我們生活在數(shù)字時代已不是什么新鮮事。如今，即便是基本任務(wù)對技術(shù)的依賴也在成倍增加，而且每天都有新公司進入市場，并承諾通過應(yīng)用程序和數(shù)字解決方案讓我們的生活變得更輕松。

　　由于疫情的影響，現(xiàn)在的企業(yè)比以往任何時候都更加依賴技術(shù)。雖然限制已經(jīng)解除，但世界已經(jīng)進入“新常態(tài)”，世界各地的企業(yè)表示他們正在采用遠程或混合辦公模式。再加上業(yè)務(wù)運營對各種應(yīng)用程序和服務(wù)的日益依賴，從而導(dǎo)致漏洞不斷增加。

　　隨著員工對靈活工作方式的適應(yīng)，安全專業(yè)人員的任務(wù)便是尋找新的并且可靠的方法來實現(xiàn)數(shù)據(jù)和網(wǎng)絡(luò)安全。在這種新形勢下，2022年CISO最關(guān)心的是什么？有幾個關(guān)鍵領(lǐng)域脫穎而出。

　　勒索軟件/惡意軟件

　　網(wǎng)絡(luò)犯罪分子的敏捷性是無與倫比的，勒索軟件攻擊的增加就是明證。《福布斯》最近的一篇文章列出了一些驚人的數(shù)字：

　　勒索軟件占所有安全漏洞的10%

　　一項調(diào)查發(fā)現(xiàn)，37%的全球組織在2021年成為某種勒索軟件攻擊的受害者

　　根據(jù)FBI的數(shù)據(jù)，從2021年1月到2021年7月，勒索軟件攻擊同比增長了令人震驚的62%

　　2021年，平均贖金為81.2萬美元，比上一年增加了近65萬美元。受這些攻擊影響的公司中有近一半支付了攻擊者要求的贖金，這使得勒索軟件本身成為了一個行業(yè)。

　　由于勒索軟件經(jīng)常利用最終用戶的天真或失誤，因此整個組織的網(wǎng)絡(luò)和數(shù)據(jù)都容易受到攻擊。CISO專注于通過滲透測試（通過模仿攻擊）采取預(yù)防措施，并確保最終用戶獲得充足的信息以做出明智的決策。確保軟件和補丁更新對于IT預(yù)算和戰(zhàn)略至關(guān)重要。

　　云和網(wǎng)絡(luò)安全

　　雖然遠離本地安裝和物理介質(zhì)為IT部門節(jié)省了大量時間和精力，但它也讓安全專業(yè)人員保持警覺。云環(huán)境可能會造成嚴重的安全可見性差距，增加預(yù)防策略和管理網(wǎng)絡(luò)和應(yīng)用程序的復(fù)雜性。

　　2021年底，Log4Shell攻擊敲響了警鐘，將云安全推到了各地CISO優(yōu)先級列表的首位。該攻擊利用了Java應(yīng)用程序使用的Log4j日志框架，允許攻擊者加載和執(zhí)行惡意代碼。黑客可以通過Java控制易受攻擊的設(shè)備，進而允許他們建立后門、創(chuàng)建僵尸網(wǎng)絡(luò)并發(fā)起勒索軟件攻擊。

　　這次全球性攻擊引起了人們對云安全的關(guān)注，87%的受訪者表示他們對自己的策略缺乏信心。為多云平臺提供保護的公司已通過加速其工具的開發(fā)來應(yīng)對這一威脅。

　　API安全

　　API是現(xiàn)代社會的基礎(chǔ)，因為幾乎所有功能都依賴于某種應(yīng)用程序。隨著組織使用的應(yīng)用程序數(shù)量的增長，用于集成或支撐流程的API數(shù)量也在增加。

　　不幸的是，盡管API對使用它們的組織很有幫助，但它們也吸引了試圖利用安全漏洞的狡猾攻擊者的注意。

　　2021年，API攻擊增長了令人難以置信的681%，而API流量增長了321%。API特別容易受到攻擊，因為它們對強大的安全性提出了獨特的挑戰(zhàn)。API環(huán)境的不斷變化使得安全專業(yè)人員難以跟上步伐。這使得組織容易受到數(shù)據(jù)泄露、SQL注入、拒絕服務(wù)攻擊、惡意軟件和偽造用戶身份驗證的影響。

　　員工培養(yǎng)、人才招聘和儲備

　　2022年，各行業(yè)普遍存在的抱怨是缺乏熟練且可用的人員來填補關(guān)鍵職位。網(wǎng)絡(luò)安全職業(yè)網(wǎng)站CyberSeek報告稱，截至撰寫本文時，美國有超過70萬個職位空缺，而且數(shù)月來這個數(shù)字一直保持穩(wěn)定。

　　CISO認識到了他們的組織中對頂級安全專業(yè)人員的需求（和價值），但在填補適當(dāng)角色上比較困難。培訓(xùn)和提升現(xiàn)有IT專業(yè)人員的技能會有所幫助，但這只是增加了他們的工作量而不是專注于網(wǎng)絡(luò)安全，因此這只是一種權(quán)宜之計。
　　隨著員工轉(zhuǎn)向遠程和混合辦公模式，CISO還需要提醒最終用戶主動加強安全性。通過幫助用戶了解網(wǎng)絡(luò)犯罪分子使用的狡猾策略，組織更有機會保護他們的數(shù)據(jù)和最終用戶免受惡意活動的侵害。

　　結(jié)論

　　隨著勒索軟件攻擊、API安全和網(wǎng)絡(luò)漏洞利用的增加，安全形勢正在迅速發(fā)生變化。CISO將預(yù)算和戰(zhàn)略重點放在主動和預(yù)防性安全措施上，同時提高員工的技能，并在市場上為他們的團隊尋找有才華的專業(yè)人士。對于許多組織而言，毫無疑問需要增加安全預(yù)算和員工編制來保護有價值的數(shù)據(jù)。

　　原標題：What’sTopofMindforCISOsin2022?

　　作者：StefanieShank

　　鏈接：https://www.infosecurity-magazine.com/next-gen-infosec/top-mind-cisos-2022/