等保资讯

来自美国多家机构的首席信息安全官 (CISO) 对2024 年主要安全趋势进行探讨，涉及一系列主题，其中包括不断变化的威胁形势、最新合规要求、数据隐私挑战、产品和关键基础设施保护问题，以及安全战略、领导力、弹性、首席信息安全官 (CISO) 的责任、人工智能 (AI) 风险等。

下面的10个方向成为美国首席信息安全官关注的重点。

趋势1：CISO的安全责任日趋增加

参与讨论的首席信息安全官认为，越来越多的 CISO 受到日益严格的审查，为网络安全事件承担责任，并预计这一趋势将会加速。

漫威公司前CISO迈克·威尔克斯重点关注了涉及 CISO 的多起诉讼，对安全专业人员前所未有的安全责任以及可能成为替罪羊的可能性表示担忧。

威尔克斯介绍了针对优步前CISO乔·沙利文 （Joe Sullivan)）和 SolarWinds 前CISO蒂姆·布朗 （Tim Brown）等安全主管的诉讼。2013年10月，美国证券交易委员会(SEC)针对SolarWinds公司及其安全主管蒂姆•布朗(Tim Brown)提起诉讼，指责该公司掩盖了“糟糕的网络安全实践及其日益加剧的网络安全风险”。在此前的5月份，优步前首席安全官(CSO)乔·沙利文 (Joe Sullivan) 因为主动隐瞒2016 年的网络攻击并妨碍联邦调查，被判处三年缓刑 和 200 小时社区服务。威尔克斯强调， SEC向CISO发出“韦尔斯通知”(Wells notice)在历史上还属首次。

威尔克斯对于让CISO 对其无法控制的问题负责的行业趋势提出质疑，并预测 CISO 会因缺乏支持而不断流失。

云数据安全公司Druva CISO尤格什（Yogesh）则提出了相反的观点，认为最近的诉讼可能会成为提升 CISO 地位和改进安全计划的催化剂。他以科洛尼尔石油管道遭攻击的事件为例，认为业界对于网络安全的认识，已经从单纯的技术问题转变为认识到其对现实世界的影响。尤格什预计，新的监管行动将促进行业的积极转型，为解决 CISO 面临的挑战带来一线希望。

趋势2：网络安全法规强化

ThoughtWorks（思特沃克）首席信息安全官尼廷·拉伊纳（Nitin Raina）强调认真审查网络法规的重要性，尤其是对于上市公司而言，需要积极拥抱美国SEC发布的网络安全新规。

他认为当前的安全监管环境创造了机会，有助于组织提升网络安全实践，并改进与机构领导层和董事会沟通应对安全的复杂性。

尽管充满挑战，拉伊纳对于遵从欧盟、印度、中国和其他等地的全球法规仍保持乐观。威尔克斯补充指出，纽约州的金融服务局 (NY DFS) 开创了先例，要求 3000 多家其所覆盖的实体（每个实体均设置 CISO），签署遵守 2023 年网络安全新规的声明。威尔克斯预计，这一监管措施将强制实施最佳实践，例如广泛部署多因素身份验证和定期开展风险评估，尽管这种转变可能给某些组织带来潜在的困难。

趋势3：网络进入热战时代

威尔克斯提出了网络热战时代的概念，认为造成人身伤亡的网络攻击将会日益普遍。他特别提及了影响炼油厂安全设置的 Triton 恶意软件和针对佛罗里达州水处理设施的投毒事件。

威尔克斯预计，网络热战行动将会持续增加，并提出了对造成伤害的网络攻击是否允许进行报复的问题。他设想一个充满法律挑战的新时期——对战争法进行扩展，以便涵盖网络战。

尤格什补充认为，现在网络战已经与地缘政治冲突紧密交织，凸显出网络攻击溯源源的难度，以及各国在确定应对措施时面临的挑战。

趋势4：第三方风险管理面临挑战

首席信息安全官深入讨论探讨了第三方风险管理的挑战，特别是安全事件和延迟披露事件影响的情况。尼廷·拉伊纳表示，当今技术环境对第三方广泛依赖，除初步评估之外，有必须持续开展审慎调查。 

拉伊纳强调了与核心第三方提供商进行紧密协调和定期沟通的重要性，特别提出了供应商管理技能和了解责任范围的意义。

受到 AWS 和 Amazon 实践的启发，拉伊纳提出了（云安全）共享责任模型的概念，强调需要采用优先且不断发展的第三方风险管理方法。

迈克强调了持续监测的重要性和年度安全评估的局限性。他强调有必要提升初始的安全措施，并转变观点，使系统初始状态更加安全。与会首席安全官均强调了在动态网络安全环境中，采取主动且不断演进的第三方风险管理方法的重要性。

趋势5：勒索软件继续占据主导地位

首席信息安全官们讨论了勒索软件攻击的普遍性，及其在网络安全话题中的持续主导地位。

尼廷·拉伊纳承认，勒索软件在网络安全态势中的重要影响。Druva CISO则尤格什指出，勒索软件攻击事件正以惊人速度增长，他强调，网络攻击者正在不断演进其攻击策略，例如，数据勒索和针对不常见领域（包括 SaaS 应用和云）的勒索攻击。SEC对于及时披露安全事件的要求以及社会工程攻击策略给对组织造成额外的压力。

威尔克斯就美国纽约州金融服务局 (DFS)的网络安全法规更新发表了个人观点，强调及时报告勒索攻击检测情况和支付赎金情况的重要性。2023年纽约州金融服务局更新了网络安全法规，以加强网络治理、降低风险并保护纽约企业和消费者免受网络威胁。新规则要求加强安全治理，定期进行风险与漏洞评估，同时要求投资年度培训与安全意识计划。

与会首席信息安全官均强调勒索软件造成的严重威胁，以及组织在应对日益复杂的攻击时面临的严峻挑战。

趋势6：数字马铃薯饥荒

威尔克斯引入了“数字马铃薯饥荒”的概念，预测可能出现的危机场景：由于苹果手机的统一性，攻击者释放的恶意软件或勒索软件，可能会同时破坏数百万部苹果手机，使其变成砖头。

他将此场景与爱尔兰历史上的马铃薯饥荒进行类比，爱尔兰对单一作物的依赖导致广泛的饥荒。

威尔克斯表示，苹果手机的无差异性和封闭生态系统，使其易受大规模的协同攻击，从而导致数字设备出现某种形式的大量被破坏。这一预测既严肃又富有幽默，凸显了高度控制的数字生态系统中潜在漏洞的风险。

趋势7：网络安全人才培养

拉伊纳强调，将安全技术专长与软技能、业务敏锐度相结合，在安全领域极其重要。在承认安全专业人员短缺的同时，他呼吁对安全能力培养进行投资，并创造组织内轮换的机会。

拉伊纳强调，理解业务和有效沟通是安全专业人员的关键技能。他建议设立新职位，即业务信息安全官（BISO），以消除安全与业务之间的差距，使安全专业人员能够与业务领导团队密切合作。拉伊纳鼓励组织探索超越传统方式的创新方法，来指导和培养安全人员。

趋势8：关键基础设施和供应链

漫威公司前CISO迈克·威尔克斯强调了关键基础设施安全和供应链问题的重要性，特别是在 OT（运营技术）和 IoT（物联网）背景下，保护OT与IoT环境、传统的预防、检测与响应方式都面临挑战。

尤格什则表示，由于对不同供应商的依赖，了解关键基础设施的组件（尤其是涉及 OT 和物联网时）成为一项复杂任务。

美国总统拜登发布的网络安全备忘录和改善软件供应链的监管势头在美国得到全面推进。

首席信息安全官认为软件物料清单 (SBOM) 等行政举措具有重要作用，而日益普遍采用的供应链安全原则，将有望改善整体安全生态系统。

威尔克斯指出，航运行业正处于危急状态。他强调航运业在全球贸易中具有重要意义，而网络威胁给该行业带来潜在的风险。

威尔克斯强调需要关注OT风险。大量物联网设备使用默认密码和配置过时的固件，带来巨大的安全挑战。

趋势9：网络安全“弹性”

尼廷·拉伊纳（Nitin Raina）强调了弹性在网络安全中的重要性。拉伊纳指出，组织在制定安全方案时，非常重视保护、识别、检测和响应的作用，但未来需要更多地关注安全事件恢复和网络弹性。

拉伊纳敦促组织重视确保基础设施的弹性，特别是在远程办公和安全挑战不断变化的背景下。他强调指出，安全团队、IT 和业务运营领导层之间的紧密合作，对于解决网络安全弹性问题至关重要。

趋势10：网络安全面临人工智能挑战

在有关人工智能在网络安全应用的讨论中，威尔克斯强调，网络攻击者正快速利用人工智能。例如，攻击者利用人工智能基于暗网数据集进行建模，从而可以更高效地发现系统缺陷和安全漏洞。深度伪造同样具有严重的安全风险，利用人工智能生成的音视频可进行社会工程攻击。

尤格什补充说，人工智能安全挑战延伸到其在各种场景的应用，例如远程办公，其中人工智能生成的深度伪造可能会破坏通常的安全流程。解决网络安全与功能安全问题，对于人工智能系统的发展极为重要。

尤格什从业务的视角探讨人工智能问题。他认为，人工智能作为创新性技术，将会有越来越多的组织正在采用人工智能工具和技术。他鼓励安全团队与业务团队尽早接触部署防护措施，与数据保护和隐私团队进行合作，以确保负责任且安全地使用人工智能。

参与讨论的首席安全官均认为，人工智能带来重大技术进步，但也带来了新的挑战和风险，需要进行认真规划与防护，安全团队和更多业务部门间的协作。

原文来源：虎符智库