一�����、 零信任時代在某種程度上已經到來
隨著更多的企業采用零信任安全方法����,他們將認識到自己仍然需要做許多以前難以實現的��、相當困難的工作�����,尤其是在身份與訪問管理(IAM)和行為分析領域����。人們開始把零信任看作是業務轉型���,而不是安全項目�����,并因此推出新的技術交付模式����。
二���、 首席信息安全官責任成為聘用最高安全領導層的另一個問題
越來越多的首席信息安全官希望公司在從違規披露到安全軟件認證����,再到名譽損失的各種情況下提供保障�。行政風險保險政策更頻繁地包含在招聘中�����。
三�����、 網絡質保
我們知道保費���、自留額和除外事項都在增多����������?蛻艨赡軙_始要求��,或者精明的廠商可能會開始提供相關產品的“網絡質���!�,而不是完全放棄網絡保險����。例如���,當惡意軟件突破網絡或電子郵件過濾器時協助恢復�。
四���、 應用程序安全備受關注
軟件物料清單(SBOM)只是一個開始����,它將揭開許多不良軟件組合的面紗�。最近�����,要求遵守NIST SP 800-218和進行特定認證的規定公布后�,將使企業重新考慮他們在構建軟件時所做的選擇����。作為服務而不是單體代碼庫的API優先開發范式和應用程序會贏得支持嗎�?
五��、 安全成為所有人都關心的問題
安全要求的“馬車”在疾馳�,所有人都想上車���。美國開始實施網絡安全成熟度模型認證(CMMC)和關鍵基礎設施網絡事件報告法(CIRCIA)�����,而且即將實施美國證券交易委員會(SEC)披露規則����;歐洲開始實施網絡和信息安全指令(NIS2)��;英國也在擴大網絡和信息系統條例(NIS)的實施����,這些都表明網絡安全舉足輕重�����。由于人才短缺����,企業以創造性的方式把新人帶入本行業�����,2023年可能會出現一些新的專業證書要求��,就像工程行業那樣����。
Mike Spanbauer
新冠疫情繼續助長危機�。充滿威脅的“捕食者”在不確定性的世界中大快朵頤��。最近幾年表明����,這些未知為攻擊者提供了更多機會�,近年來獲得成功的攻擊方法仍然是主要的威脅���。網絡釣魚和其他社會工程機制仍然有效���,盡管快速信譽驗證已有進步�,但最初的幾個目標比在活動時間線上稍遠的目標更容易受到攻擊�����。這表明依舊有必要對有效的用戶意識培訓投資����,繼續改進流程��、身份和策略執行�,尤其是威脅情報社區的改進���。我們在這一方面已經取得了很大的進展�����,但仍然有進步的空間��。盡管風險巨大����,仍值得額外投資�。
安全訪問服務邊緣(SASE)的采用將繼續加快�����;但客戶現在會更仔細地評估適合他們的解決方案和路徑 — 計算不同策略格式和本地原有防火墻管理團隊承擔額外工作的運行成本����,再加上基于新服務的云產品(現有數據中心投資和專用應用程序不會很快被放棄��。�。畢竟���,格式上的不一致會在策略和安全效力方面產生割裂�,而這正是攻擊者所需要的��。他們只需要一個立足點�,一旦繞過最初的策略屏障����,那么整個防線都會被擊潰�。
零信任及其實施方法仍將是所有企業的重要工作�。但由于各廠商使用的語言不一致���,區分真偽并不容易��。從根本上說���,企業需要一個方案來確保它們可以在任何地方看到�����、管理�、控制并處理連接�。具體而言���,零信任概念適用于任何物理或邏輯連接��,以及該連接的應用行為或使用策略�。每一個連接都應被控制���,應根據驗證和恰當的應用被許可或拒絕����。我指的不僅是連接至WiFi�����,而是每一個傳輸控制協議(TCP)或用戶數據報協議(UDP)連接�����,每一個http/s請求或經過可能會損害企業的某個環境的任何事物(是的�����,這相當于一切���,基本無處不在)����。為了讓客戶更輕松有效地選擇針對環境中各種需求的解決方案����,業界需要技術供應商和詳述如何基于框架(例如美國國家標準與技術研究所的框架)進行交付的客戶成功案例以達成更坦率和直接的指引��。說明是如何實現的��,而不是“可能是什么”����。
