CISO在2024年应该优先考虑七项安全任务

首席信息安全官（CISO）是企业中负责制定组织信息安全战略并落实的高级管理人员，在保护组织有价值的信息资产方面发挥着至关重要的作用。但是在实际工作中，很多CISO却被称为“救火队员”，他们花费了大量的时间去响应和处置各种突发的安全事件，而不能从一开始就专注于积极预防这些事件的发生。

在此背景下，专业安全媒体CyberTalk.org主编Shira Landau日前表示：现代企业的CISO们在2024年必须做出改变，要更多关注于企业整体安全路线图的推进与实现，让网络安全工作与业务发展目标保持更紧密的一致性。因此，CISO在2024年应该优先考虑以下7项安全任务：

1、升级现有的云安全防护策略

根据专业安全厂商Thales发布的《2023年全球云安全研究报告》数据显示，过去一年中约39%的受访企业经历过云上数据泄露，相比之前一年的数据35%继续增长。此外，有55%的受访者认为“人为错误”已经成为云上数据泄露的主要原因。在此背景下，专业安全人士表示，企业需要实现更强大的云安全策略，利用零信任框架取代传统的数据隐私和合规保护方式，这将成为企业组织2024年云安全工作中的关键优先事项。

此外，确保SaaS化服务生态系统的安全性也是CISO必须面对的关键任务。数据显示，在云攻击活动中，针对各类SaaS服务应用的攻击占比为38%，是最主要的攻击目标。然而，当前的SaaS安全策略和方法显然是不够的。为此，68%的组织需要增加在SaaS安全防护方面的投资，有很多工作要做，例如部署更复杂的威胁预防和防御工具。

2、确保API应用的安全性

在Salt Security发布的《2023年API安全状况报告》中指出，针对应用程序编程接口（API）的攻击在过去六个月中快速增加了400%；并且80%的攻击发生在经过身份验证的API上。而在过去一年中，94%的安全专业人员和API开发人员都遇到过与API相关的安全问题。

由于此类安全问题的影响，API安全性已经成为组织内部广泛关注的安全性议题，有95%的受访CISO表示会在未来两年内优先考虑API安全性。但究竟能否在API安全成熟度方面取得进展，从而更有效地预防API应用风险还尚未可知。

想要实现API安全成熟度，首先要能够发现识别组织中使用的所有API，方法包括从部署发现工具到技术文档审查，再到与开发人员的对话；其次，组织需要评估现有工具是否能够满足可见性和遵从性需求；此外，组织需要集成更好的工具来减少数据泄露（以及影子API等），并在适用的地方整合工具。

3、为后量子密码应用做好准备

随着量子计算机技术的不断进步，传统密码学面临着被攻破的风险。为了应对这一挑战，后量子密码（PQC）学逐渐成为当前密码技术领域的热门研究方向。

在2023年8月，CISA、NIST和NSA联合发布了一份指南文件《量子准备：向后量子密码迁移》，向各组织阐明量子能力带来的影响，尤其是那些与关键基础设施相关的组织，应该从现在开始积极地制定量子准备路线图，提前规划以迁移到PQC标准。

当前，NIST正在加快制定第一批PQC标准，并计划于2024年发布，以应对未来潜在对抗性的、与密码分析有关的量子计算机安全威胁。NIST在持续推进PQC标准制定的同时，也在为各组织如何着手开展PQC迁移工作做出指导，要求组织成立专门的项目管理团队，梳理并形成本组织易受量子攻击的系统和资产清单，摸清当前使用的加密技术，并加强与技术供应商（包括云服务商）的合作。

4、预防AI驱动的新威胁

AI技术的不断发展和应用，使得其被恶意使用的可能性也越来越大。黑客和犯罪分子正在利用人工智能的强大计算能力和智能分析能力，来实施大规模网络攻击、数据泄露和欺诈活动。为了应对这种威胁，CISO也需要尽快利用AI技术来建立强大的安全防御系统。例如，可以利用机器学习算法来分析网络流量和用户行为，及时发现异常波动并采取相应措施。

AI驱动的新一代安全平台能够以人类永远无法匹敌的速度分析大量数据。CISO和网络安全领导者必须投资于人工智能驱动的安全工具，以增强其组织主动预防和应对新出现的威胁的能力，降低网络入侵的可能性。

与此同时，随着不断将人工智能集成到组织的网络安全堆栈中，安全人员的角色和职责也需要随之发展。组织需要战略性地规划重新部署现有人才的使用方式，以最大限度地利用好专业安全人才资源。

5、开展针对AI应用的红队演练

所谓的“红队演练”概念来源于军事模拟，即通过模拟假想的“敌人”，来测试本方的安全防护准备水平。在AI技术应用中，“红队”的任务就是模拟黑客或其他潜在恶意行为者，以实战化方式找到大语言模型的漏洞，从而避免AI技术在现实中被恶意利用。

由于AI技术相对较新，目前还没有成熟的AI红队标准，但从微软相关的实践经验看，在基础模型层面和应用层面测试AI模型的安全性至关重要。对AI模型进行红队测试有助于在过程的早期识别模型可能被滥用的情况，确定模型的功能范围，并了解模型的局限性。

6、阻止影子IT蔓延

公民开发者（Citizen Developer）是指那些在有别于传统软件开发流程的背景下，利用易于使用的开发工具和平台创建业务应用程序和系统的人员。2023年，企业中由公民开发者创建的应用系统越来越受欢迎，这也要求了CISO必须尽快制定明确的责任制度和适当的网络安全措施，确保这些由公民开发者创建的应用不会成为“影子”IT。

一直以来，影子IT大大增加了企业网络安全建设的难度，加剧了IT资产的可见性缺失。很多看似无害的影子IT却可能带来严重的安全风险，并导致数据泄露或恶意软件侵入。企业安全团队应该教育指导员工，帮助他们按要求使用正确的工具完成工作，并简化审查和批准过程，管控影子IT的潜在使用风险。

7、推进零信任架构应用落地

根据OKTA发布的《2022年零信任安全状态报告》数据显示，已经有超过的企业组织正在或计划开展零信任安全的建设项目。为了更完善推进零信任实现的成熟度，CISO可以将CISA发布的《零信任成熟度模型》作为一个很好的指导框架，它描述了零信任落地的五个“支柱”，分别为身份（Identity）、设备（Device）、网络（Network）、应用与工作负载（Application and Workload）以及数据（Data）。此外，还包含了一些横向的能力：可见性与分析、自动化与编排，以及治理。

参考链接：

https://www.cybertalk.org/2023/11/21/these-7-items-should-be-on-your-ciso-checklist-for-2024/。