些都与极具流动性的云原生开发实践密切相关，现代应用程序变得越来越复杂。如果企业都不知道要寻找什么类型的风险，那么安全防护将无从谈起。在现代开发实践侧重于细分责任，因此没有人能够完全掌控应用程序的每个方面。CISO需要更多帮助，才能了解完整的应用程序架构。

网络安全不是一蹴而就的，信息技术应用在动态变化，因此安全保护技术也应该是持续性工作，需要一套风险管理方法。企业需要识别关键业务过程和资产，然后确定它们能够接受何种程度的安全暴露。一个好的方法是优先考虑将安全风险降低到业务人员愿意接受的程度，并以此开展安全建设工作和流程计划。

NCC Group集团CISO Lawrence Munro表示，我们看到有关政府机构正在继续通过立法来干预网络安全的态势发展。美国、英国和欧盟均已加强了立法，以更有效地防范网络事件。

因此，企业组织需要密切注意数据隐私和安全保护法规不断变化和完善这一事实。CISO要了解数据驻留、数据主权和数据本地化之间的差异，并使组织准备好满足这三方面的要求，这是企业数字化发展中至关重要的合规需求，而将来只会越来越严格。

https://www.csoonline.com/article/3682748/14-lessons-cisos-learned-in-2022.html