2024年网络安全专业人士的五件待办事项
日期:2024年01月04日 阅:168
新年即将到来,网络安全从业者对未来有诸多探讨和期待。技术变革的速度之快让我们几乎没有时间为未来提前做准备。行业的巨变并非一日之功,各种变化时刻都在发生。新年的到来警醒我们需要考虑未来的行业动态和企业发展,这将有利于我们了解企业的发展目标、准备现状以及安全战略的优先度。
互联技术世界一直面临着各种安全风险、威胁和恶意行为者带来的挑战。恶意行为者和安全团队都围绕着网络开展活动,恶意行为者意图威胁网络安全,而安全团队则努力维护网络安全。随着技术发展和环境变化,恶意行为者的攻击方式也不断变化。
当今世界已经涌现出诸多显著的技术趋势,其中包括人工智能(AI)领域、生成式人工智能应用的快速应用、云作为主要IT部署结构的接受与应用以及区块链技术的应用,这些趋势中的一部分已经成熟,但另一些还处于萌芽阶段。除技术进步外,政治和战略发展也在2023年对科技领域造成了重大影响。2023年全球多地冲突不断,军事侵略愈演愈烈,即使是和平国家也确立了一系列针对数据保护和IT基础设施的法律法规。科技领域的这些发展动态为安全领域带来了巨大压力。
每年的这个时候,许多公司都会发布其年度技术趋势和预测报告,安全专业人士也会在此时制定新一年的待办事项。通过我们的研究表明,将下述五条建议列入2024年待办清单将为安全专业人士带来巨大增益——了解人工智能、构建云安全架构、再次聚焦用户安全、构建安全治理体系、做好基础工作。
1. 学习AI知识
人工智能(或GenAI)已经成为当今网络安全领域的热门词汇。许多企业在大量研发或应用基于人工智能的应用程序、实用程序及模型。作为一名安全专家,您在未来可能会涉足该领域,也可能已经有客户就此类解决方案的安全性咨询您的建议。特定解决方案的专用安全架构师需要深入掌握相关的人工智能解决方案,但每位安全专业人员也需要熟知人工智能相关的安全问题及解决方案。这就需要安全专业人员了解人工智能并能够审查各种举措涉及的人工智能问题,包括解决方案架构、安全控制、数据保护以及合同等非技术层面的问题。
2. 构建云安全架构
云计算早已为人所熟知,大多数云计算应用已走过十余年的风雨历程。但随着云计算应用的激增和服务的多样化,安全专业人员需要对云部署相关架构层面的工作进行指导。根据云服务的性质,安全专业人员可以帮助推动数据保护、数据流保护、用户管理控制、检测和响应、服务合同终止等相关的安全控制措施落地。服务供应商可以提供安全监控界面和实用程序,安全团队可以最大限度地利用这一点来为安全工作提供支持。
3. 重新聚焦网络安全中人的因素
人的因素在网络安全中的重要性永远不会过时。新技术带来了新的风险和攻击载体,其中许多都是针对用户的。用户需要解决的安全问题非常密集,而且这些安全问题一直随着时代的发展而变化。例如,在大型机时代,用户就意识到了密码保密相关的安全问题。但自那以后,服务和产品不断更新迭代,这为安全问题带来了诸多新的挑战。基于云技术的源代码管理系统需要专业人士来保证其使用安全,避免代码凭据嵌入。
一般来说,安全专业人士需要定期调整与用户安全意识相关的因素。对安全事件进行分析以及采用新技术有助于安全专业人员识别网络安全中与人的因素相关的其他领域。
4. 构建安全治理体系
当下,工具、流程、风险和优先级随着时代的发展不断变化,在这种动态环境中开展业务并非易事。风险、工具和控制的多样性为安全治理带来了巨大挑战。高效的安全治理需要对多个安全方面进行调整、整合和管理,这要求企业在各个层面进行审查和评估并引导企业达到目标安全水平。技术变革是安全治理中非常重要的一部分,安全专业人员可利用COBIT等框架发挥其自身价值。
5. 做好日常工作
在新的一年里,不要将所有的注意力都投放在新趋势和新技术上。新奇的事物总能吸引人们的目光,但日常任务却常常被忽视。但想要确保企业安全,基本的安全控制是最重要的。无论采用何种技术,做好基础工作都至关重要。数据分类、加密、多因素身份验证、端点检测、云安全相关解决方案、外部机构安全评分和企业专用暗网情报等控制措施对保护企业安全大有裨益。无论采用何种技术,基本的安全控制措施对于保护企业安全来说都发挥着不可替代的作用。
不同企业的优先事项和风险状况各有差异,上文中提及的各项建议适用于各种不同的企业。安全专业人员需要与企业的优先事项和相关举措保持一致,这样才能实现安全管理成果最大化并实现有效的风险管理。此外,了解技术趋势和当前的安全环境也能够帮助安全专业人员实现有效的安全风险管理。2024年对于各位安全专业人员来说必将是精彩绝伦的一年,相信各位专业人员一定会享受这段旅程。