隨著網(wǎng)絡(luò)威脅形勢(shì)的發(fā)展，首席信息安全官 (CISO) 的職責(zé)不斷增加。跟上這些不斷變化的威脅向量的任務(wù)絕非易事，而且壓力是要快速實(shí)現(xiàn)最佳結(jié)果。不用說，CISO 會(huì)考慮很多事情。

組織經(jīng)常成為網(wǎng)絡(luò)犯罪分子的目標(biāo)，當(dāng)攻擊發(fā)生時(shí)，他們必須迅速逃出大門。然而，Deep Instinct 的 SecOps 報(bào)告顯示，情況并非總是如此。平均而言，英國對(duì)網(wǎng)絡(luò)入侵的響應(yīng)時(shí)間為 20.9 小時(shí)。那是兩個(gè)多工作日。不僅他們的數(shù)據(jù)早已不復(fù)存在，而且對(duì)手將有足夠的時(shí)間滲透到網(wǎng)絡(luò)的其他區(qū)域并增加他們的占有率。

延遲似乎讓人們對(duì)安全產(chǎn)生了某種沮喪的態(tài)度，86% 的英國組織表示他們認(rèn)為不可能阻止所有勒索軟件和惡意軟件攻擊。盡管網(wǎng)絡(luò)攻擊似乎是不可避免的，但我們不應(yīng)該只是翻身接受這種命運(yùn)。團(tuán)隊(duì)必須站起來，以火攻毒。

第一步是認(rèn)識(shí)到需要解決的挑戰(zhàn)。

那么，引起關(guān)注的主要原因是什么？

CISO 的日常事務(wù)涵蓋企業(yè)運(yùn)營的廣泛領(lǐng)域。一個(gè)系統(tǒng)中有無數(shù)潛在的弱點(diǎn)，要確保所有這些弱點(diǎn)可能是一項(xiàng)艱巨的任務(wù)。

對(duì) CISO 及其團(tuán)隊(duì)造成嚴(yán)重破壞的一個(gè)問題是安全警報(bào)數(shù)量的增加以及它們帶來的大量誤報(bào)。提醒企業(yè)注意潛在威脅和違規(guī)行為的通知應(yīng)該是安全策略的重要組成部分，但相反，它們可能會(huì)帶來嚴(yán)重威脅。當(dāng)團(tuán)隊(duì)每天收到數(shù)千個(gè)警報(bào)時(shí)，調(diào)查每一個(gè)警報(bào)所花費(fèi)的時(shí)間會(huì)破壞整個(gè)目的。通常會(huì)分配額外的資源來解決這些警報(bào)，從而將注意力從基本的網(wǎng)絡(luò)衛(wèi)生上轉(zhuǎn)移開。

除此之外，我們研究的主要收獲之一是攻擊者使用一系列策略來破壞網(wǎng)絡(luò)——這是 CISO 最關(guān)心的問題之一。即使一家公司一天成功地阻止了一次攻擊，也不能保證下一次同樣的結(jié)果。

以下是 CISO 仍然關(guān)注的其他一些安全要素。

端點(diǎn)保護(hù)

端點(diǎn)一直是業(yè)務(wù)網(wǎng)絡(luò)中的潛在弱點(diǎn)，但逐漸消失的邊界和不斷增加的混合勞動(dòng)力加劇了這種脆弱性。由于端點(diǎn)現(xiàn)在代表了不斷增長的攻擊面，31% 的安全專業(yè)人員致力于安裝盡可能多的端點(diǎn)保護(hù)解決方案，以確保網(wǎng)絡(luò)安全。然而，人們?nèi)匀粨?dān)心如何平衡安全性和生產(chǎn)力。如果安全措施的增加會(huì)影響系統(tǒng)性能，那么團(tuán)隊(duì)可能不愿意繼續(xù)前進(jìn)。

混合勞動(dòng)力

去年顛覆了安全性。永久辦公室成為遙遠(yuǎn)的記憶，家庭工作占據(jù)了現(xiàn)代勞動(dòng)力。即使是現(xiàn)在，也很少有團(tuán)隊(duì)承諾全職返回辦公室，而是采用混合模式。

這一重大變化的影響是顯而易見的，因?yàn)橹挥?5% 的來自大公司和小公司的安全專業(yè)人員表示他們對(duì)混合勞動(dòng)力沒有安全顧慮。關(guān)于這種未來工作方式的兩個(gè)主要問題是團(tuán)隊(duì)能夠確保員工擁有安全的遠(yuǎn)程訪問權(quán)限并防止使用未經(jīng)批準(zhǔn)的服務(wù)。團(tuán)隊(duì)被迫適應(yīng)的速度意味著失去了很大一部分可見性，因此嘗試將其收回是當(dāng)務(wù)之急。

人為風(fēng)險(xiǎn)

CISO 角色的核心是所有安全策略中最不可預(yù)測(cè)的元素。

人類工作者在任何網(wǎng)絡(luò)安全計(jì)劃中都扮演著至關(guān)重要的角色，但他們經(jīng)常成為攻擊者的目標(biāo)，因?yàn)樗麄儽徽J(rèn)為是最薄弱的環(huán)節(jié)。借助廣泛的社會(huì)工程技術(shù)，犯罪分子已做好充分準(zhǔn)備，以保護(hù)員工的防線，挑選出易受攻擊的人并利用他們獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)。不幸的是，無論對(duì)工人進(jìn)行多少培訓(xùn)，對(duì)手總能找到出路。

CISO 的擔(dān)憂顯而易見，只有 14% 的研究受訪者確認(rèn)對(duì)員工識(shí)別惡意軟件的能力完全有信心。

這對(duì) CISO 意味著什么？

CISO 日常關(guān)注的大量問題要求對(duì)安全堆棧進(jìn)行更大的控制。調(diào)查威脅和降低風(fēng)險(xiǎn)的時(shí)間壓力，加上持續(xù)的 SecOps 技能短缺，使得 CISO 的角色極具挑戰(zhàn)性。

有一件事是肯定的——傳統(tǒng)的安全解決方案已不足以抵御高級(jí)網(wǎng)絡(luò)攻擊。CISO 對(duì)自己的能力失去了信心，因此是時(shí)候做出改變了。戰(zhàn)略必須超越緩解和反應(yīng)，而應(yīng)采取積極主動(dòng)的方法。

成為對(duì)手，而不是受害者

重新評(píng)估他們的安全策略將有助于企業(yè)創(chuàng)造公平的競(jìng)爭(zhēng)環(huán)境并提高他們挫敗對(duì)手攻擊的機(jī)會(huì)。不得不在沒有足夠資源的情況下追蹤各種警報(bào)可能會(huì)給團(tuán)隊(duì)帶來更大的挑戰(zhàn)，這就是自動(dòng)化流程變得越來越重要的原因。

機(jī)器學(xué)習(xí) (ML) 一直是希望實(shí)現(xiàn)流程自動(dòng)化并為更多高價(jià)值任務(wù)騰出員工資源的企業(yè)的首選解決方案。不幸的是，網(wǎng)絡(luò)犯罪分子已經(jīng)流行起來，并且已經(jīng)開發(fā)出一些方法來操縱 ML 以供自己使用，從而為組織留下了更廣泛的攻擊面。

但是，有一種先進(jìn)的解決方案可以提供更高級(jí)別的防御來對(duì)抗這一新的威脅浪潮。深度學(xué)習(xí) (DL) 是 ML 的高級(jí)子集，基本上復(fù)制了人腦的神經(jīng)網(wǎng)絡(luò)。該技術(shù)獨(dú)立于員工工作，并使用原始數(shù)據(jù)來學(xué)習(xí)如何區(qū)分惡意代碼和良性代碼。與 ML 不同，它不使用預(yù)先分類的數(shù)據(jù)。隨著時(shí)間的推移，系統(tǒng)將學(xué)會(huì)識(shí)別傳入的已知和未知威脅，為組織提供端到端的主動(dòng)保護(hù)。通過消除對(duì)人工支持的需求，DL 允許團(tuán)隊(duì)在最需要關(guān)注的安全領(lǐng)域重新分配資源。該系統(tǒng)可以自動(dòng)評(píng)估和響應(yīng)誤報(bào)，以便團(tuán)隊(duì)只知道需要采取進(jìn)一步行動(dòng)的那些。

首席信息安全官應(yīng)該在他們的角色中感受到支持，他們需要確信他們的員工和現(xiàn)有的流程將為企業(yè)提供有效的防線。通過深度學(xué)習(xí)，SecOps 團(tuán)隊(duì)可以優(yōu)先處理高價(jià)值任務(wù)，因?yàn)樗麄冎垃F(xiàn)有技術(shù)正在努力保護(hù)新業(yè)務(wù)邊界免受攻擊，因此可以讓 CISO 放心。